Diesen Artikel als PDF beziehen?
Laden Sie kostenlos den Artikel herunter:
"Datenmissbrauch – So leicht werden Unternehmen Opfer von Datendiebstahl"


Anmelden
* Pflichtfeld

Bitte geben Sie Ihre E-Mail-Adresse ein.

Ich bin einverstanden, dass die Forum Verlag Herkert GmbH die von mir mitgeteilten Daten speichert und mich regelmäßig über ihre aktuellen, themenbezogenen, kostenpflichtigen Verlagsprodukte per E-Mail, Fax, Telefon oder Post informiert. Meine Daten werden dabei nicht an Dritte weitergegeben. Diese Einwilligung kann ich jederzeit widerrufen, indem ich den in jeder E-Mail enthaltenen Abmeldelink nutze, eine E-Mail an [email protected] oder einen Brief an Forum Verlag Herkert GmbH (Mandichostraße 18, 86504 Merching) sende. Ausführliche Informationen dazu und allgemein zur Verarbeitung meiner personenbezogenen Daten finde ich unter forum-verlag.com/datenschutz.

Vielen Dank für Ihr Interesse !

Im nächsten Schritt erhalten Sie eine Bestätigungsmail an die angegebene E-Mail-Adresse. Hiermit wird geprüft, ob es sich um eine korrekte E-Mail-Adresse handelt.Um Ihnen die gewünschten Informationen zukommen lassen zu können, klicken Sie bitte jetzt den in der Bestätigungsmail enthaltenen Link.Falls die Bestätigungsmail Ihr Postfach nicht erreicht hat, kann es sein, dass diese irrtümlicherweise in Ihrem Spam-Ordner gelandet ist. Überprüfen Sie daher Ihren Spam-Ordner und Ihre Spam-Einstellungen.

Um Sie gezielter beraten zu können, würden wir uns freuen, wenn Sie uns folgende Informationen zukommen lassen. Alle Angaben sind freiwillig.

Um Ihre Daten abzusenden, sollte mindestens ein Feld befüllt sein. Vielen Dank

Gerade kleine und mittelständische Unternehmen nehmen das Risiko, das von Datendiebstahl und Datenmissbrauch ausgeht, oft nicht ernst genug oder sind sich dessen gar nicht bewusst. Durch ihre Nachlässigkeit in der Ausgestaltung der IT-Sicherheit öffnen sie Angreifern freiwillig das Tor u.a. zu ihren Geschäftsgeheimnissen. Wir zeigen, mit welchen Tricks die Betrüger arbeiten.

Spoofing, Phishing, Pharming: Wenn Cyber-Kriminelle ihre Identität verschleiern

Der Begriff Spoofing umfasst alle Täuschungsmethoden, die in Computernetzwerken stattfinden. Cyber-Kriminelle wenden diese Methoden an, um ihre eigene Identität zu verschleiern und so personenbezogene Daten, aber auch sensible Geschäftsinformationen zu stehlen und für ihre Zwecke zu missbrauchen.

Der Spoofer kann

  • einem Rechner vorgaukeln, dass er Datenpakete von einem vertrauenswürdigen Rechner bekommt. So kann sich der Datendieb zwischen Absender und Empfänger dieser Daten schalten und diese manipulieren, ohne dass er bemerkt wird (IP-Spoofing);
  • die Parameter so verändern, dass der Mitarbeiter glaubt, die Seite vor sich zu haben, die er eigentlich aufrufen wollte. Stattdessen bewegt er sich auf einer identisch aussehenden, jedoch vom Angreifer angelegten Homepage. Die Daten, die er hier eingibt, spielt er direkt dem Datendieb in die Hände (Content Spoofing);
  • den Domainnamen und die zugehörige IP-Adresse so verfälschen, dass er den Datenverkehr unbemerkt auf einen anderen Computer umleitet, um weitere Angriffe zu starten (DNS-Spoofing oder Cache Poisoning);
  • ARP-Tabellen in einem Netzwerkprotokoll verändern, manipulieren oder unterbinden. Besonders die IP-Telefonie rückt hier in den Vordergrund (ARP-Spoofing);
  • unbedarften Mitarbeitern vortäuschen, dass eine E-Mail direkt vom Vorgesetzten etc. kommt. Wenn z. B. der Finanzmitarbeiter einer Firma darauf reinfällt und eine größere Geldsumme auf das Konto des Kriminellen überweist, ist oft ein Schaden in Millionenhöhe entstanden (Mail-Spoofing). 

Während die Angreifer es früher hauptsächlich darauf abgesehen hatten, IP-Pakete mit gefälschten Quell-IP-Adressen zu versenden, findet Spoofing in den vergangenen Jahren vermehrt bei Webanwendungen statt und konzentriert sich darauf, Authentifizierungs- und Identifikationsverfahren zu umgehen. Bei diesen Methoden spricht man von Phishing oder Pharming

Phishing / Pharming 

Bei der Anwendung von Phishing und Pharming wollen Cyber-Kriminelle fremde Zugangsdaten abgreifen. Beim Phishing verschicken sie Fake-Mails, die dem Empfänger vorgaukeln, von einer dem Empfänger bekannten Adresse zu kommen. So könnte die Sekretärin aufgefordert werden, z. B. die Firmendaten bei einer Bank abzugleichen oder zu korrigieren. In dem Moment, in dem sich die Mitarbeiterin über den Link in der E-Mail mit den Zugangsdaten zum Firmenkonto anmeldet, gelangen die Daten in die Hände der Datendiebe. 

Es kommt aber auch vor, dass die Angreifer einen Trojaner einsetzen und so die Verbindung zwischen ihrem Opfer und bspw. dem Kreditinstitut hacken. Dem Datenmissbrauch steht dann nichts mehr im Weg. 

