Gefahr durch Social Engineering - www.ec-net.de www.it-sicherheit.de
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Informationsbroschüre
Gefahr durch
Social Engineering
www.ec-net.de
www.it-sicherheit.de
Herausgeber Fachhochschule Gelsenkirchen Institut für Internet-Sicherheit - if(is) www.internet-sicherheit.de Text und Redaktion Dipl.-Inform.(FH) Sebastian Spooren Prof. Dr. (TU NN) Norbert Pohlmann Dustin Pawlitzek Fachhochschule Gelsenkirchen Institut für Internet-Sicherheit - if(is) Bildquelle pmtavares - Fotolia.com Julien Eichinger - Fotolia.com PA - Fotolia.com MACLEG - Fotolia.com ioannis kounadeas - Fotolia.com pressmaster - Fotolia.com fotoflash - Fotolia.com Yana Tsvetkova - Fotolia.com Stand Dezember 2010
Überblick | 4
Inhalt
1 Einleitung: Die Gefahr Mensch ..................................... 4
2 Wussten Sie schon, dass ... ? ........................................ 5
3 Gefahren durch Unwissenheit und Bequemlichkeit ...... 6
4 7 Tipps für Mitarbeiter zum Schutz vor
Social Engineering .....................................................10
5 Geben Sie Ihren Beschäftigten eine gute
Ausgangsbasis ...........................................................12
6 Die Gefahren sozialer Netzwerke ................................14
7 Fazit ...........................................................................15
8 Quellen ......................................................................16
9 Weiterführende Informationen ....................................16
10 Sichere E-Geschäftsprozesse in KMU und Handwerk ...17
11 Unsere Kompetenzen im Verbundprojekt ...................18
4 | Einleitung
Die Gefahr Mensch
Einleitung
Internetkriminelle sind in der Vorstellung schützen. Social-Engineering Angriffe be-
vieler Menschen technisch versierte Genies, schränken sich nicht nur auf den persön-
die in dunklen Kellerräumen umringt von lichen Kontakt, sondern können ebenso
Pizzaschachteln komplexe Computercodes über Telefon, E-Mail oder alle anderen
programmieren, um damit sensible Daten Kommunikationsmitteln ausgelöst werden.
zu stehlen und in fremde Computernetz- Werden Ihre Beschäftigten für das Thema
werke einzudringen. Dies entspricht jedoch nicht sensibilisiert, laufen Sie Gefahr, dass
häufig nicht der Realität. Ihre Mitarbeiterinnen und Mitarbeiter zu-
meist aus Höflichkeit oder Bequemlichkeit
dem unscheinbaren Angreifer unwissend
Neben dem klassischen Hacken, also dem
Tür und Tor öffnen.
Eindringen mit technischen Mitteln wie
z.B. Computerviren, gibt es für Kriminelle
aber auch einen einfacheren Weg, an die Oftmals haben gerade kleine und mittel-
gewünschten Informationen zu gelangen. ständische Unternehmen Angst nicht alle
Warum nicht einfach nett danach fragen? Aspekte zum Schutz Ihres Unternehmens
Kaum zu glauben, aber die Methode des auch angemessen umsetzen zu können.
„Social Engineerings“ verspricht insbeson- Sie glauben häufig, dass es ein enormer
dere in Unternehmen mit überdurchschnitt- Aufwand ist und damit hohe finanzielle
lichen IT-Sicherheitsvorkehrungen große Kosten verbunden sind, um alle Maßnah-
Erfolge für den Angreifer. Dazu nutzen men umsetzen zu können. Diese Infor-
die Kriminellen die größte Schwachstelle mationsbroschüre ist als Impulsgeber
eines Unternehmens: seine Mitarbeiter. gedacht und soll Sie motivieren, sich mit
dem Thema Social Engineering auseinander
zusetzen und die eigenen Beschäftigten
Ein wirkungsvolles IT-Sicherheitskonzept
bei dem Thema Informationssicherheit mit
erfordert neben angemessenen technischen
einzubeziehen. Diese Broschüre gibt Ihnen
Sicherheitsmaßnahmen und Notfallplänen
nützliche Tipps an die Hand, wie Sie sich
eine Sensibilisierung der Mitarbeiter für
und Ihr Unternehmen vor den Gefahren
das Thema Informationssicherheit. In der
des Social Engineerings schützen können.
