Wer in sozialen Netzwerken aktiv ist, gibt Informationen von sich preis. Diese sind in erster Linie für Freunde und Kollegen bestimmt. Was viele Nutzer von Diensten wie Facebook, Google+ und Stayfriends jedoch häufig unterschätzen: Es können sich auch „falsche Freunde“ einschleichen, die auf der Suche nach verwertbaren Informationen sind.
Cyber-Kriminelle nutzen die Daten, die ihnen Social-Media-Plattformen frei Haus liefern für hoch gefährliche Aktivitäten. Die Angriffe zielen auf einzelne Personen ab, häufig hochrangige Mitarbeiter von Unternehmen. Um solche Angriffe abzuwehren, ist ein vielschichtiges Sicherheitskonzept erforderlich.
Privat & im Job – Menschen sind eben ein Teil von Social Networks
Insgesamt sind gegenwärtig laut dem deutschen Hightech-Verband Bitkom mehr als drei Viertel der deutschen Internet-User zumindest bei einer Social-Media-Plattform registriert. Das heißt, über 51 Millionen Deutsche sind in einem sozialen Online-Netzwerk unterwegs – mit steigender Tendenz. Doch das Engagement in sozialen Netzen ist nicht alleine Privatleuten vorbehalten. Dem Bitkom zufolge nutzen sogar fast 50 Prozent der Unternehmen in Deutschland mittlerweile Social-Media-Plattformen, sei es für die interne Kommunikation oder die Interaktion mit Kunden und Interessenten.
Erfolg von Social Media ruft Kriminelle auf den Plan
Mit sozialen Netzwerken sind allerdings nicht nur positive Dinge verbunden, etwa dass Freunde, Bekannte, Verwandte und Arbeitskollegen miteinander in Kontakt bleiben und Informationen aller Art austauschen können. Facebook etwa blockiert nach Angaben von IT-Sicherheitsexperten mehr als 200 Millionen illegale Aktivitäten pro Tag. Dazu zählen Beiträge mit Links zu Webseiten, die Schadsoftware (Malware) enthalten oder Spam-E-Mails mit unerwünschten Werbebotschaften oder ebenfalls Malware-Links.
Zudem werden etwa fünf bis acht Prozent der Accounts in sozialen Netzwerken von Betrügern und Cyber-Kriminellen angelegt. Sie verwenden gefälschte Profile, um Spam-Nachrichten zu versenden oder um als „Freunde“ Zugang zu den Daten anderer Nutzer zu erhalten. So bitten beispielsweise vermeintliche Freunde per Direktnachricht um die Überweisung von einigen Euro, weil sie sich angeblich in einer Notlage befinden. Oder sie versuchen Mitarbeitern firmeninterne Informationen oder Daten über Kollegen zu entlocken.
Vor Social-Engineering und Cyber-Angriffen schützen – so geht’s!
Zielgerichtete Attacken auf Mitarbeiter mithilfe solcher Social-Engineering-Techniken erfreuen sich wachsender Beliebtheit. Unternehmen sollten sich daher bewusst sein, dass Attacken auf mobile Geräte und soziale Netzwerke viel gefährlicher für sie werden können als gezielte Angriffe. Denn in der Dienstleistungsgesellschaft sind Mitarbeiter die wichtigste Ressource – für Unternehmen und Betrüger.
Bereits wenige Daten, die sich Angreifer via Facebook und Co. beschaffen, können als Ausgangspunkt für weiterführende Attacken genutzt werden. Informationen wie
- Vor- und Nachname
- Geburtstag
- E-Mail-Adresse
- Wohnort
reichen in manchen Fällen aus, um bei anderen Online-Accounts Wiederherstellungsfunktionen zu aktiveren. Solche „Second-Level-Angriffe“ sind mittlerweile an der Tagesordnung. Das gilt speziell für Angriffe, die auf einzelne Personen abzielen, so genannte Spear-Phishing-Angriffe. Zielgruppe sind vorzugsweise Mitarbeiter von Unternehmen und Behörden, die Zugang zu wichtigen Informationen haben. Das können Mitarbeiter von Entwicklungs- und Vertriebsabteilungen sein, aber auch IT-Administratoren mit Zugriff auf Account-Informationen, Passwörter und Daten über Netzwerk-Sicherheitseinstellungen.
Die kriminelle Masche: Fake-E-Mail mit harmlosen Links
Angreifer übermitteln beispielsweise an solche Beschäftigte E-Mails oder Nachrichten via Facebook, Google+ oder Twitter. Als Autor nutzen sie die Daten von Kollegen oder Freunden des Opfers, die sie durch das Kapern von Accounts oder eine sorgfältige Auswertung der Online-Aktivitäten der Betreffenden erhalten haben. Oft wird die Zielperson aufgefordert, ein angehängtes Dokument zu öffnen oder einen Link anzuklicken, der in der Nachricht eingebettet ist. Der Hintergrund solcher Avancen: Auf dem Rechner oder Mobilgerät des Betreffenden soll auf diese Weise Schadsoftware installiert werden, die dem Angreifer Zugang zum Unternehmensnetzwerk verschaffen soll und er sensible Daten ausspähen kann.
Ein sicherer Umfang mit sozialen Netzwerken und Social-Collaboration-Plattformen ist für Unternehmen unverzichtbar. Firmen sollten vor allem auf folgende fünf Punkte achten:
- Einen offenen Umgang mit Social Media pflegen, statt die Nutzung solcher Dienste zu untersagen
- Aufklärung der Mitarbeiter
- Kontrolle der Social-Media-Aktivitäten des Unternehmens
- Sicherheitsbeauftragte stärker in Entscheidungen einbinden
- Richtlinien für die Nutzung von Social Media aufstellen
Social-Media-Guidelines in Unternehmen richtig planen
Um Datenlecks innerhalb des Unternehmens zu vermeiden, empfiehlt es sich zudem, verbindliche Social-Media-Guidelines zu erarbeiten und umsetzen. Diese Richtlinien regeln, ob ein Mitarbeiter in seiner Rolle als Beschäftigter in sozialen Netzwerken aktiv sein darf und was er dabei zu beachten hat. In einigen Branchen, etwa dem Finanzsektor, gelten höchst restriktive Vorgaben. In anderen Bereichen, wie dem Mediensektor und der Unterhaltungsindustrie, sind weniger strenge Auflagen an der Tagesordnung.
Wer sich nachhaltig vor Gefahren schützen möchte, welche die Nutzung von sozialen Netzwerken mit sich bringen können, sollte außerdem auf die Hilfe von Tools zurückgreifen. Sie unterstützen Nutzer dabei, Schadsoftware zu eliminieren und die „richtigen“ Privacy-Einstellungen bei Facebook und Co. zu aktivieren.
Darüberhinaus kann man auch nie wissen, was der Betreiber einer solchen Plattform mit den gewonnenen Daten eigentlich treibt. Ich wäre da sehr vorsichtig. Schnell geraten vertrauliche Firmeninterna in falsche Hände.