Zum Inhalt springen

Social Engineering - Verantwortung


Empfohlene Beiträge

Geschrieben

Hi,

ich lese mich momentan arbeits- und interessenbedingt sehr viel im Thema IT-Sicherheit ein.

Ich bin grade etwas im Zwiespalt bei dem Social Engineering.

Falls man dort wirklich Erfolg hat und z.B. einem Benutzer Passwörter oder dergleichen entlockt und man dies dem IT-Verantwortlichem berichtet, steht der Benutzer doch quasi auf der Kippe. Denn wo ist das gerne gesehen, dass ein Mitarbeiter Daten weitergibt? Nirgends.

Wie hoch ist die Wahrscheinlichkeit, dass so jemand gefeuert wird?

Habt ihr da irgendwelche Erfahrungen mit? Es ist ja quasi nur das Testen der Mitarbeiter, aber trotzdem...

Geschrieben

was hast du vor? mitarbeiter testen und dann bei chef petzen nach dem motto "herr müller hat mir sein passwort gesagt"? mach stichproben und berichte deinem chef, dass die mitarbeiter senisbilisiert werden müssen. und dann gibts einen workshop über it-sicherheit und social engineering, so dass die mitarbeiter zukünftig nicht blauäugig daten rausgeben.

Geschrieben
was hast du vor? mitarbeiter testen und dann bei chef petzen nach dem motto "herr müller hat mir sein passwort gesagt"? mach stichproben und berichte deinem chef, dass die mitarbeiter senisbilisiert werden müssen. und dann gibts einen workshop über it-sicherheit und social engineering, so dass die mitarbeiter zukünftig nicht blauäugig daten rausgeben.

Z.B. hat eine 10 Mann Anwaltskanzlei damals bei meiner Firma Social Engineering beauftragt. Ein Mitarbeiter hat uns dann halt wirklich per Teamviewer auf seinen Rechner gelassen, als wir uns als IT-Betreuung ausgegeben haben. Lokale Admins waren sie alle.

Außerdem haben wir einen USB-Stick vor die Eingangstür gelegt, welcher von einem anderen Mitarbeiter direkt in den PC gesteckt wurde...

Als der Chef das damals erfahren hat wollte er die Namen wissen, was mein Ausbilder dann aber verneint hat. Da gab es dann im Nachhinein keine weitere Zusammenarbeit.

Geschrieben

Tja, das ist eine gute Frage, ob das ein Kündigungsgrund ist, denn so etwas wird in der Form in keinem Vertrag stehen, allerdings kann man andere Klauseln á la Verschwiegenheit so interpretieren, dass so etwas ein Kündigungsgrund ist.

Wenn ich bei einer externen Firma so einen Test durchführen würde, würde ich vorher im Vertrag festhalten, dass die Namen der Mitarbeiter, die sich nicht gut angestellt haben, nicht genannt werden, eben um diese Bredouille zu vermeiden.

Wenn anschließend zeitnah eine Schulung gemacht wird, wird/werden der/die betroffene/n Mitarbeiter schon (hoffentlich) selbst erkennen, dass er/sie etwas falsch gemacht hat/haben.

Geschrieben

Vertraglich wurde laut meinem Ausbilder damals beschlossen keine Namen zu nennen. Der Kunde bestand jedoch nach Abschluss der Tests darauf. Aber danke für Eure Antworten.

Geschrieben
Lokale Admins waren sie alle.

1. Wenn keine Sicherheitsirchtlinien zum Unterschreiben vorgelegt werden, ist das falsch.

2. Wenn Mitarbeiter nicht regelmäßig(!) sensibilisiert werden, ist das falsch.

3. Wenn es keine Regelungen gibt, die ständig einsehbar sind (Intranet, Laufwerk, sonstwo), ist das falsch.

4. Wenn es keinen Datenschutzbeauftragten gibt, ist das falsch.

5. Wenn lokale Adminrechte benötigt werden, ist das saumäßig falsch.

Für uns ITler sind die meisten solche Umstände klar. Man kann aber nicht von der neuen Azubine erwarten, die das erste mal an einem Firmen-PC sitzt, dass sie weiß, dass man Rechnung.exe nicht ausführt (wenn sowas durchs System kommt, läuft auch etwas schief. Und wenn man aufgrund von fehlenden Richtlinien keine E-Mails auf Viren nach Viren durchsuchen darf bzw. sie rausfiltern darf, sowieso).

Jemanden durch das Versagen des Betriebes eine Kündigung auszusprechen, halte ich für sehr gewagt. Außerdem muss so etwas unter Vorsatz passieren und nicht aus versehen. Wenn also die Azubine sagt: "ich mag meine Ausbilderin nicht, deswegen führe ich bei ihr Virus.exe aus", ist das definitiv ein Grund für eine Abmahnung oder sogar eine Kündigung. Wenn sie aber trotz allem Sicherheitsblabla ausversehen Rechnung.exe ausführt, ist das definitiv kein Vorsatz.

Außerdem ist es unter aller Sau, jemanden dazu zu bringen, Fehler zu machen. Und diesen im schlimmsten Fall sogar abzumahnen. Das ist dann auch wieder Vorsatz und nicht gerade legal.

Geschrieben

Soweit mir bekannt ist, wird sowas im Normalfall anonym weitergeleitet. Es geht in solchen Fällen ja auch nicht wirklich NUR um eine Person, sondern meist um mehrere.

Wenn ich an einen Kunden von mir denke (großer Automobilhersteller), war es ein Kampf dort als externer Mitarbeiter überhaupt reingelassen zu werden. Ich musste sehr viel Papierkram unterschreiben, der genau soetwas entgegen wirken soll. Aber die internen Mitarbeiter hatten fröhlich ein Post-It mit Passwörtern an ihrem Bildschirm kleben.

Mitarbeiter müssen sensibilisiert werden. Vielen ist das Problem dabei gar nicht bewusst. Ich war damals in einer Schule die einen Laptop-Unterricht angeboten hat. Die Laptops wurden gesammelt bei einer Firma bestellt. Irgendwann gab es Probleme mit dem Standby-Schalter vom Display. Da hat die Firma verlangt, dass wir unsere Laptops abgeben und ein PostIt drauf kleben, auf dem das Windows-Kennwort steht. Ich war damals die einzige (von 35) in meiner Klasse, die sich geweigert hat. Alle anderen haben kein Problem dabei gesehen. Weil ihnen wahrscheinlich einfach nicht bewusst ist, was das bedeutet... Dafür darf man meiner Meinung nach aber nicht den Mitarbeiter verantwortlich machen.....

Geschrieben

der Fall von nopp ist sehr amüsant. Evtl. hätte die Kanzlei mal im Vorfeld die IT sauber einrichten lassen sollen, bevor sie solche Aktivitäten planen.

Meist ist bei großen Unternehmen auch das Problem, dass die MA garnicht wirklich wissen, wer für was in der IT zuständig. Gerade wenn mehrere externe Dienstleister zum Einsatz kommen. Letztendlich interessiert den User nur, dass die SW etc. funktioniert. Wer dafür verantwortlich ist, interessiert meist nicht. Neinal nennt hierzu bereits das Stichwort: Sensibilisierung.

Allerdings ist es selbst mit TeamViewer recht einfach, die HDD zu analysieren und Daten rüberzuschaufeln.

Es heißt ja nicht umsonst bzgl. IT-Security, das schwächste Glied in der Kette ist immer noch der Mensch. Unterstützt wird Social Engineering dann noch durch soziale Netzwerke, worüber man dann gezielt die jeweiligen Personen angreifen kann.

Es müssen im Unternehmen klare Richtlinien existieren, die solche Fälle zumindest eindämmen. Auch die Informationspolitik im Unt. muss hier klar sein und für jeden einsehbar sein.

Geschrieben
Vertraglich wurde laut meinem Ausbilder damals beschlossen keine Namen zu nennen. Der Kunde bestand jedoch nach Abschluss der Tests darauf. Aber danke für Eure Antworten.

Passt doch, kein Geschaeft mehr mit Firmen, die sich nicht an Absprachen halten, sehr simple Geschichte.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...