Social Engineering - Verantwortung

[Nopp]

Hi,

ich lese mich momentan arbeits- und interessenbedingt sehr viel im Thema IT-Sicherheit ein.

Ich bin grade etwas im Zwiespalt bei dem Social Engineering.

Falls man dort wirklich Erfolg hat und z.B. einem Benutzer Passwörter oder dergleichen entlockt und man dies dem IT-Verantwortlichem berichtet, steht der Benutzer doch quasi auf der Kippe. Denn wo ist das gerne gesehen, dass ein Mitarbeiter Daten weitergibt? Nirgends.

Wie hoch ist die Wahrscheinlichkeit, dass so jemand gefeuert wird?

Habt ihr da irgendwelche Erfahrungen mit? Es ist ja quasi nur das Testen der Mitarbeiter, aber trotzdem...

[127.0.0.1]

was hast du vor? mitarbeiter testen und dann bei chef petzen nach dem motto "herr müller hat mir sein passwort gesagt"? mach stichproben und berichte deinem chef, dass die mitarbeiter senisbilisiert werden müssen. und dann gibts einen workshop über it-sicherheit und social engineering, so dass die mitarbeiter zukünftig nicht blauäugig daten rausgeben.

[Nopp]

was hast du vor? mitarbeiter testen und dann bei chef petzen nach dem motto "herr müller hat mir sein passwort gesagt"? mach stichproben und berichte deinem chef, dass die mitarbeiter senisbilisiert werden müssen. und dann gibts einen workshop über it-sicherheit und social engineering, so dass die mitarbeiter zukünftig nicht blauäugig daten rausgeben.

Z.B. hat eine 10 Mann Anwaltskanzlei damals bei meiner Firma Social Engineering beauftragt. Ein Mitarbeiter hat uns dann halt wirklich per Teamviewer auf seinen Rechner gelassen, als wir uns als IT-Betreuung ausgegeben haben. Lokale Admins waren sie alle.

Außerdem haben wir einen USB-Stick vor die Eingangstür gelegt, welcher von einem anderen Mitarbeiter direkt in den PC gesteckt wurde...

Als der Chef das damals erfahren hat wollte er die Namen wissen, was mein Ausbilder dann aber verneint hat. Da gab es dann im Nachhinein keine weitere Zusammenarbeit.

[Eye-Q]

Tja, das ist eine gute Frage, ob das ein Kündigungsgrund ist, denn so etwas wird in der Form in keinem Vertrag stehen, allerdings kann man andere Klauseln á la Verschwiegenheit so interpretieren, dass so etwas ein Kündigungsgrund ist.

Wenn ich bei einer externen Firma so einen Test durchführen würde, würde ich vorher im Vertrag festhalten, dass die Namen der Mitarbeiter, die sich nicht gut angestellt haben, nicht genannt werden, eben um diese Bredouille zu vermeiden.

Wenn anschließend zeitnah eine Schulung gemacht wird, wird/werden der/die betroffene/n Mitarbeiter schon (hoffentlich) selbst erkennen, dass er/sie etwas falsch gemacht hat/haben.

[Nopp]

Vertraglich wurde laut meinem Ausbilder damals beschlossen keine Namen zu nennen. Der Kunde bestand jedoch nach Abschluss der Tests darauf. Aber danke für Eure Antworten.

[pr0gg3r]

Lokale Admins waren sie alle.

1. Wenn keine Sicherheitsirchtlinien zum Unterschreiben vorgelegt werden, ist das falsch.

2. Wenn Mitarbeiter nicht regelmäßig(!) sensibilisiert werden, ist das falsch.

3. Wenn es keine Regelungen gibt, die ständig einsehbar sind (Intranet, Laufwerk, sonstwo), ist das falsch.

4. Wenn es keinen Datenschutzbeauftragten gibt, ist das falsch.

5. Wenn lokale Adminrechte benötigt werden, ist das saumäßig falsch.

Für uns ITler sind die meisten solche Umstände klar. Man kann aber nicht von der neuen Azubine erwarten, die das erste mal an einem Firmen-PC sitzt, dass sie weiß, dass man Rechnung.exe nicht ausführt (wenn sowas durchs System kommt, läuft auch etwas schief. Und wenn man aufgrund von fehlenden Richtlinien keine E-Mails auf Viren nach Viren durchsuchen darf bzw. sie rausfiltern darf, sowieso).

