Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Risiken in den sozialen Netzwerken
Was bedeuten Begriffe wie etwa Social Engineering oder Social Network eigentlich genau? Wo liegen die Gefahren in Social Networks und wie kann ich mich vor Social Engineering schützen? Wie Sie kompetent mit Social Networks umgehen, erfahren Sie hier.
Was ist Social Engineering? Wie funktionieren Social Networks?
Diese beiden genannten Begriffe hören sich doch beide sehr modern und positiv an. Oder? Dabei beschreibt Social Engineering eine Methode, mit der ein kriminelles Ziel verfolgt wird: das Ausspähen sensibler Daten. „Social Networks“ oder zu Deutsch „Soziale Netzwerke“ sind Plattformen im Internet, die über soziale Medien zugänglich sind und Menschen miteinander verknüpfen und es ermöglichen im virtuellen Raum zu interagieren. Dabei bieten sie den sogenannten Social Engineers (also den Angreifern) eine ideale Plattform, um an Daten zu gelangen.
Stellen Sie sich vor Sie haben ein Profil bei einem Sozialen Netzwerk wie XING, Facebook oder Twitter und eine interessante Seite oder ein Profil abonniert, sodass sie neu veröffentlichte Beiträge direkt auf Ihrer Pinnwand verfolgen können. Um immer auf dem Laufenden zu bleiben, klicken Sie auf einen Link der im neusten Beitrag erwähnt wird. Dieser jedoch führt Sie auf eine Seite, auf der sich plötzlich ein Fenster öffnet und Sie um die Eingabe Ihrer persönlichen Daten gebeten werden. Natürlich geben Sie Ihre Daten an, denn die Seite hatten Sie ja bereits länger abonniert und sie schien vertrauenswürdig.
Die Gefahren bei der Nutzung von Social Networks
In Sozialen Netzwerken ist es für jeden einfach ein gefälschtes Profil zu erstellen, da keine Authentifizierung nötig ist! Ein Link, wie oben geschildert, könnte auch auf Seiten mit Malware weiterleiten oder auf Anwendungen, die Phishing Methoden nutzen. Als Nutzer Sozialer Netzwerke sollte man jedoch schon viel früher Vorsicht walten lassen. Die Erstellung eines eigenen Profils stellt eine erste Herausforderung dar. Für Social Engineers sind diese Online Profile sprudelnde Informationsquellen. Nutzer geben persönliche Daten in öffentlichen Profilen an und nehmen Social Engineers somit einen Teil ihrer Arbeit ab: das Nachfragen. Mit diesen Informationen über eine Person können Angreifer leicht auf Passwörter schließen, die Identität einer Person für eigene Zwecke nutzen beziehungsweise stehlen oder die Kontakte der Person ausspähen. Allein im vergangenen Jahr wurden mehr als 150 Millionen Accounts durch Passwort-Diebstahl gehackt.
Gibt eine Person an für welches Unternehmen sie arbeitet und kann der Angreifer in der Kontaktliste noch Kollegen finden, so fällt es ihm leicht, im Namen dieser Person, Kollegen zu kontaktieren und so an Daten zu gelangen. Eine weitere Methode sind direkte Kontaktversuche des Social Engineers zu seinem Opfer: Dabei bedient sich der Angreifer einer gefälschten Identität und erschleicht sich das Vertrauen der kontaktierten Person. Hier kommt es ganz darauf an, welches Opfer sich der Angreifer ausgesucht hat. In sozialen Netzwerken kann man leicht menschliches Interesse vortäuschen oder man gibt sich gleich als Bekannter aus. Ein Social Engineer wird sein Opfer nicht direkt kontaktieren, sondern sich langsam in der Freundesliste etablieren. Schickt er seinem Opfer dann eine Kontaktanfrage, werden bereits die gemeinsamen Kontakte angezeigt, was für das Opfer nur bedeuten kann, dass es sich um eine reale und anscheinend bekannte Person handelt. Wie im obigen Beispiel geschildert, sind solche Angriffe meist gut durchdacht und die Abonnenten einer Seite/Profils werden nicht direkt auf verdächtige Websites geleitet. Für den Benutzer bedeutet dies: Sogar bei seriös wirkenden Profilen skeptisch bleiben, wenn es um weiterführende Links und Websites geht, die versuchen Daten abzufragen.
Die Risiken:
Nutzen Sie Soziale Netzwerke erhöhen Sie das Risiko Viren oder Schadprogramme zu empfangen. Dies ist vor allem am Arbeitsplatz zu bedenken.
Ihre Daten könnten weitergegeben werden oder gegen Sie verwendet werden.
Dies könnte nur die Vorarbeit zu dem eigentlichen Social Engineering Angriff sein.
Unsere Tipps:
Erkundigen Sie sich über Ihnen unbekannte Personen genauer (zum Beispiel im Internet, über gemeinsame Kontakte). Widersprüchliche Aussagen im Profil (Wohnort, Kontakte, Firma etc.) sind verdächtig.
Aktualisieren Sie stets ihre Privatsphäre Einstellungen, indem Sie prüfen für wen die Inhalte Ihres Profils sichtbar sind und seien Sie vorsichtig bei der Auswahl der Informationen, die sie auf Ihrem Profil preisgeben.
Sensible Daten (Kontodaten, firmeninterne Informationen) sind NIEMALS über Soziale Netzwerke weiterzugeben.
Guidelines zum Thema Social Media und Social Networks finden Sie hier:
http://www.datev.de/portal/ShowPage.do?pid=dpi&nid=108237&stat_Mparam=int_url_datev_guidelines
https://www.bitkom.org/files/documents/BITKOM-SocialMediaGuidelines.pdf
Bild: © Tijana / fotolia.com
Dipl. Kfm. Reinhard Muth, DATEV eG
Reinhard Muth ist TÜVIT-geprüfter ISMS-Auditor und Security-Awareness-Koordinator. 1988 begann er, bei der DATEV eG zu arbeiten. Seit 1994 in der IT-Sicherheit, beschäftigt er sich schwerpunktmäßig mit den Themen ISMS und Awareness.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare