Wer geheime Daten sucht, der findet sie auch


Umfrage zeigt: Fundbüros deutscher Großstädte und Flughäfen sind ein potenzielles Wirkungsumfeld für Hacker
Datenschutz in Gefahr: Können Hacker die Angestellten mit Hilfe von Social Engineering überzeugen, die Geräte herauszugeben, haben sie oftmals leichtes Spiel


(30.04.08) - Wie einfach kommen Unberechtigte an aufgefundene Notebooks in deutschen Fundbüros? Ziemlich einfach: Das ist das Ergebnis einer Telefon-Umfrage des Experten für IT-Intensivkurse und Managementkurse, Firebrand Training. Auf die Frage, ob man einen verlorenen Laptop ausnahmsweise auch ohne Angabe von Seriennummer oder Kaufbeleg zurück erhalten könne, antworteten fast alle der Angestellten der befragten Fundbüros (1) mit "Ja".

Auch kriminelle Hacker wissen um die Wirkung hartnäckigen Insistierens, sprich um die Erfolgsaussichten von Social Engineering. Davon spricht man, wenn Böswillige gezielt menschliche Eigenschaften wie Hilfsbereitschaft ausnutzen, um Informationsträger zu manipulieren und so unberechtigt an Angaben zu gelangen. Deshalb warnt Firebrand Training: Mit den Daten, die ein Hacker von verlorenen Notebooks ausspionieren könnte, wäre es ihm ein Leichtes, diese zum Beispiel für Wirtschaftsspionage oder Online-Banking-Betrug zu nutzen.

"Unsere Umfrage zeigt, dass es nicht nur bei Mitarbeitern in entsprechenden Institutionen in Punkto Security Awareness noch im Argen liegt", so Robert Chapman, Mitbegründer von Firebrand Training und Geschäftsführer der gleichnamigen GmbH. Auch Personen, die Laptops & Co. verlieren, müssten diese von vornherein besser sichern. Zumindest ein Passwort sollten die Geräte aufweisen.

Fundbüros sind ein gutes Jagdgebiet für Hacker: Mit durchschnittlich 50 abgegebenen Laptops in den entsprechenden Einrichtungen der Städte und Flughäfen eröffnet sich hier so manche Chance, an sensible Daten zu gelangen. Können Hacker die Angestellten mit Hilfe von Social Engineering überzeugen, die Geräte herauszugeben, haben sie oftmals leichtes Spiel: Denn viele in Fundbüros abgegebene Notebooks sind häufig völlig ungesichert und nicht einmal Passwort-geschützt.

Besonders prekär: Nach drei Monaten bis zu einem Jahr versteigern einige Einrichtungen auf großen Auktionen ihre unabgeholten Fundstücke. Auch hier lassen sich Notebooks ergaunern - in manchen Fällen mit der vollen Softwareausstattung.

Auf den Homepages der Fundbüros stehen zudem teilweise sogar detaillierte Informationen zu den Fundstücken bereit. Es werden Merkmale wie Hersteller, Farbe und genauer Fundort angegeben - eine gute Vorlage für jeden Betrüger. Um an ein verlorenes Gerät zu gelangen, muss er bei Abholung des Notebooks lediglich unterschreiben und eine Kopie des Personalausweises hinterlegen.

Es bleibt zu befürchten, dass sich Kriminelle von diesen Vorgaben nicht abschrecken lassen. Angestellte eines Flughafenbüros - so das Ergebnis der Firebrand Training-Befragung - sind allerdings etwas vorsichtiger und verlangen detaillierte Angaben wie Flugnummer und Terminal. Allerdings befürchtet Robert Chapman, dass kreative Hacker auch hier einen Vorwand finden, um diese Vorgaben auszuhebeln.

"Wollte man das Bewusstsein für IT-Sicherheit erfassen, würde das Ergebnis leider viel zu oft Null Treffer heißen", so Robert Chapman, Mitbegründer von Firebrand Training und Geschäftsführer der gleichnamigen GmbH. "Es muss das ureigenste Interesse aller Unternehmen sein, ihre Mitarbeiter zu sensibilisieren und entsprechend zu schulen. IT-Sicherheit ist keine Eintagsfliege, denn Hacker suchen nach immer neuen Möglichkeiten, um die Anwender auszutricksen."

(1) Telefonisch befragt wurden Fundbüros in Berlin, Hamburg, Frankfurt, München, Köln, Stuttgart und Flughafen-Fundbüros in München, Hamburg, Berlin und Stuttgart.
(Firebrand: ra)



Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen