Symbolbild für passives Social Engineering

Passives Social Engineering: Das können Sie dagegen tun

Passives Social Engineering nutzt die Arg- oder Unwissenheit von Mitarbeitern heimtückisch aus. Doch was ist passives Social Engineering eigentlich genau und wie kann man sich vor einem Angriff schützen? Der folgende Beitrag liefert Antworten.

2022-04-07

Logo

Ein unbeobachteter Moment reicht – und schon verschafft sich der Angreifer Informationen von einem Mitarbeiter, ohne dass dieser überhaupt irgendetwas davon mitbekommt. Beim passiven Social Engineering findet keine persönliche Interaktion statt. Vielmehr zielt die Attacke darauf ab, vollkommen unbemerkt an Informationen zu gelangen. Betroffene Mitarbeiter müssen dafür nicht einmal anwesend sein. Hier erfahren Sie, welche Formen des passiven Social Engineering es gibt und wie Sie einem Angriff auf Ihr Unternehmen vorbeugen können.

Was ist passives Social Engineering?

Unter Social Engineering versteht man per Definition zwischenmenschliche Beeinflussungen, die das Ziel haben, bei den beteiligten Personen bestimmte Verhaltensweisen hervorzurufen. Ein Beispiel dafür ist das Preisgeben von Informationen. Die bekannteste Form des Social Engineering ist das sogenannte „Phishing“. Hierbei werden Personen über täuschend echt wirkende E-Mails auf ebenfalls gefälschte Zielseiten gelockt und dort aufgefordert, Passwörter und Anmeldeinformationen preiszugeben.

Passives Social Engineering lässt die zwischenmenschliche Interaktion aus. Personen werden also nicht direkt kontaktiert, sondern im Geheimen ausspioniert. Doch was versteht man unter passivem Social Engineering konkret? Im Folgenden finden Sie einige typische passive Social Engineering Beispiele:

  • Unbeobachtete Blicke über die Schulter von Mitarbeitern
  • Belauschen von Gesprächen
  • Installation von präparierter Soft- oder Hardware auf dem Computer von Mitarbeitern
  • Durchsuchen von Dokumenten zum Beispiel im Papierkorb

Für wen und wie kann passives Social Engineering konkret gefährlich werden?

Eine Kette ist nur so stark wie ihr schwächstes Glied: Alle Mitarbeiter sitzen in einem Boot und tragen gemeinsam dafür Sorge, dass ihr Unternehmen vor einer passiven Social Engineering Attacke geschützt ist. Denn ein Angriff von außen betrifft letztendlich nicht nur den ausspionierten Mitarbeiter, sondern das gesamte Unternehmen. Dabei sind technische Schutzmaßnahmen für eine sichere Arbeitsumgebung nur ein Teil der Lösung. Denn die passive Social Engineering Attacke nutzt meistens die Arglosigkeit von Mitarbeitern aus: Ein unachtsamer Moment – und schon sind vertrauliche Daten im Papiermüll gelandet. Für Datendiebe ein gefundenes Fressen. Geraten personenbezogene Daten dabei unbefugt in die Hände Dritter, drohen hohe Bußgelder im Rahmen der DSGVO. Schaffen es Angreifer, Schadsoftware auf Computern von Mitarbeitern zu installieren, können sie mit dessen Hilfe Aktivitäten und Daten auf den betreffenden Computern oder gar im gesamten Firmennetz ausspionieren. Aber auch ein kurzer Blick in den offenen Bildschirm eines Mitarbeiters bietet bereits ein Einfallstor.

Das können Sie gegen passives Social Engineering tun

Um einem passiven Social Engineering Angriff vorzubeugen, sollten Unternehmen unbedingt einige Vorsichtsmaßnahmen ergreifen. Besonders wichtig ist es dabei, dass alle Ihre Mitarbeiter umfassend eingewiesen und stets auf dem aktuellen Stand des Sicherheitskonzeptes sind. Die folgenden Punkte geben Ihnen einen Überblick, wie Sie eine passive Social Engineering Attacke abwenden können:

  • Keine fremden Speichermedien verwenden: Cyberkriminelle präparieren häufig Geräte, Speichermedien oder Kabel mit Schadsoftware. Deshalb sollten Sie fremde Medien niemals an Ihren Computer anschließen.
  • Fernortung aktivieren: Viele Geräte bieten eine Ortungsfunktion – aktivierbar zum Beispiel im Falle eines Diebstahls. Davon können Sie profitieren, sollte Ihr Gerät verloren gegangen oder in falsche Hände geraten sein.
  • Gerätezugang bei Abwesenheit sperren: Achten Sie darauf, dass Ihre Geräte in Ihrer Abwesenheit mit einem ausreichenden Passwortschutz gesperrt sind. Bewegliche Geräte und herumliegende Speichermedien müssen an einem sicheren Ort verwahrt sein.
  • Hardware und Dokumente gewissenhaft entsorgen: Vor der Entsorgung sollten die Inhalte auf Geräten und Speichermedien unbedingt fachgerecht gelöscht werden, damit die Daten nicht in falsche Hände geraten können. Gedruckte Dokumente müssen vor der Entsorgung geschreddert werden, um einem Datenklau über die Papiertonne vorzubeugen. Das gilt auch im Homeoffice.
  • Die Arbeitsumgebung sicher gestalten: Passives Social Engineering spielt sich häufig am Arbeitsplatz des Mitarbeiters ab. Deshalb sollte darauf geachtet werden, dass dieser ausreichend Schutz bietet. Ein Blickschutzfilter kann Einblicke in den Bildschirm abwehren. Mitarbeiter sollten immer darauf achten, ob fremde Personen in ihren Bildschirm schauen oder Zugriff auf ihre Geräte haben. Gerade bei der Arbeit unterwegs, zum Beispiel in Cafés oder öffentlichen Verkehrsmitteln, ist besondere Vorsicht geboten.

Grundsätzlich gilt: Behalten Sie alle Arten von Datenträgern im Blick  – ob es sich um gedruckte Dokumente, USB-Sticks, Laptops oder Smartphones handelt. Datendiebe nutzen jede Möglichkeit, um an Informationen zu gelangen.
 

Eine perfekte technische Infrastruktur allein kann ein Unternehmen nicht vor einem Datenklau schützen. In Zeiten von mobilen Arbeitsplätzen gewinnt passives Social Engineering zunehmend an Bedeutung. Um einem Angriff vorzubeugen, ist die Aufklärung aller Mitarbeiter essenziell. Eine passive Social Engineering Attacke betrifft schließlich das gesamte Unternehmen und kann erheblichen Schaden verursachen. Deshalb ist es wichtig, frühzeitig vorzusorgen. Mit den geeigneten organisatorischen Maßnahmen können Sie einen möglichen Angriff abwehren. Sprechen Sie uns gerne an. Wir beraten und unterstützen Sie dabei, wie Sie die in Ihrem Unternehmen verarbeiteten Daten bestmöglich schützen.
 

 

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 07.04.2022

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey
Portraits unserer Datenschschutzexperten Dominik Fünkner, Dorothea Teichman, Nathalie Dold und Hauke Gerdey

Wir managen Ihren Datenschutz

Unsere zertifizierten Datenschutzbeauftragten helfen Ihnen, Datenschutzvorgaben sicher und pragmatisch umzusetzen. Profitieren Sie von unserem Knowhow aus über 1.500 Kundenprojekten in über 50 Branchen.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr