DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Risiken in den sozialen Netzwerken

Was bedeuten Begriffe wie etwa Social Engi­neering oder Social Network eigentlich genau? Wo liegen die Gefahren in Social Net­works und wie kann ich mich vor Social Engi­neering schützen? Wie Sie kom­petent mit Social Net­works umgehen, erfahren Sie hier.

 

Was ist Social Engi­neering? Wie funk­tio­nieren Social Networks?

Diese beiden genannten Begriffe hören sich doch beide sehr modern und positiv an. Oder? Dabei beschreibt Social Engi­neering eine Methode, mit der ein kri­mi­nelles Ziel ver­folgt wird: das Aus­spähen sen­sibler Daten. „Social Net­works“ oder zu Deutsch „Soziale Netz­werke“ sind Platt­formen im Internet, die über soziale Medien zugänglich sind und Men­schen mit­ein­ander ver­knüpfen und es ermög­lichen im vir­tu­ellen Raum zu inter­agieren. Dabei bieten sie den soge­nannten Social Engi­neers (also den Angreifern) eine ideale Plattform, um an Daten zu gelangen.

Stellen Sie sich vor Sie haben ein Profil bei einem Sozialen Netzwerk wie XING, Facebook oder Twitter und eine inter­es­sante Seite oder ein Profil abon­niert, sodass sie neu ver­öf­fent­lichte Bei­träge direkt auf Ihrer Pinnwand ver­folgen können. Um immer auf dem Lau­fenden zu bleiben, klicken Sie auf einen Link der im neusten Beitrag erwähnt wird. Dieser jedoch führt Sie auf eine Seite, auf der sich plötzlich ein Fenster öffnet und Sie um die Eingabe Ihrer per­sön­lichen Daten gebeten werden. Natürlich geben Sie Ihre Daten an, denn die Seite hatten Sie ja bereits länger abon­niert und sie schien vertrauenswürdig.

Die Gefahren bei der Nutzung von Social Networks

In Sozialen Netz­werken ist es für jeden einfach ein gefälschtes Profil zu erstellen, da keine Authen­ti­fi­zierung nötig ist! Ein Link, wie oben geschildert, könnte auch auf Seiten mit Malware wei­ter­leiten oder auf Anwen­dungen, die Phishing Methoden nutzen. Als Nutzer Sozialer Netz­werke sollte man jedoch schon viel früher Vor­sicht walten lassen. Die Erstellung eines eigenen Profils stellt eine erste Her­aus­for­derung dar. Für Social Engi­neers sind diese Online Profile spru­delnde Infor­ma­ti­ons­quellen. Nutzer geben per­sön­liche Daten in öffent­lichen Pro­filen an und nehmen Social Engi­neers somit einen Teil ihrer Arbeit ab: das Nach­fragen. Mit diesen Infor­ma­tionen über eine Person können Angreifer leicht auf Pass­wörter schließen, die Iden­tität einer Person für eigene Zwecke nutzen bezie­hungs­weise stehlen oder die Kon­takte der Person aus­spähen. Allein im ver­gan­genen Jahr wurden mehr als 150 Mil­lionen Accounts durch Passwort-Die­b­­stahl gehackt.

Gibt eine Person an für welches Unter­nehmen sie arbeitet und kann der Angreifer in der Kon­takt­liste noch Kol­legen finden, so fällt es ihm leicht, im Namen dieser Person, Kol­legen zu kon­tak­tieren und so an Daten zu gelangen. Eine weitere Methode sind direkte Kon­takt­ver­suche des Social Engi­neers zu seinem Opfer: Dabei bedient sich der Angreifer einer gefälschten Iden­tität und erschleicht sich das Ver­trauen der kon­tak­tierten Person. Hier kommt es ganz darauf an, welches Opfer sich der Angreifer aus­ge­sucht hat. In sozialen Netz­werken kann man leicht mensch­liches Interesse vor­täu­schen oder man gibt sich gleich als Bekannter aus. Ein Social Engineer wird sein Opfer nicht direkt kon­tak­tieren, sondern sich langsam in der Freun­des­liste eta­blieren. Schickt er seinem Opfer dann eine Kon­takt­an­frage, werden bereits die gemein­samen Kon­takte ange­zeigt, was für das Opfer nur bedeuten kann, dass es sich um eine reale und anscheinend bekannte Person handelt. Wie im obigen Bei­spiel geschildert, sind solche Angriffe meist gut durch­dacht und die Abon­nenten einer Seite/Profils werden nicht direkt auf ver­dächtige Web­sites geleitet. Für den Benutzer bedeutet dies: Sogar bei seriös wir­kenden Pro­filen skep­tisch bleiben, wenn es um wei­ter­füh­rende Links und Web­sites geht, die ver­suchen Daten abzufragen.

Die Risiken:

Nutzen Sie Soziale Netz­werke erhöhen Sie das Risiko Viren oder Schad­pro­gramme zu emp­fangen. Dies ist vor allem am Arbeits­platz zu bedenken.
Ihre Daten könnten wei­ter­ge­geben werden oder gegen Sie ver­wendet werden.
Dies könnte nur die Vor­arbeit zu dem eigent­lichen Social Engi­neering Angriff sein.

Unsere Tipps:

Erkun­digen Sie sich über Ihnen unbe­kannte Per­sonen genauer (zum Bei­spiel im Internet, über gemeinsame Kon­takte). Wider­sprüch­liche Aus­sagen im Profil (Wohnort, Kon­takte, Firma etc.) sind verdächtig.
Aktua­li­sieren Sie stets ihre Pri­vat­sphäre Ein­stel­lungen, indem Sie prüfen für wen die Inhalte Ihres Profils sichtbar sind und seien Sie vor­sichtig bei der Auswahl der Infor­ma­tionen, die sie auf Ihrem Profil preisgeben.
Sen­sible Daten (Kon­to­daten, fir­men­in­terne Infor­ma­tionen) sind NIEMALS über Soziale Netz­werke weiterzugeben. 

Gui­de­lines zum Thema Social Media und Social Net­works finden Sie hier: 
http://www.datev.de/portal/ShowPage.do?pid=dpi&nid=108237&stat_Mparam=int_url_datev_guidelines
https://www.bitkom.org/files/documents/BITKOM-SocialMediaGuidelines.pdf

Bild: © Tijana / fotolia.com

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dipl. Kfm. Reinhard Muth, DATEV eG

Reinhard Muth ist TÜVIT-geprüfter ISMS-Auditor und Security-Awa­reness-Koor­di­nator. 1988 begann er, bei der DATEV eG zu arbeiten. Seit 1994 in der IT-Sicherheit, beschäftigt er sich schwer­punkt­mäßig mit den Themen ISMS und Awareness.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.