Unternehmen im Fadenkreuz

Die Trickser benutzten menschliche Schwächen wie Neugier, Angst vor finanziellen Verlusten oder vor Strafverfolgung, erklärt Gärtner. Noch wesentlich gewitzter werden die Tricks, wenn Gauner gezielt auf Informationsjagd gehen. Anders als beim Gießkannenverfahren per Spam-Email werden Opfer und Methoden bewusst individuell gewählt.

"Dabei sind eher Unternehmen das Ziel", sagt Gärtner. "Es handelt sich oft um Erpressung oder Industriespionage. Informationen werden gezielt gesammelt, um Schwachstellen aufzudecken." Die Methoden sind so skurril wie effektiv. Per Telefon oder persönlich sind kleine Informationshappen schnell herausgeplaudert. Vielleicht klebt gar ein Zettel mit dem Zugangspasswort zum Netzwerk an einem der Monitore im Büro. Besonders schmutzig: Wenn das Ziel lohnend wirkt, machen Trickgauner auch vor dem so genannten "Dumpster Diving" nicht halt. Dahinter steckt nichts anderes als den Müll der Opfer zu durchwühlen.

Sicherheitspuzzle

Denn aus Zetteln mit weggeworfenen Adressen, Telefonnummern, vielleicht gar Passwörtern oder internen Memos kann sich der Angreifer ein feines Mosaik aus Informationen zurecht legen. Sicherheitsberater gehen davon aus, dass im Schnitt fünf einzelne unnütze Informationen zusammen eine sicherheitsrelevante Info ergeben. Ein Puzzlespiel mit der Sicherheit des Unternehmens.

Auch der kurzfristig leerstehende Arbeitsplatz kann Zugriff auf wichtige Unterlagen oder Zugangsdaten verschaffen. Akten sind schnell fotografiert, Dateien in kürzester Zeit auf einen USB-Stick kopiert. Schon hat der Eindringling etwas mehr in der Hand, mit dem er sein destruktives Spiel weiterspielen kann.

Schutzmaßnahmen

Was hilft gegen solche Angriffe? Grundsätzlich: "Man sollte sich ein gesundes Misstrauen bewahren", rät Matthias Gärtner vom Bundesamt für Informationssicherheit. Die Frage an sich selbst müsse lauten: "Was würde ich denn im wahren Leben tun?" Liegen zu Hause wichtige Dokumente einfach so auf dem Schreibtisch herum? Vertraut man Fremden persönliche Daten an? Führt man wichtige Telefonate mitten in der Straßenbahn per Handy?

Firmen brauchen ein sorgsames Sicherheitskonzept, das über Sicherheitssoftware hinaus geht. Mitarbeiter müssen geschult sein, damit sie sich ihrer Verantwortung bewusst sind. Denn was nützt das feuerfeste, einbruchsichere Rechenzentrum, wenn die Wachmänner hin und wieder nicht an ihrem Platz sitzen oder Mitarbeiter einen Seiteneingang für die Zigarettenpausen permanent offen lassen? Klare Vorgaben, wer welches Passwort wissen darf, verhindern, dass sich sicherheitsrelevantes Wissen unkontrollierbar verbreitet.

"Gesunde Skepsis"

Schulungen helfen das Bewusstsein zu schärfen, denn "schließlich sind es die Mitarbeiter, die die Sicherheit praktisch umsetzen müssen", so Gärtner. Sensible Unterlagen gehören in den Shredder statt in den Papierkorb. Private Webnutzer sollten die gleichen Maßstäbe anlegen. Möchte meine Bank wirklich meine TAN per E-Mail haben? Ist es realistisch, dass ich tatsächlich einen reichen Onkel in Afrika habe, von dem ich noch nie etwas gehört habe?

All dies ist kein Grund, paranoid zu werden und jeden Fremden am Telefon für ein möglichen Spion zu halten. Doch die theoretische Möglichkeit sollte in sicherheitsrelevanten Firmenbereichen nie ausgeschlossen sein. Einfache Tricks können helfen, Schwindler zu enttarnen. Beispielsweise als Gegenmaßnahme einen gemeinsamen Kollegen erfinden und nach dessen Befinden erkundigen.