Shoulder Surfing @ ICE

Als ich am Donnerstag mit dem ICE von Stuttgart zurück nach Köln gefahren bin, musste ich (mal wieder) feststellen, dass den meisten „AnzugträgerInnen“ in der 1. Klasse Informationssicherheit ein Fremdwort ist. Reihenweise sitzen dort Leute (die meisten davon im Business-Outfit) und arbeiten an ihren Notebooks – was an sich ja noch nichts Besonderes ist. Auch ich arbeite öfters während langer Bahnreisen an meinem Firmennotebook, doch benutze ich im Gegensatz zu den meisten Mitreisenden eine Sichtschutzfolie. Dieser verhindert, dass Leute am Sitz daneben sehen können, woran ich arbeite und so irgendwelche Daten und/oder Passwörter ausspähen können. Das nennt man auch „Shoulder Surfing“ – ein Teilbereich von Social Engineering. Und genau das habe ich gestern mal ganz absichtlich gemacht.

Auch in Stuttgart zugestiegen war meine Sitznachbarin. Wir haben kein einziges Wort während der Fahrt gewechselt und trotzdem weiß ich, dass sie bei der AXA Deutschland als Leiterin des telefonischen Kundenservice arbeitet und Frau S. J. heißt. Obwohl sie während der Fahrt schätzungsweise 50 – 60 Emails bearbeitet und gelesen, mehrere Powerpoint-Folien überflogen und ein paar Berichte geprüft hat, hat auch sie keine Sichtschutzfolie verwendet. Es wäre also ein leichtes für mich gewesen, neben ihrem Namen und der Firma, für die sie arbeitet, weitere Informationen während der zweistündigen Fahrt herauszufinden und mir aufzuschreiben. Natürlich habe ich es absichtlich bei den genannten Informationen belassen.

In Siegburg stieg dann ein Mitarbeiter der Steria Mummert Consulting in den Zug und setzte sich ebenfalls in dieselbe Reihe – nur auf die andere Seite des Ganges. Selbst über diese Distanz konnte ich – da auch er keine Sichtschutzfolie verwendet hat und trotzdem am Notebook gearbeitet hat – den Namen seiner Firma sehen. Er hat an einem Word-Dokument gearbeitet. Wenn ich gewollte hätte, hätte ich mir dazu Notizen machen können, aber auch das habe ich natürlich unterlassen. Die beiden Mitreisenden sind leider nicht die einzigen gewesen, die während der Zugfahrt ohne Sichtschutzfolien an den Firmennotebooks gearbeitet haben.

Die meisten Unternehmen sichern ihre IT-Netzwerke gegen „Einbrecher“ von außen (und manchmal auch von innen) ab, damit keine sensiblen und/oder wichtigen Daten abfließen können, verabsäumen es aber anscheinend, ihre Mitarbeiter im Bereich Security Awareness (Bewusstsein bzw. Sensibilisierung für Informationssicherheit und Datenschutz) zu schulen. Jemand mit krimineller Energie bräuchte sich im Grunde – bewaffnet mit einem Notizblock – nur ein paar Mal die Woche in einen Zug (oder auch Flieger) zu setzen und schon hätte er eine nette Sammlung an sensiblen Daten von jeder Menge Unternehmen. Die Leute bearbeiten ihre Emails (auch mal gerne in Schriftgröße 26…), erstellen Powerpoint-Präsentation über neue Services oder Produkte und überarbeiten Berichte, während sie von Fremden umgeben sind.

Wenn sich dann Unternehmen fragen, wie sensible Daten an die Öffentlichkeit gelangt sind, obwohl niemand Daten herausgegeben hat und auch kein Hacker es ins Firmennetzwerk geschafft hat, dann ist die Antwort wohl ganz einfach: die Daten wurden – z.B. über Shoulder Surfing – ausgespäht. Ich kann daher nur appellieren, dass bei der schwächsten Stelle im Unternehmen – nämlich den Mitarbeitern – angesetzt wird und hier das Informationssicherheitsbewusstsein geschult wird.

Mal sehen, vielleicht fange ich ja nun an und sammle ab sofort Name, Funktion und Firma eines jeden Mitarbeiters, der seine Daten freiwillig im Zug/Flieger mit anderen „teilen“ will und veröffentliche diese hier im Blog. Vielleicht bringt das dann die eine oder andere Firma dazu, etwas über ihre IT-Sicherheitsrichtlinen nachzudenken. Wer an dieser Aktion teilenehmen will, ist herzlich dazu eingeladen 😉