Fachsprache wird die Sensibilisierung der
Bereits die Berücksichtigung nur einiger
Mitarbeiter als Awareness bezeichnet. Nur
Tipps dieser Broschüre trägt dazu bei,
unter Berücksichtigung einer Awareness-
dass Ihre Beschäftigten ein Gespür für das
Kampagne kann sich ein Unternehmen
Thema IT-Sicherheit entwickeln.
vor Angriffen mittels Social Engineering
Wussten Sie schon, dass... | 5 Wussten Sie schon, dass ... » ... Kevin Mitnick, der Mitte der neunziger Jahre meist gesuchteste Hacker weltweit, am meisten durch Social Engineering Angriffe bekannt wurde und sich damit mehrfach Zugang zum Pentagon verschaffte? » ... bei einem Test innerhalb eines Social-Networks von 200 zufällig ausgewählten Benutzern mehr als 75% ihre Adresse oder den derzei- tigen Wohnort preisgeben würden? » ... in mehr als 25% der Fälle die eigenen Mitarbeiterinnen und Mitarbeiter eines Unternehmens vertrauliche Informationen unwis- send weitergeben würden? » ... bei einer Passantenbefragung der Liverpool Street Station in London mehr als 70% von 172 Befragten ihr firmeninternes Passwort für eine Tafel Schokolade preisgeben würden?
6 | Vor gehen der Täter
Gefahren durch Unwissenheit
und Bequemlichkeit
Mehr als 60 Prozent der Angriffe auf die psychologischen Mitteln langsam an die
unternehmensweite IT erfolgen heutzu- Zielinformation heranzutasten. Häufig
tage nicht mehr von außen, sondern von schlüpft der Täter in die Rolle einer Au-
den eigenen Mitarbeitern. Nicht weil sie toritäts- oder Vertrauensperson. Dabei
böswillig sind, sondern weil sie manipu- sammelt er Informations-Puzzlesteine, die
liert werden und aus Unwissenheit oder ihn an anderer Stelle als vertrauenswürdig
Bequemlichkeit betriebliche Sicherheits- erscheinen lassen.
vorgaben missachten.
Hilfsbereitschaft wird
ausgenutzt
Angreifer nutzen dazu menschliche Ei-
genschaften wie Gutgläubigkeit, Hilfs-
bereitschaft, Stolz, Konfliktvermeidung
oder Respekt vor Autoritäten aus, um mit
psychologischen Tricks an die gewünschten
Informationen zu gelangen. Ein Social-
Engineering-Angriff beginnt in der Regel Was wollen die Täter?
mit der Beschaffung von allgemeinen In-
formationen über das Unternehmen, das Besonders häufig haben es Social En-
angegriffen oder ausspioniert werden soll. gineers auf Passwörter abgesehen. So
täuscht der Angreifer beispielsweise ein
Wie gehen Angreifer vor? Problem vor, das einer sofortigen Lö-
sung bedarf, z.B. ein Hackerangriff, der
sofortigen Zugriff auf den Account des
Schon ein Organigramm und die Telefon-
Mitarbeiters erfordert. Weil er bestimmt
liste können einem versierten Angreifer
und autoritär auftritt, sein Opfer zuvor
genügen. Dieser ruft nun in dem Wissen um
unter psychologischen Gesichtspunkten
die vorherrschenden hierarchischen Struk-
ausgewählt hat und es zusätzlich mit
turen beim Unternehmen an. Er täuscht
Stress konfrontiert, gibt ihm dieses oftmals
eine falsche Identität vor, um sich durch
bereitwillig die Zugangsdaten heraus.
eine geschickte Fragestellung und mit
Gefahr durch Unwissenheit ... | 7
Social Engineers nutzen für ihre Angriffe hilfsbereiten Telefonistin in der Zentrale
verschiedene Taktiken: Sie erscheinen durch die Nennung eines Namens die Infor-
persönlich beim Opfer, kontaktieren es mation, dass sich dieser Mitarbeiter noch
per Telefon, E-Mail oder SMS. Entschei- mindestens zwei Stunden in einem wich-
dend für das Gelingen ist in jedem Fall tigen Meeting befindet und nicht gestört
der Überraschungsmoment. werden möchte. Mit dieser Information
meldet sich der Anrufer nun bei einem
anderen Kollegen im Unternehmen und
Beispiel-Szenarien bezieht sich dabei auf ein erfundenes
Telefonat mit dem Mitarbeiter aus dem
„Einen schönen guten Tag ...“ Meeting, um bestimmte Informationen
(z.B. den Marketingplan) zu erschleichen.
