Sicherheitslücke Mitarbeiter: wenn vertrauliche Firmeninformationen freiwillig weitergegeben werden

Autor: Andre Wolf

Deutsche Konzerne sperren die Zugänge für ihre Mitarbeiter zu sozialen Netzwerken. Facebook, Twitter, aber auch eBay wird an Arbeitsplätzen der Konzerne gesperrt. Genannte Gründe: Sicherheitslücken  und bedenken um die Produktivität.

Sicherheitslücken – nun mag man glauben, das treffe nur auf die großen Firmen wie Audi, Commerzbank oder Porsche zu, aber das ist ein Irrtum. Auch mittelständische Betriebe können betroffen sein. Selbst wenn es hier um weit weniger Geld geht, so können die Mitarbeiter Firmeninterna weitergeben, die vielleicht an anderer Stelle sehr wertvoll sind.

Sicherheitslücke Mitarbeiter

Als eine Art “passive Spionage” können sich fremde Personen aus wirtschaftlichen Gründen in die eigene Freundesliste einschleichen und so, bei unvorsichtigen Mitarbeitern, Betriebsinformationen sammeln.

Social Engineering

Hier wird das Rad nicht neu erfunden, denn das sogenannte “Social Engineering” gab es schon lange vor Facebook, lange bevor überhaupt soziale Netzwerke für die Massen denkbar waren. Schon in den 1980ern nutzten die sogenannten Phreaker (Personen, die Telefontechnik so manipulierten, dass sie Telefongespräche zu ihren Gunsten kostenfrei führen können) die Methode des Social Engineerings aus.

Der Social Engineer gelangt durch seine Methode an vertrauliche Daten, indem er sich für eine andere Person ausgibt und ,durch vorher erworbenes Wissen, sich als Vertrauter oder Autoritätsperson ausgibt. Mit Hilfe der erlangten Informationen wird eine Vertrauensbasis zwischen dem Opfer und den Social Engineer aufgebaut, so dass das Opfer letztendlich meint, einen Freund/Kollegen auf der anderen Seite zu haben.

Social Engineering in Sozialen Netzwerken

Ziel des Betrügers: in die eigene Freundesliste zu gelangen. Wenn das erst mal geklappt hat, sind dem direkten Kontakt Tür und Tor geöffnet. Da dies jedoch meist nicht mit einer einfachen Freundschaftsanfrage machbar ist, muss der Social Engineer sich VOR der eigentlichen Freundschaftsanfrage seine Welt detailliert zusammenbauen.

Hierbei müssen einige Aspekte sorgfältig beachtet werden:

  • Auswahl der eigenen Interessen
  • Einflechtung der eigenen Person in das virtuelle Leben des zukünftigen Opfers
  • Infiltration des Opferfreundeskreises

Die ersten Punkte sind recht schnell und selber machbar, der letzte Punkt bedarf ein wenig Geduld. Das Schema der Infiltration von Freundeskreisen haben wir bereits in unserem Artikel “Falsche Freunde – scheinfreundliche Feinde” angesprochen:

Langsam, aber sicher erschleicht sich der Social Engineer die Freunde des zukünftigen Opfers. Das funktioniert oft sogar recht erfolgreich und weitere Freundschaftsanfragen verlaufen dann viral: Wenn erst eine Freundschaftsanfrage angenommen wurde, werden innerhalb des angekoppelten Freundeskreis weitere Anfragen versendet.

Somit vermehrt sich die Anzahl der angezeigten „gemeinsamen Freunde“ und das Fakeprofil des Social Engineers wird immer immer glaubwürdiger. Viele gemeinsame Freunde bedeutet oftmals, dass diese Person ja ein Bekannter sein muss.

gemeinsamen Freunde

Irgendwann kommt die Freundschaftsanfrage

Ist das faule Ei dann im Nest, hat das Profil des Social Engineers Informationen frei Haus. Das können die kleinsten Dinge sein, am Ende sind es alles Puzzleteile in einem großen Bild. Harmlose Informationen über Arbeitszeiten (schau an, bei der Konkurrenz arbeitet man um diese Uhrzeit), bis hin zu sensiblen Daten über Firmenpläne, zukünftige Ausrichtungen oder ganz banal: so kommt man auf das Gelände.

Irgendwann kommt die Freundschaftsanfrage

Ganz perfide:
Manchmal muss der Social Engineer gar nicht mit der Zielperson selbst befreundet sein – die Freundschaftsanfrage an Ehefrau oder Kinder kann auch recht hilfreich sein.

