Personal & Führung

Small Talk am Stand kann ein Unternehmen ruinieren

Plaudereien bei Fachveranstaltungen sind nicht jedermanns Sache. Erst recht nicht Themen wie Politik, Religion oder Sex - dafür gerade auf der CeBIT Gespräche über Branche, Betrieb und besondere Interessen. Das Risiko: Gerade dabei finden Datendiebe oft Ansatzpunkte für gefährliche Attacken.

Teilen auf

LinkedIn Xing Whatsapp

Der nette Plausch über die Anfahrt, das Wetter, die bevorstehende Urlaubszeit oder das Kunstwerk an der Wand im Chefzimmer lockert die Atmosphäre doch sehr angenehm auf. Bei der CeBIT, die nächsten Montag in Hannover beginnt, haben Sie wieder viel Gelegenheit zu diesem Small Talk, wie übrigens generell bei Messen und Tagungen. Kaffeepausen bei solchen Veranstaltungen sind oft auch geprägt durch Nerdtalk – Plaudereien, die schon stark in Richtung Fachgespräch gehen, aber gerade noch unverbindlich genug bleiben, um knapp als Small Talk durchzugehen. Nach gemeinsamen Interessen dafür müssen Sie nicht lange suchen – obwohl es kaum schaden dürfte, falls Sie sich vom letzten Treffen gemerkt haben, dass der Mitarbeiter eines Geschäftspartners etwa in der Freizeit gerne segelt oder Bogen schießt.

Social Engineering wird zunehmend zum Risiko

Doch so nützlich und wichtig Small Talk im menschlichen und geschäftlichen Miteinander ist, so sehr können Sie sich damit in die Nesseln setzen. Ich rede jetzt nicht über die Klassiker unter den Fettnäpfchenthemen wie Politik, Religion, Geld, Sex oder Krankheiten. Sie sollten sich vor allem der Tatsache bewusst sein, dass gerade auf Messen die nette Plauderei über Fettnäpfchen hinaus für Unternehmer weitere Risiken birgt. Die sollten Sie kennen und Ihre Mitarbeiter dafür sensibilisieren: Stichwort Social Engineering. Wirtschaftskriminelle haben in den vergangenen Jahren nicht nur ihre technischen Methoden verfeinert, um an Geld, Zugangsdaten oder Know-how zu gelangen. Sie gehen auch mit immer ausgeklügelteren sozialen Strategien ans Werk – dem Social Engineering, wie im DsiN-Blog, dem IT-Sicherheitsblog der Initiative „Deutschland sicher im Netz“, genauer erklärt wird.

Mit etwas Geschick können sich Betrüger als Chef ausgeben

Social-Engineering-Angreifer versuchen auf den unterschiedlichsten Wegen – etwa per E-Mail, Telefon, in geschlossenen Gruppen eines sozialen Netzwerks und eben auch im persönlichen Gespräch auf Messen und Kongressen –, an alle möglichen Arten geschützter Informationen zu kommen: geschäftskritische, vertrauliche und auch andere interne Informationen eines Unternehmens, von Log-in- oder Kontodaten über Kreditkartennummern bis zu Zahlen über einzelne Geschäftsbereiche oder Wissen zu den persönlichen Eigenheiten der Mitarbeiter. Klar denken Sie jetzt: So etwas gibt doch niemand auf einer Messe preis. Aber die Angreifer gehen geschickt vor: Sie sammeln vorher verschiedene – auch unverfängliche – Daten, bis sie sich so gut auskennen, dass beim Small Talk eine Atmosphäre der Vertraulichkeit entsteht und plötzlich Dinge besprochen werden, die nicht in die Öffentlichkeit gehören. Spätestens dann kommen die Angreifer an sensible geschäftliche oder private Informationen, die für Straftaten wie Betrug oder Wirtschaftsspionage oder eventuell sogar Erpressung genutzt werden können.

Wer viele Details kennt, kann überzeugend betrügen

Manchmal ist diese Masche erschreckend erfolgreich, wie der Fall eines international tätigen Maschinenbauers zeigt, der Opfer des sogenannten CEO-Tricks wurde. Mit einer E-Mail, die vermeintlich vom obersten Geschäftsführer stammte, brachten Betrüger einen ranghohen Mitarbeiter dazu, ihnen eine Million Euro zu überweisen. In dem Schreiben war die Rede von Geheimverhandlungen zur Einleitung einer Übernahme. Die werde scheitern, wenn der Mann das Geld nicht anweise, drohte ihm der „Firmenchef“. Von einer zweiten E-Mail-Adresse meldete sich parallel ein angeblicher Anwalt, der dem Angestellten die Transaktionsdaten übermittelte und ihn aufforderte, strengstes Stillschweigen über den Vorgang zu wahren und sein privates E-Mail-Konto für die weitere Kommunikation zu nutzen. Dem Opfer erschien der Sachverhalt mit Blick auf die aktuelle Unternehmenssituation plausibel. Das Geld wurde freigegeben und verschwand über ein Konto in China auf Nimmerwiedersehen.

Interne Informationen gehören nicht an die Öffentlichkeit

Um so eine Nummer durchziehen zu können, müssen die Betrüger nicht nur Kontaktdaten sowie Unternehmenshierarchie und -abläufe ausgekundschaftet haben, sondern auch über einige vertrauliche Informationen verfügen – vermutlich aus früheren, nicht als solche erkannten Social-Engineering-Attacken zum Abschöpfen von Details, etwa im Small Talk bei einer Fachveranstaltung. Plaudern Sie solche also bitte nicht aus. Und deuten Sie sie auch nicht im vermeintlich netten Plausch an. Denn das ist die Gefahr beim Small Talk: Wer will, kann sein Gegenüber dabei bestens aushorchen.

Angreifer sind auch in sozialen Netzwerken aktiv

Sie selbst, aber auch Ihre Mitarbeiter am Messestand oder in Fachforen sollten nur Informationen in Gespräche einfließen lassen, die schon über die Firmen-Internetseite oder Presseberichte öffentlich zugänglich sind. Keine Details aus aktuellen oder geplanten Projekten. Auch nicht über Projektfelder – sofern Ihr Unternehmen nicht bereits damit in Verbindung gebracht wird. Keine strategischen Informationen, die auf Vorhaben schließen lassen. Diese Verhaltensregeln gelten übrigens nicht nur für die CeBIT und andere Messen, sondern auch für Treffen vor oder nach einer Veranstaltung abends an der Bar und natürlich sowieso beim Austausch über soziale Netzwerke wie Xing, Linkedin und Facebook.
Foto: Shutterstock

Hat Ihnen der Beitrag gefallen?

Midia Nuri

ist Wirtschaftsjournalistin. Sie schreibt vor allem über nutzwertige Unternehmerthemen rund um Betriebsführung oder auch Finanzielles und Steuerliches für verschiedene Branchenzeitschriften, wie etwa den kfz-Betrieb, Die Fleischerei, Der Freie Zahnarzt, Fahrzeug + Karosserie oder auch etwa Das Dachdeckerhandwerk. Außerdem ist sie Chefredakteurin eines Newsletters von BWRMed!a zum Thema Steuern und Bilanzierung. Zu Steuer- und Finanzthemen bloggt und twittert sie derzeit sporadisch unter lady-godiva-blog.de und twitter.com/LadyGodivaBlog.