Beispielsweise erhält ein Anrufer von der
Dabei gibt er an, dass er dies mit dem
8 | Beispiel-Szenarien
Mitarbeiter aus dem Meeting besprochen
hat und bereits seit einer Stunde auf den
Marketingplan wartet und diesen nun sehr
dringend benötigt oder andernfalls die
geplante Marketingkampagne abgesagt
werden muss. Rückt der angerufene Mit-
arbeiter die Informationen zunächst nicht
raus, droht ihm der Anrufer zumeist mit
Ärger durch seinen Vorgesetzten. „Wollen
Sie verantwortlich dafür sein, dass die
Marketingkampagne für Ihr neues Pro-
dukt im nächsten Monat nicht startet?“.
Der Mitarbeiter fühlt sich dabei bereits
stark unter Druck gesetzt und gibt die
gewünschte Information preis.
Mitarbeiter auf Messen: Freundliche Handwerker im Haus
Interessant für die Konkurrenz
Viele Mitarbeiter bringen aus Gutgläu-
Insbesondere auf Messen und öffentlichen bigkeit fremden Personen oftmals zu viel
Veranstaltungen geben Mitarbeiter in Vertrauen entgegen. So kommt es lei-
Gesprächen mit möglichen Geschäfts- der immer wieder vor, dass Beschäftigte
partnern schnell und leichtfertig sensible scheinbare Handwerker ungehindert durch
Unternehmensinterna preis. Oftmals wissen das Unternehmen gehen lassen oder ihnen
Sie nicht, welche Informationen geheim sogar gewünschte Büroräume öffnen.
bleiben müssen und hoffen durch ein Auf die Frage, warum sie das gemacht
offenes und ehrliches Gespräch mit dem haben, antworten die meisten: „Alleine
Gegenüber auf den Beginn einer neuen die Kleidung. Der hat doch ausgesehen,
und erfolgreichen Partnerschaft. wie ein echter Handwerker.“
Die drei Beispiel-Szenarien zeigen, wie
Mitarbeiter meistens aus Unwissenheit
Social Engineering mal anders ... | 9
in Stressreaktionen oder aus Höflichkeit te ist das Phishing. Hierbei verfügen die
reagieren und dem Angreifer genau das Angreifer zumeist über Tausende von E-
bieten, was er möchte – Zugang zu sen- Mailadressen und versuchen automatisiert
siblen Informationen. Menschen einer bestimmten Benutzer-
gruppe (zum Beispiel Bankkunden einer
Alle drei Beispiele haben eins gemein, bestimmten Bank) dazu zu bewegen, ihnen
der Angreifer baut einen persönlichen sensible Informationen, wie Kontonum-
Kontakt zu seinem Opfer auf, um sich mer, PIN und TAN, preiszugeben. Dazu
Zutritt zu verschaffen oder Informationen täuschen Sie Schreiben der Bank vor und
zu erschleichen. bauen ganze Internetseiten nach.
Es gibt aber auch unpersönliche Varianten
des Social Engineerings. Eine sehr bekann-
10 | R i c h t i g s c h ü t z e n
7 Tipps für Mitarbeiter zum
Schutz vor Social Engineering
1. Zurückhaltung bei Auskünften Stresssituationen oder aus Höflichkeit
getroffen. Im Zweifelsfall gilt Sicherheit
Social Engineers geben sich als jemand vor Höflichkeit. Mit Ihrem Vorgesetzten
aus, der sie in Wirklichkeit nicht sind und sollten Sie absprechen, dass Ihnen keine
täuschen so eine Identität vor. Erteilen Nachteile daraus entstehen, wenn sie
Sie daher keine Auskünfte, zu denen sich bei Unsicherheit rückversichern
Sie nicht ausdrücklich ermächtigt wor- und der Vorstand oder ein wichtiger
den sind. Das gilt für die Arbeits- und Kunde eine Weile auf das gewünschte
Betriebsorganisation, Zuständigkeiten, Dokument warten muss.