Virtuelles Mülltonnen Durchwühlen

Sowohl im Vorfeld, aber speziell auch dann, wenn die Freundschaftsanfrage angenommen wurde, durchwühlt der Social Engineer das Profil seiner Zielperson. Jeder Aspekt kann da für die Konkurrenz, welche den Social Engineer eingeschleust hat, hilfreich sein.  Namen von besonders umsatzträchtigen Kollegen (“Boah, der Vingba hat schon wieder den meisten Umsatz diesen Monat gemacht”) zum Beispiel, können dem Mitbewerber zeigen, wen sie abzuwerben haben. Es sind immer die Kleinigkeiten: Angabe des Ortes bei Geschäftsausflügen, Angaben zu Arbeitsverläufen, Hinweise zu Neuanschaffungen, Angabe der Abteilungsgrößen und auch deren Leiter.

Gerade unzufriedene Mitarbeiter schimpfen gerne mal nach Feierabend ihren Frust bei Facebook von der Seele!

Gefahr: Malwarelink per PN

Es kann noch weiter gehen: Neben den normalen Informationen, welche ein Social Engineer passiv sammeln kann, kann er auch auf gefährliche Weise aktiv eingreifen. Via privater Nachricht kann ein Link verschickt werden, welcher auf eine präparierte Seite führt, wo ein Schadcode auf die Zielperson lauert und den Rechner infiziert. Im schlimmsten Fall wird dann ein Firmenrechner infiziert, welcher vom Angreifer übernommen werden kann. Das Einfügen in ein Botnet ist ein anderer typische Fall für einen Schadcode.

Selbst wenn ein Privatrechner von einem Schadcode angegriffen und ausgelesen wird, zieht das in vielen Fällen Probleme für die Firma mit sich, da Mitarbeiter oftmals privat die Selben Passwörter benutzen, wie auch beruflich. Der Einfachheit halber werden berufliche Passwörter im Laufe der Zeit gerne auch als private genutzt.

“Das passiert nur in großen Firmen – bei uns Kleinen wohl kaum”

Das kann ein fataler Irrglaube sein. Auch wenn als Beispiele immer die großen Weltkonzerne und Führungsspitzen genannt werden (siehe den Bericht zum falschen Google-Chef Eric Schmidt, wo diese Methode als Test auf oberster Ebene funktionierte), auch regionale, in Konkurrenzkämpfe verwickelte Firmen, können so sich gegenseitig ausspähen und eventuell den einen nötigen Schritt voraus sein. Gerade je kleiner die Firma ist, desto geringe ist auch das Problembewusstsein gegenüber möglichen Spähversuchen. Auch Mitarbeiter, welche keine leitenden Positionen innehaben, kommen kaum auf die Idee, für eine Wirtschaftsspionage ausgenutzt zu werden – dabei ist gerade dort der Ansatz für die Social Engineers am einfachsten.

Zuerst denken – dann klicken

Komisch, aber dieser Tipp scheint immer zu gelten. Auch in diesem Fall.
Eine kleine Checkliste zum Schutz vor Spähereien der Mitbewerber bietet die Computerwoche:

So verhindern Sie, ungewollt zum Maulwurf zu werden

• Befolgen Sie die Social-Media-Guidelines ihres Arbeitgebers – sofern vorhanden. Sie stehen üblicherweise im Arbeitsvertrag.

• Besuchen Sie soziale Netzwerke während der Arbeitszeit nur dann, wenn der Arbeitgeber das ausdrücklich erlaubt. Wichtig: Stillschweigende Duldung ist keine Erlaubnis!

• Nennen Sie in Online-Profilen nicht Ihren aktuellen Arbeitgeber.

• Publizieren Sie keine vertraulichen oder proprietären Informationen. Nennen Sie keine Kunden ohne vorherige Erlaubnis.

• Wenn Sie Fotos von Ihrem Smartphone aus posten, sollten Sie sicherstellen, dass Ihre Position nicht in den Metadaten auftaucht (ist bei vielen Smartphones voreingestellt!).

• Vorsicht bei vermeintlichen Branchenkollegen, die sich über Facebook bei Ihnen melden. Hinter dem Kontakt kann sich ein Experte für Wettbewerbsausforschung verbergen (Fachwort: Competitive Intelligence).

• Verwenden Sie im Job keine Lokalisierungsdienste wie Foursquare oder Facebook Places. Die Positionsdaten können Dritten wertvolle Hinweise geben. Beispiel: Halten sich viele Manager einer Firma im Hauptquartier des Konkurrenten auf, kann das auf eine bevorstehende Fusion hindeuten.

(Quelle: http://www.computerwoche.de/a/gefaehrliche-freundschaften,2499647,2)

Von unserer Seite aus geben wir die üblichen Hinweise an die Hand:

  • Keine Freundschaftsanfragen von Personen annehmen, die man nicht kennt.
  • keine Links aus privaten Nachrichten anklicken, bei denen man nicht weiß, wo diese enden.
  • einfachen Angaben aus dem Arbeitsleben komplett unterlassen.

Was können die Unternehmen machen?

