Unternehmen, die eine angemessene Sicherheit anstreben, sollten über interne Kontrollen, Managementstrategien und Richtlinien für die Vergabe von Privilegien hinausgehen. Die ordnungsgemäße Vernichtung von Geschäftsdaten und Dokumenten ist von entscheidender Bedeutung. Trotz der hochmodernen innovativen Werkzeuge, die Hackern zur Verfügung stehen, ist Dumpster Diving nach wie vor eine der beliebtesten Methoden, um an Informationen zu gelangen.
Werfen Sie niemals Dokumente oder andere sensible Informationen in Ihren Müll. Identitätsdiebe können diese zusammen mit anderen illegalen Mitteln nutzen, um Cyberangriffe gegen Ihr Unternehmen zu planen. Statistiken zeigen, dass die Amerikaner jedes Jahr mehr als 4 Millionen Spam-E-Mails erhalten, und mehr als 88% der Informationen wurden über Dumpster Diving beschafft.
Aus diesem Grund sollten Unternehmen ein umfassendes Verständnis von Dumpster Diving in der Cybersicherheit haben und wissen, wie man es verhindern kann. In diesem Artikel erfahren Sie alles, was Sie dazu wissen müssen.
Tauchen wir ein! Erstens: Was ist Dumpster Diving?
Was ist Dumpster Diving?
Der erste Schritt zur Bekämpfung dieses Angriffs besteht darin, sich mit der Definition des Dumpster Diving vertraut zu machen. Hier setzen Cyberangreifer die Redewendung „Des einen Müll ist des anderen Schatz“ auf eine ganz neue Ebene.
Unter Dumpster Diving versteht man im Bereich der Cybersicherheit das Durchsuchen des Mülls einer Person oder eines Unternehmens, um Informationen zu finden, die zur Kompromittierung von Netzwerkressourcen oder zur Planung eines Cyberangriffs verwendet werden könnten.
Eine Person, die Ihren Müll durchsucht, kann genügend Daten sammeln, um ein komplexes Profil zu erstellen und einen Identitätsdiebstahl zu begehen. Neben physischem Müll können Cyberkriminelle auch in Recycling- oder Elektronikschrotttonnen nach sensiblen Informationen suchen, die Ihr Unternehmen ernsthaft gefährden können. Cyberkriminelle verwenden dazu häufig Malware.
Welche Daten können Dumpster Divers erhalten?
Wenn ein Dumpster Diver Ihren Abfall durchsucht, sucht er nach Informationen, um einen Cyberangriff durchzuführen. Einige der Daten, die solche Kriminellen aus Ihrem Müll erhalten können, sind:
- Wohn- oder E-Mail-Adressen
- Private Passwörter, PINs oder andere sensible Daten
- Bankkontoauszüge
- Digitale Unterschriften
- Kopien von Führerscheinen, Bankkarten oder anderen Ausweisen
- Richtlinienhandbücher, Telefonnummern von Mitarbeitern und strategische Ausdrucke
- Medizinische Berichte, biometrische Daten ehemaliger Mitarbeiter
- Handynummern
- Informationen zu Finanzausweisen, wie z. B. Hauptbuchkonten, Bilanzen und Prüfungsberichte
Welche Angriffe beginnen mit Dumpster Diving?
Dumpster Diving ist der erste Schritt bei vielen Arten von Cyberangriffen. Eine davon ist das Social Engineering, d. h. die Nutzung menschlicher Interaktion, um die Opfer zur Preisgabe vertraulicher Informationen zu verleiten.
Das Hauptziel eines Social-Engineering-Angriffs besteht darin, Vertrauen bei der Zielperson aufzubauen, bevor sie vertrauliche Daten preisgibt oder betrügerische Anweisungen befolgt. Dumpster Diving ist eine der zahlreichen Möglichkeiten, wie Social-Engineering-Angreifer Informationen sammeln können, um Vertrauen aufzubauen.
Wenn sie beispielsweise eine Quittung für die Wiederauffüllung eines Produkts finden, können sie sich als Mitarbeiter mit demselben Namen zur derselben Uhrzeit wie die erwartete Lieferung ausgeben, um Zugang zu vertraulichen Ressourcen zu erhalten. Diesen Zugang können sie nutzen, um einen Keylogger oder andere Malware zu installieren und sich so Zugang zu Systemressourcen zu verschaffen.
Ein weiterer Angriff, bei dem Dumpster Diving eingesetzt wird, ist Identitätsdiebstahl. Diese Diebe durchsuchen Mülltonnen nach Informationen, z. B. Rechnungen oder andere Papiere mit sensiblen Daten. Sie können diese Daten nutzen, um neue Kreditkartenkonten zu eröffnen, sich als Sie auszugeben und möglicherweise Geld von Ihrem Konto abzuheben.
Wie kann man Dumpster Diving im Bereich Cybersicherheit verhindern?