persönliche Informationen von Kollegen
oder gar Benutzerdaten. Geben Sie nur 4. Halten Sie die Augen offen
so viele Informationen preis wie nötig
und hinterfragen Sie ungewöhnliche Unbekannte Personen auf den Fluren
Anliegen eines Anrufers. oder gar in den Unternehmensräumen,
offen stehende Türen, die gewöhnlich ge-
2. Werfen Sie die folgende Einstellung schlossen sind, noch nicht da gewesene
über Bord: „Ich habe sowieso keine technische Vorrichtungen - Melden Sie
sensiblen Informationen“ es Ihrem Vorgesetzten, wenn Sie etwas
Merkwürdiges beobachten und scheuen
Möchte Ihnen ein scheinbar neuer Mit- Sie sich nicht davor unbekannte Personen
arbeiter aus der IT dringend neue Si- auf dem Firmengelände anzusprechen.
cherheitsupdates einspielen, halten Sie
Rücksprache mit Ihrem Vorgesetzten. 5. Schützen Sie sensible Informationen
Der für Sie vermeintlich unwichtige PC
dient dem Angreifer oftmals als Tür- Bewahren Sie schriftliche Notizen und
öffner ins Unternehmensnetzwerk und Briefverkehr niemals auf Ihrem Schreib-
ermöglicht ihm an sensible Informati- tisch auf, sondern schützen Sie diese
onen zu gelangen. Informationen vor den Blicken Dritter.
Speichern Sie sensible Dokumente stets
3. Lassen Sie Sicherheit vor Höflich- verschlüsselt auf Ihrem PC. Selbst aus
keit walten scheinbar unwichtigen Informationen
können im Zusammenspiel mit anderen
Leichtsinnige Entscheidungen in punk- wichtige Schlüsse gezogen werden. Ver-
to Sicherheit werden insbesondere in meiden Sie es, an öffentlichen PlätzenD a s s o l l t e n S i e b e a c h t e n . . . | 11
wie im Zugabteil oder im Café über sen- zugreifen sollen. So geben sich Angreifer
sible Unternehmensinterna zu sprechen. gerne als Ihr Chef oder Ihre Bank aus,
Verwenden Sie spezielle Sichtschutzfilter um an sensible Informationen zu gelan-
für Ihren Bildschirm, wenn Sie mit Ihrem gen. Trauen Sie demnach auch keinen
Notebook an öffentlichen Plätzen, wie scheinbar seriösen Quellen. Klicken Sie
beispielsweise im Zugabteil, arbeiten. auf die scheinbar echte Adresse der Bank
werden Sie mit der Bank des Angreifers
6. Sorgen Sie für Sicherheit im Büro und nicht mit der Ihnen vertrauten Bank
verbunden. Doch der Angreifer versucht
Verschließen Sie stets das Büro, wenn dies durch ein gleiches Erscheinungsbild
dort niemand anwesend ist. Werfen Sie der Seite vor Ihnen geheim zu halten.
vertrauliche Dokumente niemals direkt Wenn Sie jetzt dort sensible Daten wie
in den Papierkorb, sondern schreddern Kontonummer, PIN und TAN eingeben,
Sie diese mit einem Aktenvernichter. gelangen die Daten an den Angreifer.
