Informationssicherheit am Arbeitsplatz
Egal ob im Home-Office, im Einzel- oder Großraumbüro, im Labor, im Hörsaal, auf Reisen mit dem Zug, Schiff oder Flugzeug, überall arbeiten Hochschulangehörige mit dienstlichen und sonstigen schützenswerten Hochschuldaten.
Die Freiheit von (fast) überall zu arbeiten geht mit der Herausforderung einher, den jeweiligen Arbeitsplatz gegen das ungewollte Abfließen und Ausspähen von Daten zu schützen. Denn IT-Systeme können noch so sicher sein, gegen neugierige Blicke von Mitreisenden, von Kommilitoninnen und Kommilitonen, des Kollegiums oder gar von Social Engineers hilft das nicht. Auch Dokumente, die an entfernten Druckern gedruckt werden, in nicht abgeschlossenen Schränken oder Büros herumliegen oder gar bei Reisen im Bus, Zug oder Flugzeug vergessen werden stellen ein Risiko für die Informationssicherheit dar.
Die Folgen einer ungewollten Bekanntgabe können insbesondere bei unveröffentlichten Forschungsergebnissen, personenbezogenen Daten, Logindaten, Daten zu Forschungsstandorten von Projektpartnern oder sonstigen schützenswerten Daten gravierend sein.
Während der Eingabe von Logindaten auf Reisen reicht neugierigen „Shoulder Surfern“ oft nur ein kurzer Blick auf den Bildschirm oder die Tastatur, um unberechtigten Zugang zum Hochschulaccount zu bekommen.
Was ist "Shoulder Surfing"?
Egal ob im Home-Office, im Einzel- oder Großraumbüro, im Labor, im Hörsaal, auf Reisen mit dem Zug, Schiff oder Flugzeug, überall arbeiten HochschulangShoulder Surfing ist eine der einfachsten Attacken aus dem Fundus der Social Engineers, da sie ohne direkten Kontakt und ohne Hilfsmittel möglich ist. Als Shoulder Surfing bezeichnet man den Angriff des „Über-die Schulter-sehens“, um Informationen, Zugangsdaten, Geheimzahlen, PINs, Entsperrmuster, Kreditkartennummern etc. auszuspähen. [1]
Früher wurde Shoulder Surfing hauptsächlich dazu genutzt, um PINs von Telefonwertkarten und Geheimzahlen an Bankautomaten auszuspähen. [2] Heutzutage ist Shoulder Surfing durch die Verbreitung von Smartphones und Laptops noch attraktiver geworden. Es gibt mehr Angriffsmöglichkeiten und Social Engineers können mit dem eigenen Smartphone unauffällig die Dateneingabe filmen und im Nachgang auswerten.
Bei welchen Aktivitäten muss man vorsichtig sein?
Beim Lesen von schützenswerten Daten und beim Login-Vorgang sollte man grundsätzlich immer wachsam sein. Auch am scheinbar sicheren Büro-Arbeitsplatz sollte darauf geachtet werden, dass Informationen nur denjenigen zugänglich sind, die diese auch wirklich sehen dürfen.
Was kann man tun, um den Arbeitsplatz abzusichern?
Gerade im öffentlichen Raum ist es wichtig, schützenswerten Informationen auch besonderen Schutz zuzugestehen und aufmerksam mit Datenträgern umzugehen.
