03.07.2008, 22:50 Uhr
Angriff aufs soziale Netz
Das «Netzwerken» gehört zum Handwerkszeug jedes Unternehmers. Dank Xing, MySpace & Co. war es noch nie so einfach wie heute. Doch die Social Networks bergen auch Gefahren.
Candid Wüst ist Virenforscher beim Sicherheits-spezialisten Symantec.
Es ist so unheimlich praktisch: Alle Kontaktdaten und Dossiers der Geschäftskunden sind auf einer Plattform im Web versammelt. Ein Klick mit der Maus, schon können neue Kontakte geknüpft, Dienstleister oder Auftraggeber gesucht oder Geschäftspartner an andere vermittelt werden. Social Networks halten nicht nur im privaten Bereich alte und neue Kontakte am Laufen, auch Unternehmern hat so eine Empfehlung über fünf Ecken schon neue Aufträge verschafft. Die vielfältigen Möglichkeiten, Informationen, Videoclips oder andere Multimedia-Dateien mit anderen zu teilen, gehört zu den grössten Stärken der Social-Networking-Seiten. Doch neben den Vorteilen bergen Xing, MySpace & Co. auch einige Sicherheitsrisiken. Machen Sie es den Industriespionen, Spammern und Kriminellen nicht allzu leicht.
Private Daten: Nicht zuviel verraten
Manchmal ist es schon erstaunlich, wieviel private Informationen die Mitglieder in den Netzwerken freiwillig Preis geben - oft sogar Details über ihr Arbeitsleben. Solche Informationen nutzen Kriminelle zum «Social Hacking»: Sie täuschen Vertraulichkeit vor und entlocken Ihren gutgläubigen Opfern Informationen, die sie für gezielte Attacken brauchen. Mit dem entsprechenden Wissen ist es vergleichsweise leicht, jemanden dazu zu verleiten, Malware herunterzuladen oder sensible Informationen preiszugeben. Eine beliebte Masche ist, sich als externer Headhunter oder als Mitarbeiter des HR- oder IT-Departments der eigenen Firma auszugeben.
Gut funktioniert auch, ein beliebiges Profil zu lesen und mit diesem Hintergrundwissen an eine Person im jeweiligen Unternehmen heranzutreten. Eine Mail mit dem Inhalt «Wir kennen uns doch noch von früher, als wir zusammen bei XY gearbeitet haben» öffnet manche Türen. Ist der Kontakt hergestellt, verschaffen Fragen beispielsweise nach der Konfiguration einer bestimmten Software die notwendigen Informationen für einen Angriff.
Tatsächlich nehmen gezielte Attacken, die auf Social Engineering oder Schein-Identitäten basieren, zu. Sie machen es Hackern auch allzu einfach: Indem man vorgibt, Mitglied einer Gruppe zu sein, lassen sich infizierte Links, Videos und Bilder glaubhaft als Insider verbreiten. Oder man entert gleich ein komplettes Nutzerprofil und infiziert so das gesamte Netzwerk des Opfers.
Business-Daten: Kontake selektieren
Business-orientierte Netzwerke können sich derzeit über regen Zulauf freuen, auch bei Entscheidern in hohen Führungspositionen. Gerade deshalb sind auch hier Vorsichtsmassnahmen zu treffen. Zum einen sollte sorgfältig darauf geachtet werden, welche Informationen im eigenen Profil freigegeben sind. Das ist natürlich eine Gratwanderung, denn in Social Networks geht es ja gerade um bestehende und neue Kontakte. Normalerweise müssten Name, Firma, E-Mail und Interessen ausreichen, um Kontakte zu knüpfen. Später kann man den bestätigten Kontakten dann weitere Informationen wie Telefonnummer etc. offenlegen. Auf keinen Fall gehören die privaten Urlaubsfotos oder die Videos der Weihnachtsfeier in das offizielle Profil. Jede Information zuviel öffnet Hackern eine Tür. Zum anderen sollte man bei den zum Netzwerk zugelassenen Kontakten sorgfältig selektieren. Das bedeutet, unbekannte Personen nicht zuzulassen, selbst wenn diese behaupten, alte Kollegen oder Bekannte zu sein.