Lesezeit: 3 Min
Datenschutz im Unternehmen sicher umsetzen
In Unternehmen und anderen Organisationen werden in den meisten Fällen personenbezogene Daten verarbeitet. Dies geschieht auf unterschiedliche Arten und mit unterschiedlichsten Prozessen. Egal, ob digital oder analog: Der Schutz des Betroffenen durch den Schutz seiner personenbezogenen Daten, ist die wichtigste Aufgabe von Datenschutz.
Bereits seit Jahren gibt es das Phänomen des Social Engineerings, welches ein Risiko für die Sicherheit von personenbezogenen Daten darstellt. Daher ist es auch für den Datenschutz wichtig, diese Angriffe zu erkennen und zu verhindern.
BLOG-TIPP: PERSONENBEZOGENE DATEN VON INTERESSENTEN DS-GVO-KONFORM VERWALTEN
Was ist Social Engineering?
Social Engineering ist eine Technik, bei der Angreifer die Gutgläubigkeit und Vertrauenswürdigkeit von Menschen ausnutzen, um Zugang zu vertraulichen Informationen oder Systemen zu erlangen. Die Angreifer nutzen dabei psychologische Tricks und Manipulation, um ihre Opfer dazu zu bringen, bestimmte Handlungen auszuführen oder Informationen preiszugeben.
Viele Angriffe basieren auf Social Engineering. Für den Angreifer ist es meist einfacher Menschen zu manipulieren, um gewisse Daten zu erhalten, als komplexe Sicherheitssysteme zu überwinden. Daher stellt das Social Engineering auch eine große Gefahr für den Datenschutz dar.
BLOG-TIPP: CYBERSICHERHEIT – ANGRIFFE BRINGEN AUCH DATENSCHUTZ IN GEFAHR
Welche Arten von Social Engineering gibt es?
Die Methoden können dabei sehr unterschiedlich sein und reichen von einfachen Anrufen und E-Mails bis hin zu aufwendigen Täuschungen und Vertrauensmissbrauch. Häufige Arten von Social Engineering sind dabei:
- Phishing
- Baiting
- Pretexting
- Scareware
- Business-E-Mail Compromis (BEC)
BLOG-TIPP: PHISHING ANGRIFFE – EINE GEFAHR AUCH IM DATENSCHUTZ
Datenschutz umsetzen: Phishing und Baiting
Eine der bekanntesten Angriffe ist vermutlich das Phishing. Dabei werden Nachrichten (per E-Mail oder Nachrichtendienst, aber auch über Social-Media-Kanäle) verschickt, die einen Link beinhalten. Dieser führt den Nutzer auf eine seriös wirkende Homepage, auf der er aufgefordert wird, seine Daten oder Zugänge einzugeben. In der Regel handelt es sich hierbei um eine Aufforderung eine bestimmte Aktion zu bestätigen oder Daten zu vervollständigen. Dabei ist das Ziel, das Opfer dazu zu bringen, bestimmte Daten, auch Zugangsdaten einzugeben.
Dadurch verschafft sich der Täter meist nicht nur den Zugang zu bestimmten Daten des Opfers, sondern teilweise auch zu bestimmten Programmen oder Tools, wo nun weitere Daten abgegriffen werden können. In Unternehmen bedeutet dies auch, dass dabei personenbezogene Daten von Betroffenen abgegriffen werden können, die im Unternehmen verarbeitet werden.
Beim Baiting versuchen Cyberkriminelle, mit vermeintlich interessanten oder verlockenden Angeboten auf eine präparierte Website zu locken. Dort sollen dann persönliche Daten angegeben werden, um beispielsweise an einen vermeintlichen Preis zu gelangen. Die Verlockung kann unterschiedlicher Natur sein: Es können beispielsweise kostenlose Musikdownloads, E-Books oder auch Gewinnspiele sein.
Datenschutz umsetzen: Pretexting-Angriffe und Quid pro Quo
Beim Pretexting gibt der Angreifer dem Opfer vor eine bereits bekannte Stelle zu sein – d.h. zum Beispiel ein Geschäftspartner oder Kollege. Diese Vertrauensbasis kann der Angreifer dann nutzen, um besonders einfach Daten abzugreifen. Dadurch erhält er zum Beispiel Anmeldeinformationen, um eine vermeintliche Aktion durchzuführen.
Ein Beispiel für Quid pro Quo im Sinne eines Cyberangriffes kann sein, dass ein Angreifer vorgibt bestimmte Daten zu haben oder auch Daten verschlüsselt und für dessen Rückgabe oder Entschlüsselung eine Gegenleistung verlangt.
Warum ist Social Engineering gefährlich für den Datenschutz?
Beim Social Engineering werden nicht selten Zugangsdaten der Opfer abgegriffen, um somit den Zugriff auf deren Programmen zu erlangen und die Zugänge zu missbrauchen. Gerade wenn der Missbrauch im Bereich von Unternehmen oder anderen Organisationen erfolgt, können dabei die personenbezogenen Daten von Betroffenen abgegriffen werden, welche dort verarbeitet werden.
Daher kann es bei solchen Angriffen zu erheblichen Schäden und Verlusten von personenbezogenen Daten führen. Dieser Verlust ist ebenfalls ein Schaden im Datenschutz. Social Engineering ist daher ein hohes Risiko für den Datenschutz und muss dringend mit den nötigen Mitteln verhindert werden.
Social Engineering mit den nötigen Mitteln verhindern
Um den Schutz der personenbezogenen Daten und den Datenschutz sicherzustellen und das Risiko durch Social Engineering so gering wie möglich zu halten, sollten unterschiedliche notwendige Maßnahmen getroffen werden. Ein weiterer wichtiger Punkt ist ein effektives IT-Sicherheitskonzept, das neben technischen Schutzmaßnahmen auch organisatorische Maßnahmen umfasst.
Unter anderem sollte die IT-Sicherheit in Form von entsprechenden SPAM-Filtern oder anderen Sicherheitsmaßnahmen gewährleistet und regelmäßig aktualisiert werden. Darüber hinaus ist es wichtig, dass vor allem die Mitarbeiter im Umgang mit solchen Angriffen ausreichend geschult werden.
Um Social Engineering-Angriffe zu erkennen und zu verhindern, ist es wichtig, dass Mitarbeiter in Unternehmen regelmäßig geschult werden. Hierbei kann es beispielsweise darum gehen, wie man verdächtige E-Mails erkennt oder wie man mit unerwarteten Anrufen umgeht.
BLOG-TIPP: MITARBEITERSCHULUNGEN ALS NOTWENDIGE MASSNAHMEN IM DATENSCHUTZ
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.