Informationssicherheit am Arbeitsplatz

Egal ob im Home-Office, im Einzel- oder Großraumbüro, im Labor, im Hörsaal, auf Reisen mit dem Zug, Schiff oder Flugzeug, überall arbeiten HochschulangShoulder Surfing ist eine der einfachsten Attacken aus dem Fundus der Social Engineers, da sie ohne direkten Kontakt und ohne Hilfsmittel möglich ist. Als Shoulder Surfing bezeichnet man den Angriff des „Über-die Schulter-sehens“, um Informationen, Zugangsdaten, Geheimzahlen, PINs, Entsperrmuster, Kreditkartennummern etc. auszuspähen. [1]
Früher wurde Shoulder Surfing hauptsächlich dazu genutzt, um PINs von Telefonwertkarten und Geheimzahlen an Bankautomaten auszuspähen. [2] Heutzutage ist Shoulder Surfing durch die Verbreitung von Smartphones und Laptops noch attraktiver geworden. Es gibt mehr Angriffsmöglichkeiten und Social Engineers können mit dem eigenen Smartphone unauffällig die Dateneingabe filmen und im Nachgang auswerten.

Gerade im öffentlichen Raum ist es wichtig, schützenswerten Informationen auch besonderen Schutz zuzugestehen und aufmerksam mit Datenträgern umzugehen.

 

Dazu gehört:

• Darauf zu achten, dass sich in Büros, Laboren, Vorlesungssälen oder anderen Räumen, die schützenswerte Daten beherbergen, keine unbefugten Personen aufhalten
• Vor dem Verlassen eines Raumes zu prüfen, ob noch sensible Informationen auf Tafeln oder Whiteboards stehen, und diese zu entfernen
• Vor dem Verlassen eines Raumes darauf zu achten, dass Fenster geschlossen sind, um Schäden durch Regen oder Sturm zu vermeiden
• Nach dem Verlassen die Räume abzuschließen, in denen sich keine weiteren Personen befinden
• Darauf zu achten, dass keine unbefugten Personen am Telefon mithören
• Passwörter oder andere Authentifizierungsinformationen niemals frei zugänglich aufzubewahren (das gilt auch für das vermeintlich versteckte Aufkleben von Passwörtern unter Laptops, Tastaturen, an PCs, hinter Bildschirmen, … )
• Aufmerksam zu sein, wenn sich unbekannte Personen in nicht öffentlich zugänglichen Bereichen aufhalten und scheinbar beiläufig das Smartphone auf Bildschirme richten und bei Vorgesetzten oder dem Kollegium nachzufragen, ob die Person bekannt ist

Sowohl im Home-Office als auch am Büroarbeitsplatz gilt insbesondere:

• Auch bei kurzer Abwesenheit vom Arbeitsplatz sollte der Bildschirm immer gesperrt werden (Tastenkombination: Windows+L) und eine automatische Bildschirmsperre aktiviert werden
  Im Home-Office:
  • Damit Haustiere (oder Kinder) nicht über die Tastatur schlendern und dabei so manche Arbeitsstunde zunichte machen
  Im Büro:
  • Damit unberechtigte Personen keine Daten ausspähen, löschen oder verändern können oder Störungen verursachen
• Bei Akten oder Ausdrucken ist darauf zu achten, dass diese in abschließbare Schränke verbracht werden und nicht frei zugänglich in Druckern, auf Tischen oder auf Schränken herumliegen.
  Im Home-Office:
  • Damit Kinder wichtige Dokumente nicht für kreative Zeichenarbeiten missbrauchen
  • Damit Haustiere wichtige Dokumente nicht verunstalten oder gar vernichten
Im Büro:
• Damit unberechtigte Personen keine Einsicht nehmen können
• Damit niemand in Versuchung kommt, Kaffeetassen auf wichtigen Dokumenten abzustellen

Zusätzlich ist es immer sinnvoll sich mit den geltenden Klassifizierungsregeln auseinander zu setzen. Diese Regelungen enthalten oftmals weiterführende Informationen wie mit schützenswerten Dokumenten umgegangen werden muss.

Auch auf Reisen mit öffentlichen Verkehrsmitteln sollte darauf geachtet werden, keine unnötige Angriffsfläche zu bieten.
Hier einige Tipps zum Umgang mit Informationen auf Reisen:

• Smartphone, Dokumente, Laptop und sonstige Arbeitsmittel sollten niemals unbeaufsichtigt herumliegen
• Displayfolien erlauben die Einsichtnahme in das Display nur für direkt davorsitzende Personen
• Über Netzwerkverbindungen per VPN, ist auch aus öffentlichen Netzwerken (Flugzeug, Bus, Bahn, ...) eine sichere Verbindung mit dem Unternehmensnetzwerk möglich
• Beim Eingeben von Zugangsdaten sollte man unbedingt auf Mitreisende und die Umgebung achten. Beim leisesten Verdacht auf einen Ausspähversuch sollte der Login-Vorgang abgebrochen werden. Das Sichtfeld sollte beim Authentifizieren am besten durch den Körper verdeck werden. [3]