Ich habe so viel zu sagen
Aus der Reihe “Erlebnisse eines Sicherheitsberaters”
Das Schlimme an meiner Tätigkeit ist, dass die permanente Beschäftigung mit dem Thema Informationssicherheit dazu führt, dass man sich selbst ständig in die Situation eines Informationsdiebes versetzt. In meinem Falle macht es mittlerweile keinen Unterschied mehr, ob ich gerade einen Kundenauftrag bearbeite, oder mich im Privatleben bewege – überall sehe ich Schwachstellen und überlege, wie man diese ausnutzen könnte.
Mitte 2009 fuhr ich in München mit dem Flughafen Shuttle-Bus und konnte innerhalb von 20 Minuten eine Menge über eine Dame erfahren, die eine Sitzreihe vor mir saß. Ich habe mich nicht mit ihr unterhalten – ich habe per Shouldersurfing (unbemerkter Blick über die Schulter) einfach die E-Mails und SMS mitgelesen, die Sie auf Ihrem iPhone verfasst und empfangen hat.
Sie war so in ihrer Welt versunken, dass sie mich überhaupt nicht bemerkte. Vermutlich lag es auch daran, dass sie gerade eine schwere Phase durchmachte. Zumindestens beschwerte Sie sich unablässig über Ihren Chef, ihren Mann und auch ihr Sohn machte ihr zu schaffen. Auch kommunizierte sie mit einem Mann (der hieß aber anders als ihr Mann), mit dem sie sich sehr gut “verstand”.
Als wir ausstiegen, sagte ich ihr, dass ich jede ihrer E-Mails und SMS mitlesen konnte. Als ihr Gesicht blutleer wurde, ergänzte ich, dass ich als Sicherheitsberater generell zur Verschwiegenheit verpflichtet wäre (was für diesen Fall zwar nicht stimmte, aber ich hatte mein Ziel auch so erreicht).
Was können Unternehmen und Mitarbeiter aus dieser Situation lernen? Im wesentlichen zwei Dinge:
- Auf das Geschäftsleben übertragen sollten Sie darauf achten, wo und wann Sie welche Informationen lesen bzw. abrufen. Gerade in der Öffentlichkeit sollten keine vertraulichen, unternehmensbezogene bzw. private Informationen besprochen oder anderweitig ausgetauscht werden.
- Die gesammelten Informationen hätte ich nutzen können, um die Frau zu erpressen oder mir ihr Vertrauen zu erschleichen – schließlich schien ihre Gesamtsituation nicht sonderlich gefestigt – was sie entsprechend angreifbar macht. Als Gegenleistung hätte ich vertrauliche Informationen/Schwachstellen/Prozesse aus ihrem Unternehmen sammeln und für weitere Angriffe nutzen können.
Sie sehen, auch hier sind die Schutzmöglichkeiten eigentlich wieder ganz einfach umzusetzen (Informationen – egal ob dienstlich oder privat – vor dem Einblick durch Fremde schützen) – sie müssen nur entsprechend an die Mitarbeiter kommuniziert werden.
Fragen Sie uns, wenn Sie ihr Unternehmen umfassend schützen wollen.