Gehen Sie sorgsam mit sensiblen Daten In diesem Falle spricht man vom so
auf mobilen Datenträgern um. Sperren genannten Phishing - einer unpersönli-
Sie Ihren Rechner immer, wenn Sie ihn chen Variante des Social Engineerings.
verlassen. Andernfalls laufen Sie Gefahr, Um sich davor zu schützen, klicken Sie
dass jemand an Informationen gelangt, keinesfalls auf Links, die auf sensible
die nicht für ihn bestimmt sind und sich Inhalte hinführen, sondern geben Sie
beispielsweise unter falschen Vorwand die Ihnen bekannten Links einfach sel-
weitere Informationen erschleichen kann. ber ein, dann werden Sie auch mit der
Sollten Sie ein Wechselmedium, wie z.B. echten Bank verbunden. Achten Sie bei
einen USB-Stick finden, so übergeben der Eingabe von sensiblen Daten auf
Sie dies Ihrem Vorgesetzten. Gefundene das „https“ statt „http“ in der Adress-
Wechselmedien sollten Sie niemals an zeile Ihres Browsers. Es zeigt Ihnen an,
einem Firmenrechner verwenden. ob die Daten verschlüsselt übertragen
werden. Kontaktieren Sie im Zweifelsfall
7. Folgen Sie keinen Verweisen auf Ihr Gegenüber über einen anderen Kom-
sensible Inhalte munikationskanal wie dem Telefon und
vergewissern Sie sich von der Echtheit
Seien Sie besonders vorsichtig, wenn der Meldung.
Sie unter einem dringenden oder be-
lohnenden Vorwand auf sensible Daten12 | G r u n d s t e i n l e g e n
Geben Sie Ihren Beschäftigten
eine gute Ausgangsbasis
Neben den Tipps für die Mitarbeiter ist 1. Wecken Sie bei Ihren Mitarbeitern
es umso wichtiger, dass die Geschäfts- Verständnis für das Thema Sicherheit
führung diese Tipps auch forciert und
an jeden Mitarbeiter heranträgt (zum Alle Beschäftigten sollten in punkto
Beispiel in Form von Schulungen, Vor- Informationssicherheit so aufgeklärt
trägen, Flyern, Sicherheitstipps oder werden, dass sie aus eigener Einsicht
interaktiven Lernprogrammen). Wichtig die Anforderungen eines unterneh-
ist, dass die Mitarbeiter regelmäßig mensweiten IT-Sicherheitskonzeptes
mit dem Thema Informationssicherheit beachten. Sie sollten in regelmäßigen
konfrontiert werden. Schulungen oder einprägsamen Vorträ-G r u n d s t e i n l e g e n . . . | 13
gen für Sicherheitsmängel sensibilisiert 3. Definieren Sie Kontaktpersonen
und in funktionsfähige Abwehrtaktiken
(z.B. Kommunikationswege bei Rückfra- Legen Sie fest, mit welchen Kontakt-
gen) eingeweiht werden. Bewährt für personen von Geschäftspartnern oder
die Mitarbeitersensibilisierung haben Kunden ausschließlich Informationen
sich interaktive Lernmethoden wie Web- ausgetauscht werden dürfen.
based-Trainings oder Veranstaltungen in
Form von unterhaltsamen Live-Hacking- 4. Legen Sie Kommunikationswege fest
Demonstrationen. Diese zugleich inter-
aktiven und visuellen Präsentationen Definieren Sie, über welche Kommuni-
holen die Mitarbeiter meist bei ihren kationskanäle (Telefon, Fax, E-Mail oder
Problemen und Fragestellungen ab und Brief) Ihre Mitarbeiter mit Geschäftspart-
sorgen so für einen höheren Lerneffekt. nern, Kunden und neuen unbekannten
So werden den Mitarbeitern zum Beispiel Kontakten kommunizieren dürfen. Legen
beim Live-Hacking zum einen auf spiele- Sie dabei fest, welche Informationen
rische Art und Weise die Gefahren und beispielsweise ausschließlich über den
Risiken bewusst gemacht und ihnen zum Postversand oder als verschlüsselte
anderen klare Handlungsempfehlungen E-Mail verschickt werden dürfen. De-
an die Hand gegeben. finieren Sie dabei auch die konkreten
Kontaktdaten Ihrer Kontakte.
