Im folgenden sind ein paar Warnzeichen aufgelistet, nach denen man laut Kevin Mitnick Ausschau halten sollte. In diesen Fällen ist es gut möglich, dass etwas nicht stimmt. Ein Anfragender:
- weigert sich, seine Kontaktinformationen zu geben,
- stellt eine ungewöhnliche Anfrage,
- möchte eine angeblich „dringende“ Bitte schnell erledigt haben,
- übertreibt es mit Schmeicheleien,
- schüchtert durch Hinweis auf Anordnungen der Geschäftsleitung ein,
- bietet Hilfe bei einem unbekannten Problem an,
- behauptet, dass die Anfrage durch die Geschäftsführung genehmigt sei.
So entwickelt man Widerstandsfähigkeit gegenüber Manipulationen:
- Demonstration menschlicher Schwachstellen (Rollenspiel zur Demonstration von Social Engineering-Methoden)
- Schulung der Mitarbeiter darin, sich auf die Natur der Anfragen zu konzentrieren – und nicht auf den Zusammenhang, in dem sie gestellt werden
- Überprüfung der Identität der Anfragenden und ihrer entsprechenden Bevollmächtigung
- Änderung der Umgangsformen im Unternehmen
- Änderung der Einstellungen zu Informationen – Schützen statt Mitteilen
- Aufklärung der Mitarbeiter darüber, weshalb die Einhaltung von Sicherheitsrichtlinien entscheidend ist
- Anbieten von Stressmanagement- und Selbstbehauptungstraining für Mitarbeiter
So reagiert man auf Zwischenfälle:
- Zurkenntnisnahme von erfolgten Zwischenfällen (!)
- Schulung der Mitarbeiter hinsichtlich der ordnungsgemäßen Dokumentation von verdächtigen Ereignissen
- Auslösung von Sicherheitsalarmen, wenn verdächtige Aktivitäten bemerkt werden
Vereitelung von Social Engineering-Attacken:
- Festlegung von Sicherheitsrichtlinien und -verfahren
- Klassifizierung von Daten und Bearbeitungsverfahren
- Einführung einer „Clean-Desk-Policy“ (Richtlinie für leere Schreibtische) – sonst lassen Mitarbeiter zu viele Informationen für jedermann ersichtlich herumliegen!
- Durchführung von Sicherheitssensibilisierungstraining
- Durchführung eines Social Engineering-Penetrationstests
- Regelmäßige Untersuchung der Abfallbehälter