Social Hacking – der Mensch als Schwachstelle in der IT-Sicherheit

Die zweite Antwort lautet: Aus- und Weiterbildung. Wenn Sie und Ihre Mitarbeiter die Zusammenhänge kennen, haben Sie bereits die Hälfte des Weges erreicht. Wenn dann noch Regelwerke das Handeln begleiten, sind Sie schon fast am Ziel. Danach müssen Sie nur noch konsequent bleiben.

Zu diesen Handlungsanweisungen können unter anderem gehören:

  1. Insbesondere bei Telefonaten und E-Mails muss der „Gegenüber“ (Kunde, Mitarbeiter, Geschäftspartner) als „bekannt“ und „berechtigt“, also „identifiziert“ und „authentifiziert“ gelten, bevor überhaupt darüber nachgedacht wird, Informationen herauszugeben.
  2. Per E-Mail erhaltene Dateianhänge werden nur geöffnet, wenn der Absender wirklich bekannt und verifiziert ist. Dazu wiederum gehört das Wissen, wie diese Authentizität festgestellt wird.
  3. Insbesondere Dateianhänge, die aus MS Office Anwendungen wie Word oder Excel kommen, dürfen weder versendet noch geöffnet werden, wenn sie aktive Elemente enthalten können. Diese erkennen Sie an Dateiendung wie z. B. „docx“, „xlsx“. Was das bedeutet und welche Dateien noch vorkommen können, sollte Ihr IT-Dienstleister wissen und Ihnen mit Konzepten weiterhelfen können.
  4. Bei finanziellen Transaktionen gilt immer das Vier-Augen-Prinzip. Niemals Adhoc reagieren und schon gar nicht ohne buchhalterisch korrekten Beleg.
  5. Auch die in den „technischen und organisatorischen Maßnahmen“ festgelegten Regeln, die gemäß DSGVO Bestandteil Ihrer Datenverarbeitungs-Dokumentation sein müssen, sollten entsprechende Handlungsanweisungen enthalten.

Fazit

Sie sehen, dass bereits diese kurze und garantiert nicht vollständige Liste mehr als nur technische Aufgaben und Maßnahmen enthält, um gegen Social Hacking gewappnet zu sein. Vielmehr sind logisches, professionelles und angepasstes Verhalten gefragt. Und das können Sie trainieren.