An Daten zu gelangen ist wesentlich einfacher, als es viele Mittelständler wahrhaben wollen. In Deutschland überprüfen zum Beispiel viele Firmen die persönlichen Angaben ihrer Mitarbeiter nicht, kritisieren Sicherheitsexperten, es herrsche eine unglaubliche Gutgläubigkeit. Häufig wäre schon viel damit gewonnen, die Mitarbeiter für Gefahren zu sensibilisieren.
Die Anfrage des potenziellen Kunden aus dem Ausland klingt gut, die Verhandlungen laufen vielversprechend. Gerade, als es im Gespräch mit dem Chef um die Details geht, steht einer der Gäste auf und fragt nach der Toilette. Im Vorzimmer wendet er sich an die Sekretärin. Sie weiß, um welche Summen es geht, und ist dem Kunden gegenüber besonders zuvorkommend. Der Gast bittet, schnell ein wichtiges Dokument ausdrucken zu dürfen. Höflich überlässt die Sekretärin ihm ihren Platz. Der Kunde steckt seinen USB-Stick in den Computer, druckt das Dokument aus und geht wieder zurück in die Besprechung.
Die Kunden waren zwar am Produktdesign der Firma interessiert, jedoch nicht daran, es zu kaufen. Der Ausdruck war nur ein Vorwand. Denn was die Sekretärin nicht wusste: Im Hintergrund hatte der programmierbare USB-Stick unbemerkt die Entwürfe von der Festplatte kopiert. Damit war es ein Leichtes für die vermeintlichen Kunden, die Gespräche abzubrechen und das Design heimlich zu nutzen. „Social Engineering“ heißt das Erschleichen der Daten von innen im Fachjargon.
Viele Betriebe überprüfen ihre Mitarbeiter nicht
Die Täter setzen auf das mangelnde Problembewusstsein der Mitarbeiter. Konkurrenten oder staatliche Nachrichtendienste schleusen Personen unter Vorspiegelung falscher Tatsachen in Unternehmen – von der Putzfrau bis zum Praktikanten. So verschaffen sie sich Zugang zu sensiblen Daten. Bei kleinen und mittelständischen Betrieben haben sie oft leichtes Spiel. „Manchmal reicht es schon, sich am Telefon als Mitarbeiter einer Telefongesellschaft auszugeben, um an Zugangsdaten zum Firmennetzwerk zu gelangen“, sagt Heiko Oberlies, IT-Spezialist der Industrie- und Handelskammer Bonn/Rhein-Sieg.
Am gefürchtetsten sind indes immer noch Hacker, die IT-Sicherheitsschranken wie etwa Firewalls von außen knacken. Auch hier geht es darum, die eigenen Mitarbeiter für die Gefahren zu sensibilisieren.