Um zu verhindern, dass Dumpster Diver wertvolle Informationen über Sie oder Ihr Unternehmen in Erfahrung bringen, sollten Sie eine Richtlinie für die Entsorgung einführen, die sicherstellt, dass alle unerwünschten Informationen, Dokumente, Notizen und Hardware ordnungsgemäß vernichtet werden. Im Folgenden finden Sie einige Praktiken zur Verhinderung von Dumpster Diving im Bereich der Cybersicherheit.
Einführung eines Abfallmanagementplans
Führen Sie im Rahmen Ihrer Strategie zur Vermeidung von Datenverlusten einen Plan zur effektiven Verwaltung Ihrer Abfall- und Recyclingbehälter ein. Abfall kann in zwei Formen auftreten: Digital und physisch. Legen Sie fest, wie unerwünschte Dokumente, Notizen, Bücher und Hardware entsorgt werden sollen. In dem Plan sollte auch festgelegt werden, welche Informationen aufbewahrt und welche entsorgt werden sollen.
Wenn z. B. ein Mitarbeiter nicht mehr in Ihrem Unternehmen tätig ist, ist es wichtig, seine Daten ordnungsgemäß zu löschen. Im Falle von physischem Müll können Sie Papierkram schreddern oder verbrennen.
Löschung von Speichermedien
Löschen Sie Speichermedien strikt und konsequent. Entsorgen Sie DVDs und CDs oder andere Laufwerke mit personenbezogenen Daten wie Fotos, Videos oder anderen sensiblen Informationen. Wenn Sie Computer, Laptops oder andere Hardware ausrangieren müssen, entsorgen Sie diese ordnungsgemäß und löschen Sie alle Dateien und Programme, um zukünftige Schäden zu vermeiden.
Durchsetzung einer Richtlinie zur Datenaufbewahrung
Setzen Sie eine Richtlinie zur Datenaufbewahrung durch, die regelt und überwacht, wie lange Informationen aufbewahrt und entsorgt werden müssen, wenn sie nicht mehr relevant sind. Stellen Sie außerdem sicher, dass die Richtlinie auch den Zweck der Datenverarbeitung umfasst.
Die Mitarbeiter sollten immer wissen, wie sie Unternehmensdaten in all ihren Formen handhaben, speichern und entsorgen müssen. Darüber hinaus ist ein Vernichtungszertifikat für sensible Daten ebenfalls von entscheidender Bedeutung.
Verwendung eines Schredders
Stellen Sie sichere Schredderbehälter neben jeden Mülleimer in Ihrer Arbeitsumgebung. Zerreißen Sie Ihre Papiere nicht einfach und werfen Sie sie in die Behälter, da Angreifer sie leicht zusammenfügen und Informationen abrufen können, um einen Cyberangriff zu planen. Der Schredder vernichtet Dokumente mit sensiblen Informationen vollständig.
Schulung der Mitarbeiter
Führen Sie regelmäßig Schulungsprogramme durch, um die Mitarbeiter in der ordnungsgemäßen Entsorgung von Daten und anderen Strategien zur Verhinderung von Angriffen zu schulen. Erklären Sie, was Ihre Richtlinie zur Datenaufbewahrung beinhaltet und wie die Mitarbeiter sie einhalten müssen. Mitarbeiter sollten niemals Ausdrucke, Fotokopien, alte Computer oder andere Unternehmensdaten mit nach Hause nehmen, um sie zu entsorgen.
Lagerung von Müll vor der Entsorgung an einem sicheren Ort
Es mag einfach klingen, aber es ist äußerst wichtig, dass Sie Ihren Müll vor der Entsorgung an einem sicheren Ort lagern. Sie können verschlossene Recyclingtonnen oder Mülleimer verwenden.
Sie können auch einen Zaun um die Mülltonne bauen, um ein Eindringen zu verhindern. Das garantiert zwar keine 100-prozentige Sicherheit, aber es schafft eine Barriere, die Täter daran hindert, auf Informationen zuzugreifen und sie abzurufen.
Verwendung vertrauenswürdiger Recycling-Unternehmen
Wenn Sie ein Recycling-Unternehmen mit der Entsorgung Ihrer Abfälle beauftragen wollen, sollten Sie sicherstellen, dass es sich um ein vertrauenswürdiges Unternehmen handelt. Die Täter können sich als Recycling-Unternehmen tarnen, um an Ihre Daten zu gelangen. Recherchieren Sie ausreichend über das Unternehmen, bevor Sie es mit der Entsorgung Ihrer Abfällen beauftragen.
Fazit
Dumpster Diving ist nach wie vor eine der vielen Möglichkeiten, die Angreifer nutzen, um Informationen über ihre Opfer zu sammeln. Wenn Sie verhindern möchten, dass Dumpster-Diving-Kriminelle an wertvolle Unternehmensdaten gelangen, sollten Sie alle in diesem Artikel genannten Präventionstipps umsetzen.
Verwenden Sie einen Schredder, um alle Papiere mit sensiblen Daten zu vernichten, und sensibilisieren Sie Ihre Mitarbeiter, um einen solchen Angriff zu verhindern.