Soziale Netzwerke (wie Facebook) während der Arbeitszeit gänzlich zu untersagen, kann unserer Ansicht nach auch kontraproduktiv sein. Es sind meist die unzufriedenen Mitarbeiter, die im Netz über Vorgesetzte oder Kollegen schimpfen. Mitarbeiter sollten jedoch von Unternehmensseite für das Thema sensibilisiert werden und auch durchaus darauf hingewiesen werden, keine Informationen über den Arbeitsalltag bei Facebook&Co preiszugeben. Auch eine klare Klausel zur Geheimhaltung im Arbeitsvertrag ist sinnig.

Sollte diese im ursprünglichen Arbeitsvertrag nicht explizit verankert sein, so wäre es für den Arbeitgeber sinnig, diese Klausel nachträglich als einvernehmliche Erweiterung zum Arbeitsvertrag vom Arbeitnehmer unterzeichnen  zu lassen.

> Schutz für Kleinunternehmer!

Kurzer Blick zu den Branchenriesen

Porsche hat bereits für alle Mitarbeiter den Zugang zu sozialen Netzwerken (Facebook, XING,), aber auch Webdiensten wie eBay oder privaten Mailaccounts während der Arbeitszeit völlig untersagt. Andere Konzerne, wie die Commerzbank, Volkswagen oder Daimler, haben teilweise die Zugänge am Arbeitsplatz zu sozialen Netzwerken gesperrt. Der Grund dazu ist jedoch nicht immer der Faktor Sicherheit, sondern teilweise ganz profan die, durch Ablenkung, gesenkte Produktivität.

Quellen:
http://www.computerwoche.de/a/gefaehrliche-freundschaften,2499647
http://www.morgenpost.de/wirtschaft/article1419075/Facebook-ist-fuer-Porsche-Mitarbeiter-tabu.html
http://www.focus.de/finanzen/recht/tid-22319/studie-zur-industriespionage-datenklau-doch-nicht-bei-uns_aid_627119.html
http://www.sueddeutsche.de/digital/wirtschaftsspionage-in-sozialen-netzwerken-wenn-angestellte-in-die-freundesfalle-tappen-1.1400019-2
http://www.spiegel.de/netzwelt/netzpolitik/angst-vor-spionage-konzerne-sperren-mitarbeitern-facebook-zugang-a-724990.html
http://www.stern.de/wirtschaft/news/sorge-vor-industriespionage-firmen-sperren-facebook-1616947.html
http://www.wiwo.de/technologie/digitale-welt/sicherheitsbedenken-dax-konzerne-sperren-facebook/5155004.html

Autor: Andre, mimikama.org

Unterstützen 🤍

FAKE NEWS BEKÄMPFEN

Unterstützen Sie Mimikama, um gemeinsam gegen Fake News vorzugehen und die Demokratie zu stärken. Helfen Sie mit, Fake News zu stoppen!

Mit Deiner Unterstützung via PayPal, Banküberweisung, Steady oder Patreon ermöglichst Du es uns, Falschmeldungen zu entlarven und klare Fakten zu präsentieren. Jeder Beitrag, groß oder klein, macht einen Unterschied. Vielen Dank für Deine Hilfe! ❤️

Mimikama-Webshop

Unser Ziel bei Mimikama ist einfach: Wir kämpfen mit Humor und Scharfsinn gegen Desinformation und Verschwörungstheorien.

Abonniere unseren WhatsApp-Kanal per Link- oder QR-Scan! Aktiviere die kleine 🔔 und erhalte eine aktuelle News-Übersicht sowie spannende Faktenchecks.

Link: Mimikamas WhatsApp-Kanal

Mimikama WhatsApp-Kanal

Hinweise: 1) Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.


2) Einzelne Beiträge (keine Faktenchecks) entstanden durch den Einsatz von maschineller Hilfe und
wurde vor der Publikation gewissenhaft von der Mimikama-Redaktion kontrolliert. (Begründung)


Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum

INSERT_STEADY_CHECKOUT_HERE

Kämpfe mit uns für ein echtes, faktenbasiertes Internet! Besorgt über Falschmeldungen? Unterstütze Mimikama und hilf uns, Qualität und Vertrauen im digitalen Raum zu fördern. Dein Beitrag, egal in welcher Höhe, hilft uns, weiterhin für eine wahrheitsgetreue Online-Welt zu arbeiten. Unterstütze jetzt und mach einen echten Unterschied! Werde auch Du ein jetzt ein Botschafter von Mimikama

Mehr von Mimikama

Mimikama Workshops & Vorträge: Stark gegen Fake News!

Mit unseren Workshops erleben Sie ein Feuerwerk an Impulsen mit echtem Mehrwert in Medienkompetenz, lernen Fake News und deren Manipulation zu erkennen, schützen sich vor Falschmeldungen und deren Auswirkungen und fördern dabei einen informierten, kritischen und transparenten Umgang mit Informationen.