Xing und Facebook: Fundgrube für gezielte Hacker-Angriffe

McAfee-Sicherheitsexperte Toralv Dirro zeigt wie es geht: Er gibt bei Google die Stichworte “vice president” und “research & development” ein und verknüpft diese mit dem Suchmaschinenbefehl “site:linkedin.com”. Die Ergebnisliste zeigt eine prominente Ansammlung hochrangiger Entwicklungsmanager, die ein Profil bei der Karriere-Plattform LinkedIN haben.

Das Gleiche funktioniert natürlich auch mit Xing. Die Kombination aus Firmenname, dem Stichwort “financial controlling” und dem entsprechenden Suchmaschinenbefehl bringt eine Liste verantwortlicher Finanzmanager des gewünschten Konzerns.

Für Hacker können solche Informationen Gold wert sein. Die Zeiten großflächiger Virenattacken sind bekanntlich seit einiger Zeit vorbei – zielgerichtete Attacken sind nach Angaben der Sicherheitsexperten von Kaspersky eine der größten Gefahren für Unternehmensnetzwerke. Für solche Attacken ist das Web 2.0 eine riesige Fundgrube.

Wer Industriespionage plant, ist im Rechner eines Vice President Research &Development an der richtigen Adresse. Bekommt dieser eine persönliche E-Mail mit einem scheinbar besonders interessanten Angebot für Rotwein aus Südafrika – seine Vorliebe dafür hat er unter “Interessen” bei Xing angegeben – gelingt es möglicherweise, ihn über einen manipulierten Link in die Cyber-Falle zu locken.

“In sozialen Netzwerken sind sehr viel mehr Informationen für alle zu sehen, als viele glauben”, sagt Dirro. Und räumt auch ein, dass sich Firmen gegen diese Art von Angriff kaum schützen können. Niemand kann Mitarbeitern verbieten, sich in ihrer Freizeit in sozialen Netzwerken zu tummeln. Die einheitliche Empfehlung der Experten geht deshalb zu klares Firmen-Policies und Mitarbeiterschulungen.

Dirro googelt noch einmal: Diesmal bringt seine Suchanfrage eine seiner Meinung nach gut gelungene Social Media Policy ans Licht, die Kodak vor einiger Zeit entworfen hat. Das PDF-Dokument umfasst stattliche 16 Seiten. “Vielen Leuten ist nicht bewusst, was für Informationen sie nach draußen geben. Es hat aber auch keinen Sinn, alles zu verbieten. Es geht vielmehr darum, für die mögliche Gefahr zu sensibilisieren.”

Eine Möglichkeit, unliebsame Vorfälle von vornherein komplett auszuschließen, gibt es nicht. “Mit der Gefahr müssen sich Firmen bis zu einem gewissen Punkt abfinden, auch technologische Lösungen können das Risiko nur minimieren.”

Geballte Sicherheitskompetenz bei Kaspersky: Stefan Tanase sitzt ganz rechts.
Foto: silicon.de

Auch Facebook ist für die neue, kriminelle Hacker-Generation ein gefundenes Fressen, sagt Kaspersky-Sicherheitsexperte Stefan Tanase. Gezielt werden Profile von Firmenmitarbeitern erstellt. Wer ist mit wem vernetzt, wer ist an welchem Standort zu welchen Uhrzeiten in welcher Verantwortung tätig, wer ist möglicherweise unzufrieden mit seinem aktuellen Job. Gekündigte Mitarbeiter sind für Firmen seit jeher ein potentielles Datenleck – für Hacker eine Quelle, die sich möglicherweise anzuzapfen lohnt. Daran sollte denken, wer seinen Frust über die Kündigung via Facebook Luft macht. Und auch bei Kaspersky heißt es: “Der gebildete Nutzer ist der Schlüssel zur Unternehmenssicherheit.”