Dazu gehört:
- Darauf zu achten, dass sich in Büros, Laboren, Vorlesungssälen oder anderen Räumen, die schützenswerte Daten beherbergen, keine unbefugten Personen aufhalten
- Vor dem Verlassen eines Raumes zu prüfen, ob noch sensible Informationen auf Tafeln oder Whiteboards stehen, und diese zu entfernen
- Vor dem Verlassen eines Raumes darauf zu achten, dass Fenster geschlossen sind, um Schäden durch Regen oder Sturm zu vermeiden
- Nach dem Verlassen die Räume abzuschließen, in denen sich keine weiteren Personen befinden
- Darauf zu achten, dass keine unbefugten Personen am Telefon mithören
- Passwörter oder andere Authentifizierungsinformationen niemals frei zugänglich aufzubewahren (das gilt auch für das vermeintlich versteckte Aufkleben von Passwörtern unter Laptops, Tastaturen, an PCs, hinter Bildschirmen, … )
- Aufmerksam zu sein, wenn sich unbekannte Personen in nicht öffentlich zugänglichen Bereichen aufhalten und scheinbar beiläufig das Smartphone auf Bildschirme richten und bei Vorgesetzten oder dem Kollegium nachzufragen, ob die Person bekannt ist
Sowohl im Home-Office als auch am Büroarbeitsplatz gilt insbesondere:
- Auch bei kurzer Abwesenheit vom Arbeitsplatz sollte der Bildschirm immer gesperrt werden (Tastenkombination: Windows+L) und eine automatische Bildschirmsperre aktiviert werden
Im Home-Office:- Damit Haustiere (oder Kinder) nicht über die Tastatur schlendern und dabei so manche Arbeitsstunde zunichte machen
- Damit unberechtigte Personen keine Daten ausspähen, löschen oder verändern können oder Störungen verursachen
- Bei Akten oder Ausdrucken ist darauf zu achten, dass diese in abschließbare Schränke verbracht werden und nicht frei zugänglich in Druckern, auf Tischen oder auf Schränken herumliegen.
Im Home-Office:- Damit Kinder wichtige Dokumente nicht für kreative Zeichenarbeiten missbrauchen
- Damit Haustiere wichtige Dokumente nicht verunstalten oder gar vernichten
Im Büro: - Damit unberechtigte Personen keine Einsicht nehmen können
- Damit niemand in Versuchung kommt, Kaffeetassen auf wichtigen Dokumenten abzustellen
Zusätzlich ist es immer sinnvoll sich mit den geltenden Klassifizierungsregeln auseinander zu setzen. Diese Regelungen enthalten oftmals weiterführende Informationen wie mit schützenswerten Dokumenten umgegangen werden muss.
Sicheres Arbeiten auf Reisen?
Auch auf Reisen mit öffentlichen Verkehrsmitteln sollte darauf geachtet werden, keine unnötige Angriffsfläche zu bieten.
Hier einige Tipps zum Umgang mit Informationen auf Reisen:
- Smartphone, Dokumente, Laptop und sonstige Arbeitsmittel sollten niemals unbeaufsichtigt herumliegen
- Displayfolien erlauben die Einsichtnahme in das Display nur für direkt davorsitzende Personen
- Über Netzwerkverbindungen per VPN, ist auch aus öffentlichen Netzwerken (Flugzeug, Bus, Bahn, ...) eine sichere Verbindung mit dem Unternehmensnetzwerk möglich
- Beim Eingeben von Zugangsdaten sollte man unbedingt auf Mitreisende und die Umgebung achten. Beim leisesten Verdacht auf einen Ausspähversuch sollte der Login-Vorgang abgebrochen werden. Das Sichtfeld sollte beim Authentifizieren am besten durch den Körper verdeck werden. [3]
Quellen
[1] Hoanca, Bogdan & Mock, Kenrick. (2005). Screen oriented technique for reducing the incidence of shoulder surfing. Proceedings of The 2005 International Conference on Security and Management, S 334-340. www.researchgate.net/profile/Bogdan_Hoanca/publication/221199938_Screen_oriented_technique_for_reducing_the_incidence_of_shoulder_surfing/links/0deec52d8310cddf7b000000/Screen-oriented-technique-for-reducing-the-incidence-of-shoulder-surfing.pdf
[2] Long, Johnny & Pinzon, Scott & Mitnick, Kevin D.. (2007). No Tech Hacking a guide to social Engineering. Vorschauexemplar, S.23. Syngress Publishing ISBN 978-1-59749-215-7. www.hackersforcharity.org/files/NTH_SAMPLE.pdf
[3] Brudy, Ledo, Greenberg, Butz (2014). Is anyone looking? Mitigating Shoulder Surfing on Public Displays through Awareness and Protection. Proceedings of the International Symposium on Pervasive Displays. doi.org/10.1145/2611009.2611028