So schützen Arbeitnehmer sich vor Spionage
München (dpa/tmn) - Industriespionage trifft nur hochrangige Spitzenkräfte? Von wegen. Gerade beim sogenannten Social Engineering geraten auch einfache Arbeitnehmer ins Visier. Auch hinter scheinbar harmlosen Fragen lauern unter Umständen böse Absichten.
Die Situation ist eigentlich ganz alltäglich: „Nein, tut mir leid, mein Chef ist mit seinen Kindern unterwegs.“ „Ach toll, wie alt sind die beiden denn?“ Eine nette Plauderei am Telefon, die für Arbeitnehmer aber zum Problem werden kann. Denn hinter solch vermeintlich harmlosen Fragen verbirgt sich vielleicht eine besondere Variante der Firmen- oder Industriespionage, genannt Social Engineering.
Die Angreifer versuchen dabei, durch das Ausnutzen menschlicher Schwächen an wichtige Informationen zu gelangen, erklärt Christian Schaaf von der Sicherheitsfirma Corporate Trust. In dem oben erzählten Beispiel sind es die Namen und das Alter der Kinder, aus denen sich vielleicht das Computerpasswort des Chefs zusammenbauen lässt. „Dem Opfer wird gezielt das Gefühl vermittelt, dass eigentlich nichts Schlimmes passieren kann.“
Ins Visier der Spione geraten vor allem Industrieunternehmen aller Art, zum Beispiel aus der Autoindustrie. „Im Grunde alle Firmen, die etwas machen, was kein anderer kann“, erklärt die Professorin Melanie Volkamer, die am Darmstädter Center for Advanced Security Research (CASED) über das Thema Social Engineering forscht.
Angegriffen werden nicht nur hochrangige Mitarbeiter, sondern gerade auch Arbeitnehmer, die im Abwimmeln unerwünschter Anfragen nicht so geübt sind. „Da steht dann auf einer Messe vielleicht auch mal der Entwickler am Stand und nicht der geschulte Pressesprecher“, erklärt Sicherheitsexperte Schaaf eine bekannte Variante. „Der ist natürlich sehr stolz auf sein Produkt und möchte es unbedingt zeigen.“ Zum Problem wird das, wenn ein geschickter Angreifer dann an die Techniker-Ehre appelliert und ihm so Geheimnisse entlockt - zum Beispiel mit einem Satz wie „Aber das kann ihr Produkt nicht, oder?“
Arbeitnehmer können sich mit kleinen Tricks selbst vor Spionage schützen und zum Beispiel auch bei kurzer Abwesenheit den PC-Bildschirm ausmachen und ihr Büro abschließen. Das hält Spione fern, die sich unter einem Vorwand Zugang zur Firma verschafft haben. Hilfreich ist auch, sich Strategien zum Loswerden eventueller Angreifer zu überlegen, erklärt Melanie Volkamer: „Viele scheuen sich, am Telefon einfach 'Nein' zu sagen, weil sie das als unhöflich empfinden.“ Stattdessen könnten sie aber zum Beispiel „Da muss ich erst kurz meinen Kollegen fragen“ sagen. Denn das schreckt die Angreifer oft genauso ab.
Wichtig ist aber vor allem, dass der Arbeitgeber klare Regeln zum Umgang mit Geheimnissen aufstellt, sagt die Professorin. Angestellte müssten genau wissen, an wen sie was herausgeben dürfen - und sich im Zweifel auch darauf berufen können: „Ich muss wissen, dass mir kein Ärger droht, wenn ich mich an Regeln halte.“ Denn auch das sei eine typische Masche beim Social Engineering: „Angreifer nutzen diese Unsicherheit aus: 'Gut, dann geben Sie mir das Passwort nicht - dann müssen Sie aber dafür geradestehen!'“
Industriespione lauern allerdings nicht nur am Telefon und am Arbeitsplatz. „Es ist heute viel leichter für Angreifer, an Informationen zu kommen“, warnt Volkamer. So stellen Firmen zum Beispiel ihre Organigramme ins Netz oder posten Interna in sozialen Netzwerken. Angreifer können sich darüber mit vermeintlichem Insiderwissen versorgen und glaubwürdiger wirken. Außerdem nehmen immer mehr Angestellte ihre Arbeit mit nach Hause oder zum Beispiel mit in den Zug, wo das Notebookdisplay leicht für andere einzusehen ist. Hier ist Vorsicht gefragt.
Übertreiben sollte man es damit aber auch nicht, findet Christian Schaaf: „Totales Misstrauen ist die verkehrte Reaktion - das Leben soll ja auch noch Spaß machen.“ Zu viel Vorsicht kann auch das Klima in einem Unternehmen vergiften. Arbeitnehmer müssten aber wissen, was beim Social Engineering möglich und üblich ist. Viele Attacken könne man so schon leicht abwehren, sagt der Experte: „Angriffe sind nur selten extrem ausgefeilt, sondern oft sogar ziemlich plump.“
Wer auf die Social-Engineering-Tricks reinfällt, muss im Ernstfall mit rechtlichem Ärger rechnen. Steckt hinter dem Geheimnisverrat keine Absicht, sind die Konsequenzen aber überschaubar. „Dann hat der Mitarbeiter einen Fehler gemacht und muss vielleicht mit einer Abmahnung rechnen“, erklärt Nathalie Oberthür, Fachanwältin für Arbeitsrecht.
Gibt es in einer Firma dagegen klare Regeln zum Umgang mit Passwörtern und vertraulichen Informationen, droht mehr Ungemach: „Dann kann ein Unternehmen zum Beispiel auch Vertragsstrafen festlegen“, warnt Oberthür. Ganz anders sei der Fall bei absichtlichem Geheimnisverrat: „Das ist fast immer Anlass für eine fristlose Kündigung.“ Zudem könne ein Unternehmen dann auch Schadenersatz von seinem Mitarbeiter verlangen.