2. Definieren Sie Vertraulichkeitsstufen
5. Sicherheit statt Kontrolle
Informieren Sie Ihre Mitarbeiter darüber,
welche Vertraulichkeitsstufen sie fest- Die Unternehmenssicherheit und alle
gelegt haben und wie sie Informationen damit verbundenen Maßnahmen müssen
mit der jeweiligen Vertraulichkeitsstufe von allen Mitarbeitern als gemeinsames
behandeln sollen. Legen Sie dabei fest, Anliegen aufgefasst werden. Eine ad-
welche Informationen besonders vertrau- äquate Sicherheitskultur muss selbst-
lich sind und keinesfalls an Dritte wei- verständlich werden und darf nicht als
tergegeben werden dürfen (z.B. jegliche Kontrolle oder Misstrauen gegenüber den
Zugangsberechtigungen). Bewerten Sie Mitarbeitern verstanden werden. Dies
in diesem Kontext Ihre Geschäftspartner. kann erzielt werden, wenn ein offener
Nicht jeder Partner sollte unbedingt über Umgang miteinander gepflegt wird und
Ihre finanzielle Situation Bescheid wissen. Vertrauen zum Vorgesetztem besteht.14 | G e b e n S i e n i c h t z u v i e l v o n s i c h p r e i s
Die Gefahren sozialer Netzwerke
Soziale Netzwerke wie Facebook, Stu- Zeit an so viele Informationen, dass
diVZ, Xing und Co. erfreuen sich immer er unter Umständen überhaupt keinen
größerer Beliebtheit. So bieten die Netz- persönlichen Kontakt mehr herstellen
werke viele Vorteile: Nutzer können sich muss, um zum Beispiel das Passwort
präsentieren und vernetzen, Kontakte eines E-Mailkontos zu erraten.
knüpfen und Informationen austauschen.
Das Netzwerk Facebook wächst in einem Die rasante Verbreitung sozialer Netz-
so schnellen Tempo heran, dass es in- werke ist nicht mehr aufzuhalten. Doch
nerhalb von sechs Jahren zu einer der einige Tipps können Ihnen helfen, sich
größten Datensammlungen überhaupt bestmöglich vor der Ausspähung von
gehört und mehr als eine halbe Milliarde persönlichen Informationen zu schützen.
Menschen miteinander verknüpft.
» Seien Sie sparsam mit Ihren Daten.
Das ist praktisch! Möchte jemand zum Selektieren Sie genau, welche Angaben
Beispiel mehr Informationen über seine wirklich notwendig sind und ob jemand
neue Nachbarin erhalten, schaut er dort diese zu Ihrem oder dem Nachteil An-
einfach herein. Nicht selten findet er derer ausnutzen könnte.
Fotos - aus dem Urlaub, beim Sport, auf
der Arbeit und manchmal auch peinliche » Schützen Sie Ihre Privatssphäre.
Fotos, z.B. von der letzten Weihnachts- Bestenfalls geben Sie in einem sozialen
feier. Alle Fotos, die er sieht, hat nicht Netzwerk keine privaten Informationen
unbedingt sie selbst eingestellt, sondern von sich preis. Falls Sie doch davon
auch Freunde und Bekannte. Doch das Gebrauch machen, schränken Sie die
Netzwerk bietet mehr! So kann derjenige Benutzergruppe nur auf diejenigen ein,
nicht selten erfahren, welche Hobbys sie die Sie auch im realen Leben kennen
hat und sehen wo sie arbeitet, wer mit und denen Sie vertrauen.
ihr befreundet ist und wo sie das letztes
Mal im Urlaub war. Die Informationsfülle
» Wählen Sie ein sicheres Passwort.
über eine Person ist unterschiedlich
Ein sicheres Passwort ist mindestens
und hängt davon ab, wie viel die Person
10 Zeichen lang, besteht aus Groß- und
selber über sich aber auch andere über
Kleinbuchstaben in Kombination mit
sie preisgeben.
Zahlen und Sonderzeichen und ist auf
den ersten Blick sinnlos zusammen-
Von sozialen Netzwerken wie Facebook gesetzt. Andernfalls laufen Sie zum
haben Social Engineers vor einigen Jahren Beispiel Gefahr, dass jemand private
noch geträumt. Heute sind sie Realität. Inhalte einsieht oder in Ihrem Namen
Der Angreifer gelangt heutzutage dank Inhalte über Sie veröffentlicht.
sozialer Netzwerke binnen kürzesterF a z i t . . . | 15 Fazit Social Engineering ist für Internetkrimi- beiter, also das eigentliche Angriffsziel, nelle ein beliebtes Mittel, um unberech- für dieses Thema zu sensibilisieren und tigt an Informationen zu gelangen: es grundsätzlich nicht zu viele Informatio- kostet nichts und überwindet selbst die nen von sich und anderen preiszugeben besten sicherheitstechnologischen Bar- sowie dazu zu bewegen im Zweifelsfall rieren. Um so wichtiger ist es, die Mitar- auch einmal „nein“ zu sagen.
Quellen �
Der Marktplatz IT-Sicherheit (abgerufen Philipp Schaumann (abgerufen 11/2010)
11/2010) [http://sicherheitskultur.at/social_engi-
[http://ratgeber.it-sicherheit.de] neering.htm]
WinfWiki, Prof. Dr. Uwe Kern (abgerufen Wikipedia (abgerufen 11/2010)
12/2010)
[http://de.wikipedia.org/wiki/Face-
[http://winfwiki.wi-fom.de/index.php/ book]
Social_Engineering_mittels_sozialer_
Netzwerke]
PC-WELT (abgerufen 11/2010) Weiterführende Informationen
[http://www.pcwelt.de/news/Tausche-
Passwort-gegen-Schokolade-109465.
html] http://www.ec-net.de/sicherheit
Online-Portal des Netzwerks
Elektronischer Geschäftsverkehr
Plattform des BSI (abgerufen 11/2010)
[https://www.bsi.bund.de/cln_174/Con-
tentBSI/grundschutz/kataloge/g/g05/ http://www.bit.ly/it-sicherheit
Themenspezifische Informationen des
g05042.html]
Verbundsprojekts „Sichere E-Geschäfts-
prozesse in KMU und Handwerk“
IUK- Kriminalität, Bundeslagebild 2009
(abgerufen 12/2010)
http://www.internet-sicherheit.de
[http://www.bitkom.org/files/docu- Detaillierte Informationen zur Sicherheit
ments/bka_bundeslagebild_iuk-krimina- im Internet
litaet_2009(1).pdf]D a s V e r b u n d p r o j e k t | 17
Das Verbundprojekt „Sichere ist und wie leicht unternehmensfremde
Personen an Geschäftsdaten
E-Geschäftsprozesse in KMU
kommen können. Die kompletten
und Handwerk” Berichtsbände finden Sie zum
kostenlosen Download unter:
Das Verbundprojekt „Sichere E-Ge-
http://www.bit.ly/it-sicherheit
schäftsprozesse in KMU und Handwerk“
Kostenfreie IT-Sicherheitstipps
des Netzwerks Elektronischer Geschäftsver-
kehr wird vom Bundesministerium für Wirt- bieten insbesondere KMU neu-
schaft und Technologie (BMWi) unterstützt trale und praxisnahe Hinweise
und soll helfen, in kleinen und mittleren Un- und Tipps, wo Sicherheitslücken
ternehmen mit verträglichem Aufwand die Si- bestehen und wie mit ihnen um-
cherheitskultur zu verbessern. Das Gesamtpro- gegangen werden sollte. Themen-
jekt setzt sich neben dieser und zwei weiteren schwerpunkte sind u. a. „Basis-
Einsteigerbroschüren insbesondere aus den schutz für den PC“, „Sicheres
nachfolgenden Tätigkeiten zusammen: Speichern und Löschen von Daten“, uvm.
Download unter:
Unter der Überschrift „Stamm-
tische IT-Sicherheit“ wird eine Reihe https://www.it-sicherheit.de
regionaler „Unternehmerstammtische“
Aktuelle und neutrale Informationen zur
bundesweit etabliert Die kostenfreien Informationssicherheit werden Ihnen im
Stammtische sind ein Forum für Dialog Internet auf der Informationsplattform
und Information und bilden eine Platt- des NEG unter der Rubrik „Netz- und
form für den Austausch von Unterneh- Informationssicherheit“ angeboten:
mern untereinander http://www.ec-net.de/sicherheit
Die jährlich veröffentlichte Studie „Netz-
und Informationssicherheit in Unterneh-
men“ zeigt auf, wie es um die Informati-
onssicherheit in Unternehmen bestellt
Sebastian Spooren
Ekkehard Diedrich
Andreas Duscha
Dagmar Lange
(Konsortialführung)
Andreas Gabriel18 | U n s e r e K o m p e t e n z e n
Unsere Kompetenzen
im Verbundprojekt
Wir bieten Ihnen Erfahrung und Kompetenz
für Ihre IT- und Informationssicherheit
Mehr als 40 Handlungsanleitungen für Jährliche Studie „Netz- und Informations-
die Praxis „Sichere Geschäftsprozesse: sicherheit in Unternehmen“
Umsetzung in Unternehmen“
Unternehmerstammtische zur IT- und
5 Informationsbroschüren für Einsteiger Informationssicherheit in ganz Deutsch-
„IT-Sicherheit; Themenfokus Mobile Busi- land
ness, Web 2.0, Datensicherung, Sicher-
heit bei Webseiten, Social Engineering“
Leitfaden zur Nutzung von Newsfeeds
„Tatort Internet - Nützliche Newsfeeds
Kompakte IT-Sicherheitstipps zu unter- zum Thema Sicherheit“
schiedlichen Themen, z.B. Social Networ-
king, WLAN-Sicherheit.B e z u g s m ö g l i c h k e i t e n | 19
Leitfaden zu mobilen Datenträgern „Si- Bezugsquellen
cherer Einsatz in KMU und Handwerks-
unternehmen“
Alle veröffentlichten Materialien auf
der Webseite des ECC Handel unter:
http://www.ecc-handel.de/sichere_e-ge-
schaeftsprozesse_in_kmu_und_hand-
Informationsflyer „Aus der Praxis für die
Praxis“: Wie sichere ich meine Daten?, werk.php
Was tun bei Systemausfall? oder direkt unter:
http://www.bit.ly/it-sicherheit
Checklisten „Mobile Geräte und Daten- Ausgewählte Materialien auf der Infor-
träger, Arbeitsplatzcomputer, ... mationsplattform des NEG unter:
http://www.ec-net.de/sicherheit
Broschüre mit Experteninterviews aus
dem Verbundprojekt „Experteninter-
view: Sichere E-Geschäftsprozesse in
KMU und Handwerk“Das Netzwerk Elektronischer Geschäftsverkehr
E-Business für Mittelstand und Handwerk
Das Netzwerk Elektronischer Geschäftsverkehr (NEG) ist Das Netzwerk im Internet
eine Förderinitiative des Bundesministeriums für Auf www.ec-net.de können Unternehmen neben
Wirtschaft und Technologie. Seit 1998 unterstützt es Veranstaltungsterminen und den Ansprechpart
kleine und mittlere Unternehmen bei der Einführung nern in Ihrer Region auch alle Publikationen des NEG
und Nutzung von E-Business-Lösungen. einsehen: Handlungsleitfäden, Checklisten, Studien und
Praxisbeispiele geben Hilfen für die eigene Umsetzung
Beratung vor Ort von E-Business-Lösungen.
Mit seinen 29 bundesweit verteilten Kompetenzzentren
informiert das NEG kostenlos, neutral und praxisorien- Fragen zum Netzwerk und dessen Angeboten beant-
tiert – auch vor Ort im Unternehmen. Es unterstützt wortet Markus Ermert, Projektträger im DLR unter
Mittelstand und Handwerk durch Beratungen, 0228/3821-713 oder per E-Mail:
Informationsveranstaltungen und Publikationen für die markus.ermert@dlr.de.
Praxis.
Das Netzwerk bietet vertiefende Informationen zu
Kundenbeziehung und Marketing, Netz-und
Informationssicherheit, Kaufmännischer Software und
RFID sowie E-Billing. Das Projekt Femme digitale fördert
zudem die IT-Kompetenz von Frauen im Handwerk. Der
NEG Website Award zeichnet jedes Jahr herausragende
Internetauftritte von kleinen und mittleren Unter
nehmen aus. Informationen zu Nutzung und Interesse
an E-Business-Lösungen in Mittelstand und Handwerk
bietet die jährliche Studie „Elektronischer
Geschäftsverkehr in Mittelstand und Handwerk“.Sie können auch lesen
