Stellen Sie sich folgende Situation vor: Sie sind Prokurist eines Unternehmens und erhalten eine als vertraulich und wichtig gekennzeichnete Mail des Geschäftsführers:

Herr XY,
Sind Sie verfügbar?
Mit freundlichen Grüßen
Geschäftsführer

Auf Ihre Antwort, Sie seien am Arbeitsplatz, erhalten Sie die Mitteilung:

„Ich benötige Sie für eine vertrauenswürdige Transaktion, ein Finanzgeschäft. Kann ich mich auf Ihre Diskretion verlassen? (Wir können uns nur per E-Mail unterhalten)
Mit freundlichen Grüßen
Geschäftsführer“

Sie wundern sich zwar aber: „Natürlich kann er“, denken und schreiben Sie.

Daraufhin bekommen Sie eine dritte Mail. In dieser Mail schreibt der Geschäftsführer Sie mit „Sehr geehrter Herr XY“ an und berichtet über eine geplante streng geheime Unternehmensübernahme. Warum geheim und vertraulich? Weil „Insider-Informationnen“ (sic!)  betroffen und auch Konkurrenten an der Übernahme interessiert seien. Sie mögen sich bitte (per Mail) mit einem Unternehmensberater, einer Anwaltskanzlei, in Verbindung setzen. Nicht zu vergessen, die Bekanntgabe des Deals solle in acht Tagen stattfinden, es bestehe also Zeitdruck.

Was meinen Sie, passiert, wenn Sie den Unternehmensberater anschreiben?

Er wird Ihnen eine Kontonummer nennen und bitten, einen Vorabbetrag für die Vorbereitung/Abwicklung der Übernahme zu überweisen; Und: er wird vermutlich in die gleichen Kerben schlagen: „streng geheim“, „Scheitern droht“, „Zeitdruck“.

Warum schreibe ich darüber bzw. was hat das mit Datenschutz zu tun?

In einem Artikel vor ziemlich genau einem Jahr hat meine Kollegin Lea Paschke bestimmte Angriffsszenarien des Social Engineering dargestellt. Dabei ist sie vor allem auf die Umgehung technischer Sicherungen eingegangen. Allen Angriffen gemeinsam ist die Tatsache, dass Menschen/Mitarbeiter dazu gebracht werden sollen, bestehende Sicherungssysteme zu umgehen. Oft indem (subtiler) Druck ausgeübt wird (Zeit, Wettbewerb, Hierarchie, usw.).

Was hilft gegen die Versuche?

Zum einen sollten Sie die Mitarbeiter über entsprechende Risiken aufklären und Schulungen zu typischen Szenarien anbieten (keine unbekannten Anhänge öffnen, E-Mails nicht vertrauen, Identität und Befugnis von Fernkommunikationspartnern  anzweifeln, wie sind Fake-Mails zu erkennen?).

Zum zweiten sollte in einem Unternehmen ein Klima herrschen, in dem es als richtig und sinnvoll anerkannt ist, sich bei Zweifeln rückzuversichern. Erfolgt dies bei „echten“ Mails, darf dies niemals Anlass zu Kritik sein, sondern sollte wertschätzend aufgenommen werden.

Übrigens, der Kollege hat nicht zuletzt wegen der Rechtschreibfehler, der unüblichen formellen Anrede und des vollkommen atypischen Verhaltens nach dem Motto lieber „rather safe than sorry“ beim Geschäftsführer telefonisch nachgefragt. Alles noch mal gut gegangen.

| | |