Gefahren
Ausspionieren von Passwörtern
Gefahren lauern schon bei der Passwort-Eingabe. Wer kann auf Ihrer Tastatur mitlesen, wenn Sie Ihr Passwort eingeben, z.B. durch die Bürotür oder ein Fenster?
- Achten Sie darauf, dass Sie niemand bei der Eingabe des Passwortes beobachten kann.
- Bislang müssen Passwörter aufgrund technischer oder organisatorischer Vorgaben wiederkehrend geändert werden. Mittlerweile wird vermehrt empfohlen, möglichst lange Passwörter zu verwenden, die dafür in größeren zeitlichen Abständen geändert werden müssen.
- Wenn Sie befürchten, dass jemand Ihr Passwort erraten hat, ändern Sie es sofort!
Social Engineering
Unter “Social Engineering” versteht man das böswillige Sammeln von Informationen unter Verwendung einer vertrauensvollen Identität. Die angreifende Person gibt sich am Telefon, per E-Mail oder auch persönlich als eine vertrauenswürdige Person, z.B. als Mitarbeiter*in der IT-Abteilung, aus und versucht, von Ihnen vertrauliche Informationen oder Zugangsdaten zu erhalten. Häufig wird dabei noch auf zeitlichen Druck oder ungehaltene Vorgesetze hingewiesen.
Beispiel: Bei Ihnen klingelt das Telefon. Die Anruferin sagt, sie würde in der IT-Abteilung arbeiten und müsse alle Postfächer “zurücksetzen”. Hierzu würde sie Ihr Passwort benötigen. Andernfalls könnten keine E-Mails mehr empfangen werden. Hier ist Wachsamkeit geboten: Sie dürfen keine sensiblen Informationen an unbefugte Dritte weitergeben. Das gilt insbesondere für Zugangsdaten wie Login oder Passwort.
Zunehmend wird auch versucht, Beschäftigte zu Banküberweisungen durch vermeintliche Vorgesetzte zu bewegen. Bei diesen “CEO-Frauds” (= Geschäftsführer-Betrug) werden dringende und geheim zu haltende Finanzgeschäfte als Grund angegeben. Neue Verfahren mit künstlicher Intelligenz (KI) erlauben es auch, Stimmen täuschend echt zu fälschen. Auf diesem Weg können Sprachnachrichten z.B. von Vorgesetzten auf Anrufbeantwortern hinterlassen werden, die Beschäftigte zu einer Überweisung veranlassen sollen. Fragen Sie im Zweifelsfall auch bei solchen Nachrichten noch einmal nach.
Erkundigen Sie sich im Zweifelsfall über die Person, die von Ihnen Auskünfte oder Handlungen verlangt, um deren Identität zu prüfen und rufen Sie dann zurück. Halten Sie auch intern Rücksprache. Informieren Sie bei merkwürdigen Vorfällen Ihre Vorgesetzten oder Ihre Ansprechperson.
Woran Sie einen Social Engineering-Angriff erkennen können:
- Jemand Ihnen persönlich nicht bekannter gibt sich als Kolleg*in oder Autoritätsperson aus, bei der Sie davor zurückschrecken, Nachfragen zu stellen.
- Sie droht mit Nachteilen oder Schäden, wenn Sie ihr nicht helfen, und macht das Anliegen dringend.
- Die angreifende Person lässt vielleicht bekannte Namen fallen, empfindet Fragen aber als lästig.
- Sie weigert sich, eine Rückrufnummer anzugeben und schmeichelt oder flirtet vielleicht mit Ihnen, um das Ziel zu erreichen.
Seien Sie sich bewusst, dass alle Ihnen unbekannte Anrufer*innen Angriffe versuchen könnten, insbesondere wenn ungewöhnliche Hilfe und dringende Auskünfte bei Ihnen angefragt werden.
- Fragen Sie unbekannte Anrufer*innen nach Name, Dienststelle und Telefonnummer
- Rufen Sie zurück, nach dem Sie sich über das Anliegen anderweitig versichert haben
- Im Zweifelsfall wenden Sie sich an Ihre Vorgesetzten oder die Ansprechperson.