Jemanden durch das Versagen des Betriebes eine Kündigung auszusprechen, halte ich für sehr gewagt. Außerdem muss so etwas unter Vorsatz passieren und nicht aus versehen. Wenn also die Azubine sagt: "ich mag meine Ausbilderin nicht, deswegen führe ich bei ihr Virus.exe aus", ist das definitiv ein Grund für eine Abmahnung oder sogar eine Kündigung. Wenn sie aber trotz allem Sicherheitsblabla ausversehen Rechnung.exe ausführt, ist das definitiv kein Vorsatz.

Außerdem ist es unter aller Sau, jemanden dazu zu bringen, Fehler zu machen. Und diesen im schlimmsten Fall sogar abzumahnen. Das ist dann auch wieder Vorsatz und nicht gerade legal.

[neinal]

Soweit mir bekannt ist, wird sowas im Normalfall anonym weitergeleitet. Es geht in solchen Fällen ja auch nicht wirklich NUR um eine Person, sondern meist um mehrere.

Wenn ich an einen Kunden von mir denke (großer Automobilhersteller), war es ein Kampf dort als externer Mitarbeiter überhaupt reingelassen zu werden. Ich musste sehr viel Papierkram unterschreiben, der genau soetwas entgegen wirken soll. Aber die internen Mitarbeiter hatten fröhlich ein Post-It mit Passwörtern an ihrem Bildschirm kleben.

Mitarbeiter müssen sensibilisiert werden. Vielen ist das Problem dabei gar nicht bewusst. Ich war damals in einer Schule die einen Laptop-Unterricht angeboten hat. Die Laptops wurden gesammelt bei einer Firma bestellt. Irgendwann gab es Probleme mit dem Standby-Schalter vom Display. Da hat die Firma verlangt, dass wir unsere Laptops abgeben und ein PostIt drauf kleben, auf dem das Windows-Kennwort steht. Ich war damals die einzige (von 35) in meiner Klasse, die sich geweigert hat. Alle anderen haben kein Problem dabei gesehen. Weil ihnen wahrscheinlich einfach nicht bewusst ist, was das bedeutet... Dafür darf man meiner Meinung nach aber nicht den Mitarbeiter verantwortlich machen.....

[DarkMaster]

der Fall von nopp ist sehr amüsant. Evtl. hätte die Kanzlei mal im Vorfeld die IT sauber einrichten lassen sollen, bevor sie solche Aktivitäten planen.

Meist ist bei großen Unternehmen auch das Problem, dass die MA garnicht wirklich wissen, wer für was in der IT zuständig. Gerade wenn mehrere externe Dienstleister zum Einsatz kommen. Letztendlich interessiert den User nur, dass die SW etc. funktioniert. Wer dafür verantwortlich ist, interessiert meist nicht. Neinal nennt hierzu bereits das Stichwort: Sensibilisierung.

Allerdings ist es selbst mit TeamViewer recht einfach, die HDD zu analysieren und Daten rüberzuschaufeln.

Es heißt ja nicht umsonst bzgl. IT-Security, das schwächste Glied in der Kette ist immer noch der Mensch. Unterstützt wird Social Engineering dann noch durch soziale Netzwerke, worüber man dann gezielt die jeweiligen Personen angreifen kann.

Es müssen im Unternehmen klare Richtlinien existieren, die solche Fälle zumindest eindämmen. Auch die Informationspolitik im Unt. muss hier klar sein und für jeden einsehbar sein.

[Wuwu]

Vertraglich wurde laut meinem Ausbilder damals beschlossen keine Namen zu nennen. Der Kunde bestand jedoch nach Abschluss der Tests darauf. Aber danke für Eure Antworten.

Passt doch, kein Geschaeft mehr mit Firmen, die sich nicht an Absprachen halten, sehr simple Geschichte.