Posted by on 14. November 2019

Datenschutz am Arbeitsplatz

Nicht erst seit der EU-Datenschutz-Grundverordnung (DSGVO) steht das Thema Datenschutz im Fokus. Nahezu alle Arbeitsbereiche sehen sich mit der Herausforderung konfrontiert, Informationen sicher zu dokumentierten, weiterzuleiten und zu veröffentlichen. In unserem Beitrag erläutern wir die Gefahren am Bildschirmarbeitsplatz anhand der fünf Prinzipien der Social-Engineering-Attacke und geben Hinweise für die sichere Arbeitsplatzgestaltung.

Wer mehr über den Einsatz unserer cloudbasierten Arbeitsschutz-Software iManSys wissen möchte, dem empfehlen wir die Lektüre unseres kostenfreien E-Books „10 gute Gründe für den Einsatz einer Arbeitsschutz-Software“. Viel Spaß beim Lesen!
 

Jetzt E-Book herunterladen

Datenschutz am Arbeitsplatz – Fünf Prinzipien der Social-Engineering-Attacke

Der Compliance-Barometer 2018 der CMS zeigt, dass ein beträchtlicher Teil der Compliance-Verantwortlichen (35 Prozent) den Datenschutz als wesentliches Risiko einschätzen. Der richtige Umgang mit (sensiblen) Daten und Informationen betrifft jedoch nahezu alle Unternehmensbereiche.

Insbesondere Bildschirmarbeitsplätze sind u. a. aufgrund von Netzwerkanbindungen von möglichen Cyberattacken bzw. Datenmissbrauch betroffen. Dabei sind es oftmals die Mitarbeiter, welche aufgrund sozialer Mechanismen auf Betrugsversuche hereinfallen oder gedankenlos mit dem Transfer von Daten umgehen.

Ein gängiges Vorgehen bei Cyberattacken ist es, das Vertrauen eines autorisierten Nutzers zu gewinnen und so an vertrauliche Informationen aus dem Netzwerk zu gelangen. Dieses Vorgehen wird auch als Social-Engineering-Attacke bezeichnet. Ferreira, Conventry und Lenzini (2015) haben fünf Prinzipien der Social-Engineering-Attacke identifiziert, mit welchen Menschen manipuliert werden können:


1. Autorität („authority“)

Angestellte sind es gewohnt, Anweisungen von Autoritätspersonen entgegenzunehmen (bspw. Geschäftsführer, Teamleiter). Autorität wird in diesem Zusammenhang auch durch Titel oder Statussymbole kommuniziert. Dies passiert beispielsweise in Phishing-E-Mails, welche die Adressaten dazu auffordern, die Zugangsdaten zu ihrem Online-Banking zur legitimieren.


2. Soziale Bewährtheit („social proof“)

Neue Mitarbeiter neigen dazu, das Verhalten ihrer Kollegen zu imitieren bzw. sich den Gegebenheiten anzupassen, um nicht aufzufallen. Das wird oftmals ausgenutzt, um mögliche Sicherheitsbedenken aus dem Weg zu räumen („Das haben die Kollegen bereits freigegeben.“ / „Das haben wir hier im Haus schon immer so gemacht.“).


3. Sympathie, Ähnlichkeit und Täuschung („liking, similarity, deception“)

Mitarbeiter sind eher dazu gewillt, einer Bitte nachzukommen, wenn ihr Gegenüber sympathisch und attraktiv erscheint oder gemeinsame Interessen bestehen. Werden also emotionale Bindungen vorgetäuscht, lassen sich auch etwaige mentale Hürden oder Bedenken der Mitarbeiter umgehen.


4. Verpflichtung, Reziprozität und Konsistenz („commitment, reciprociation, consistency“)

Haben sich Personen für etwas entscheiden, tendieren sie dazu, diese Entscheidung bis zum Ende zu tragen – ungeachtet dessen, ob die Konsequenzen eher nachteilig sein könnten. Dementsprechend folgen sie auch Anfragen, die zu ihren eigenen Entscheidungen passen. Hier besteht Manipulationsgefahr. Zudem fühlen sich viele Menschen dazu verpflichtet, für gewisse Gefälligkeiten – seien sie auch noch so klein – entsprechendes Entgegenkommen zu zeigen. Dieser Austauschgedanke wird ebenfalls ausgenutzt.


5. Ablenkung („distraction“)

Menschen haben in der Regel eine begrenzte mentale Kapazität – was zur Folge hat, dass für die Entscheidungsfindung nur die wichtigsten Rahmeninformationen herangezogen werden können. Durch gezielte Ablenkung kann es gelingen, mögliche Betrugsversuche zu verschleiern. Beispiele hierfür sind vorgetäuschte Wettbewerbe oder vermeintliche Last-Minute-Angebote.


Viele sog. Social Engineers machen sich diese Mechanismen zunutze, um ihren Gegenüber gezielt zu manipulieren. Sie nutzen dabei oft eine Kombination der Prinzipien. Was für die professionelle Arbeitswelt abwegig erscheinen mag, zeigt sich aber vielfach in der Praxis: Auch große Unternehmen sind vor Social-Engineering-Attacken nicht gefeit. Prominente Beispiele sind die Firma Leoni (Überweisung von 40 Millionen Euro an ein betrügerisches Konto), die FACC (50 Millionen Euro „verloren gegangen“) oder die Norsk-Hydro (Lösegeld-Angriff zur Entschlüsselung von Systemen).

Um den Risiken entgegenzuwirken, gilt es, alle Mitarbeiter eines Unternehmens regelmäßig für den richtigen Umgang mit Mailings oder Anfragen zu sensibilisieren. Für die Arbeit am Computer sowie für den richtigen Umgang mit sensiblen Daten haben wir einen kleinen Maßnahmenkatalog erstellt, der auch Mitarbeiter mit mangelnder IT-Affinität in ihrer täglichen Arbeit unterstützt.

Maßnahmen für einen sicheren Bildschirmarbeitsplatz

Der folgende kleine Maßnahmenkatalog mag gut geschulten Mitarbeiter als selbstverständlich oder gar banal erscheinen. Der Erfolg von Trickbetrügern zeigt jedoch, dass nicht jeder PC-Nutzer über die potenziellen Gefahren Bescheid weiß. In diesem Zusammenhang raten wir daher zum Leitmotto: Lieber einmal zu viel erzählt als einmal zu wenig.

Spam-Mails

  • nicht beantworten, keine Links anklicken, keine Anhänge öffnen, keine Bilder nachladen
Tipp: Stellen Sie Ihr E-Mail-Programm auf „Nur-Text“ ein.

Phishing-Mails

  • niemals nach einer Aufforderung per Mail Daten eingeben
  • Links nur selber eintippen
  • Zertifikate von Websites prüfen
Tipp: Bleiben Sie immer skeptisch, vertrauen Sie niemals blind einem Absender.

Passwörter

  • individuelle Passwörter verwenden
  • mindestens acht, besser 12 gemischte Zeichen
Tipp: Notieren Sie Ihre Passwörter auf gar keinen Fall auf dem Papier, sondern schaffen Sie sich Eselsbrücken, damit Sie sich die Kombination merken können.

Cloud-Dienste

  • Datenhoheit beachten
  • Verschlüsselung verwenden
  • Zugang für Dritte kontrollieren
  • Ablaufdaten für Freigaben planen
Tipp: Erstellen Sie ein Backup für essentielle Daten (bspw. Air-Gapped-Backup).

Mobile Datennutzung

  • VPN-Verschlüsselung verwenden
  • App-Berechtigungen auf mobilen Endgeräten kritisch einschätzen
  • regelmäßige Software-Updates
  • WLANs löschen, welche länger nicht verwendet wurden
  • Hardwareverschlüsselung einschalten
  • USB-Sticks und Festplatten nur verschlüsselt verwenden, Daten nach Verwendung löschen, physischen Zugriff sichern
Tipp: Mobile Endgeräte, welche von Ihrem Arbeitgeber gestellt werden, sollten mit höheren Sicherheitseinstellungen behandelt werden als private Geräte.

Natürlich handelt es sich hier um sehr spezifische Maßnahmen am Bildschirmarbeitsplatz. Sie garantieren keinen 100-prozentigen Datenschutz auf allen Ebenen. Dieser beginnt bereits in den Köpfen der Mitarbeiter. So kann es äußerst hilfreich sein, die Konsequenzen im Falle eines Datenmissbrauchs aufzuzeigen (bspw. Umsatzeinbußen, Datenverlust, Aufbau einer neuer IT-Infrastruktur). Wir empfehlen folgende goldene Regel: Nutzen Sie Ihren gesunden Menschenverstand und fragen Sie im Zweifelsfall einen fachkundigen Kollegen.

Mehr zu den Themen digitale Unterweisung und Arbeitsschutz-Software finden Sie in unserer umfangreichen Content-Bibliothek. Hier haben wir u. a. kostenfreie Whitepaper, E-Books sowie Anwendungsszenarien und Erfolgsgeschichten mit unserer HSQE Compliance-Management-Software iManSys hinterlegt.
 

Jetzt informieren

Weiterführende Informationen:

CMS (2019): 4. CMS Compliance-Barometer: Unternehmen unterschätzen wesentliche Risiken. Online verfügbar unter https://cms.law/de/DEU/News-Information/4.-CMS-Compliance-Barometer-Unternehmen-unterschaetzen-wesentliche-Risiken (Zugriffsdatum: 15.10.2019).

Ferreira, A., Coventry, L., Lenzini, G.: Principles of persuasion in social engineering and their use in phishing. In: International Conference on Human Aspects of Information Security, Privacy, and Trust. pp. 36–47. Springer (2015).

Bitte aktivieren Sie Javascript, um alle Inhalte sehen zu können.
Vorschriften & Pflichten
Unterweisen & Schulen
Skills & Kompetenzen
Arbeitsmedizin & Vorsorge
Risiken & Gefährdungen
Motivation & Vernetzung
Dokumente & Daten