Unterschied zwischen Phishing und Pharming 

Während beim Phishing Fake-E-Mails verschickt werden, um das Opfer zu locken, setzen Cyber-Kriminelle beim Pharming auf Malware (Schadsoftware). 

Social Engineering: Datendiebe haben es auf die Schwachstelle Mensch abgesehen 

Datenmissbrauch wird immer öfter durch Social Engineering ermöglicht. Dabei setzen die Angreifer auf die Hilfsbereitschaft von Mitarbeitern oder nutzen deren Vertrauen, die Eitelkeit oder Gier des Opfers aus. Diese Cyber-Kriminellen arbeiten wie „Trickbetrüger“. Dabei müssen sie nicht direkt auf den Betroffenen zugehen, sie können auch einfach lauschen. 

Social Engineer wenden folgende Tricks an, um Daten zu stehlen: 

  • Sie gewinnen das Vertrauen des autorisierten Nutzers und bringen ihn so dazu, freiwillig Daten herauszugeben. 
  • Sie beschreiben am Telefon ein dringendes Problem, das nur behoben werden kann, wenn ein Zugriff auf das Netzwerk ermöglicht wird. 
  • Ein Mittel ist zudem, dem Mitarbeiter vorzutäuschen, dass die Anweisung zur Datenübermittlung direkt vom obersten Vorgesetzten kommt und sofort erledigt werden muss. Und laut einer Befragung des BSI von Juni 2018 würde jeder sechste Mitarbeiter auf eine solche gefälschte E-Mail der Chefetage antworten und damit sensible Unternehmensinformationen preisgeben.
  • Die wohl inzwischen bekannteste Masche ist es, einen Mitarbeiter dazu zu bewegen, in einer E-Mail einen mit Viren verseuchten Anhang zu öffnen und sich so in das System zu hacken. 
  • Der Angreifer kann aber auch dem Mitarbeiter über die Schulter schauen, wenn sich dieser z. B. in der Bahn über das Firmenlaptop in das System einloggt, und sich die Daten merken. 
  • Ein Einfaches für die Kriminellen ist es zudem, die Müll-Container nach verwertbaren Informationen zu durchsuchen, die achtlos entsorgt wurden. 
  • Mitarbeiter, die ein für sie bedeutungsvolles Passwort wie den eigenen Geburtstag oder den Namen des Ehepartners nutzen, begünstigen Datenmissbrauch ebenfalls. Der Cyber-Kriminelle kann die Privatsphäre des Mitarbeiters (z. B. aufgrund seiner Angaben bei Facebook etc.) durchleuchten und auf diese Art und Weise oft das Passwort erraten. 

Während die meisten Einfallstore für Datendiebe mit sicherheitstechnischen Vorkehrungen geschlossen werden können, sehen Sicherheitsexperten im Social Engineering das größte Sicherheitsrisiko. Das Problem ist, dass die meisten Mitarbeiter sich gar nicht bewusst sind, wie wichtig die Daten sind, mit denen sie täglich agieren. Für IT-ferne Personen ist es zudem sehr schwierig, solche Risiken überhaupt zu erkennen, was den Datenmissbrauch manchmal zu leicht ermöglicht. 

Um dieses Bewusstsein zu steigern und die Mitarbeiter für das Thema Datenschutz zu sensibilisieren, müssen Unternehmen ihr Augenmerk verstärkt auf die Schulung ihrer Mitarbeiter legen. Das „Mitarbeiter-Merkblatt Datenschutz und IT-Sicherheit“ erleichtert ihnen diese Aufgabe. 

Datendiebstahl und Datenmissbrauch durch Mitarbeiter 

Die Schulung der Mitarbeiter wird natürlich nichts bringen, wenn es der Beschäftigte darauf anlegt, Geschäftsdaten zu stehlen. Auch wenn ein Vertrauensverhältnis zwischen Arbeitgeber und Arbeitnehmer die Basis für eine gute Zusammenarbeit ist, sollten Unternehmen vor dem Angriff von innen nicht die Augen verschließen. Denn selbst wenn der Mitarbeiter vielleicht nicht in der Lage ist, mit den geklauten Daten Datenmissbrauch zu betreiben, kann er die Daten an Personen weitergeben, die das können. 

Der Arbeitgeber sollte also prüfen, ob

  • Mitarbeiter unbemerkt sensible Daten per E-Mail oder USB-Stick aus der Firma einfach heraustragen können. 
  • die Kundenkartei einfach von jedem kopiert werden kann, 
  • E-Mails regelmäßig gesichert werden, 
  • alle WLAN-Anschlüsse geblockt werden und 
  • Firmenlaptops ausreichend geschützt sind. 

Wird arglistigen Mitarbeitern der Datendiebstahl allzu leicht ermöglicht, liegt das meist an bestimmten Verhaltensweisen in der IT. Damit gemeint sind z. B. unklare Zugriffsstrukturen auf sensible Daten, der vermehrte Einsatz mobiler Geräte sowie der legere Umgang mit Passwörtern. Arbeitgeber können jedoch aufatmen: Die moderne IT bietet mehrere Möglichkeiten, um geheime Geschäftsdaten vor den Mitarbeitern zu schützen. Sie müssen nur zum Einsatz kommen. (juse)

Quellen: Ryte GmbH, Tech Target Germany GmbH, Handelsblatt 

Sie wollen mehr Fachwissen, Praxistipps und kostenlose Arbeitshilfen zum Bereich Datenschutz und IT erhalten? Dann melden Sie sich gleich zu unserem kostenlosen Fach-Newsletter an!

Das könnte Sie auch interessieren

Schlagwörter

Datenschutz Cyber Security

Die mit einem * markierten Felder sind Pflichtfelder.