Blogheim.at Logo
Aktuelles Sicherheitslücke Mitarbeiter: wenn vertrauliche Firmeninformationen freiwillig weitergegeben werden

Sicherheitslücke Mitarbeiter: wenn vertrauliche Firmeninformationen freiwillig weitergegeben werden

Facebook-Themen

Facebook lässt Trumps-Sperre von einem unabhängigem Aufsichtsgremium prüfen

Unabhängiges Aufsichtsgremium prüft in Auftrag von Facebook Trump-Sperre! „Beispielloses Handeln erforderlich“: Nachdem sich Trump-Anhänger durch unbelegte Aussagen des ehemaligen US-Präsidenten in den sozialen Netzwerken aufgestachelt fühlten...

Facebook-Seite „PlayStation 5 Freunde.“ – Vorsicht vor Fake-Gewinnspielen!

Bei der Facebook-Seite "PlayStation 5 Freunde." handelt es sich um eine dubiose Gewinnspiel-Seite. Ein gefälschtes Gewinnspiel der Seite "PlayStation5 Freunde." lockt mit dem großen Gewinn...

Lockdown: Wiener Künstler gestaltet täglich neue Motiv-Maske

Um die Menschen zum Tragen von Masken zu motivieren, nahm sich Matthias Kretschmer auf humorvolle Art und Weise dem Thema an. Im ersten Lockdown im...

„Flugzeug-Absturz in Hamburg“ führt zu Phishing-Falle!

Mit der Schlagzeile "Flugzeug in Hamburg abgestürzt" sollen Nutzer in eine Phishing-Falle tappen Erst vor wenigen Tagen warnten wir vor Phishing-Versuchen mit Berichten über Flugzeug-Abstürze...
-WERBUNG-
- Werbung -

Deutsche Konzerne sperren die Zugänge für ihre Mitarbeiter zu sozialen Netzwerken. Facebook, Twitter, aber auch eBay wird an Arbeitsplätzen der Konzerne gesperrt. Genannte Gründe: Sicherheitslücken  und bedenken um die Produktivität.

Sicherheitslücken – nun mag man glauben, das treffe nur auf die großen Firmen wie Audi, Commerzbank oder Porsche zu, aber das ist ein Irrtum. Auch mittelständische Betriebe können betroffen sein. Selbst wenn es hier um weit weniger Geld geht, so können die Mitarbeiter Firmeninterna weitergeben, die vielleicht an anderer Stelle sehr wertvoll sind.

Sicherheitslücke Mitarbeiter

Als eine Art “passive Spionage” können sich fremde Personen aus wirtschaftlichen Gründen in die eigene Freundesliste einschleichen und so, bei unvorsichtigen Mitarbeitern, Betriebsinformationen sammeln.

Social Engineering

Hier wird das Rad nicht neu erfunden, denn das sogenannte “Social Engineering” gab es schon lange vor Facebook, lange bevor überhaupt soziale Netzwerke für die Massen denkbar waren. Schon in den 1980ern nutzten die sogenannten Phreaker (Personen, die Telefontechnik so manipulierten, dass sie Telefongespräche zu ihren Gunsten kostenfrei führen können) die Methode des Social Engineerings aus.

Der Social Engineer gelangt durch seine Methode an vertrauliche Daten, indem er sich für eine andere Person ausgibt und ,durch vorher erworbenes Wissen, sich als Vertrauter oder Autoritätsperson ausgibt. Mit Hilfe der erlangten Informationen wird eine Vertrauensbasis zwischen dem Opfer und den Social Engineer aufgebaut, so dass das Opfer letztendlich meint, einen Freund/Kollegen auf der anderen Seite zu haben.

Social Engineering in Sozialen Netzwerken

Ziel des Betrügers: in die eigene Freundesliste zu gelangen. Wenn das erst mal geklappt hat, sind dem direkten Kontakt Tür und Tor geöffnet. Da dies jedoch meist nicht mit einer einfachen Freundschaftsanfrage machbar ist, muss der Social Engineer sich VOR der eigentlichen Freundschaftsanfrage seine Welt detailliert zusammenbauen.

Hierbei müssen einige Aspekte sorgfältig beachtet werden:

  • Auswahl der eigenen Interessen
  • Einflechtung der eigenen Person in das virtuelle Leben des zukünftigen Opfers
  • Infiltration des Opferfreundeskreises

Die ersten Punkte sind recht schnell und selber machbar, der letzte Punkt bedarf ein wenig Geduld. Das Schema der Infiltration von Freundeskreisen haben wir bereits in unserem Artikel “Falsche Freunde – scheinfreundliche Feinde” angesprochen:

Langsam, aber sicher erschleicht sich der Social Engineer die Freunde des zukünftigen Opfers. Das funktioniert oft sogar recht erfolgreich und weitere Freundschaftsanfragen verlaufen dann viral: Wenn erst eine Freundschaftsanfrage angenommen wurde, werden innerhalb des angekoppelten Freundeskreis weitere Anfragen versendet.

Somit vermehrt sich die Anzahl der angezeigten „gemeinsamen Freunde“ und das Fakeprofil des Social Engineers wird immer immer glaubwürdiger. Viele gemeinsame Freunde bedeutet oftmals, dass diese Person ja ein Bekannter sein muss.

gemeinsamen Freunde

Irgendwann kommt die Freundschaftsanfrage

Ist das faule Ei dann im Nest, hat das Profil des Social Engineers Informationen frei Haus. Das können die kleinsten Dinge sein, am Ende sind es alles Puzzleteile in einem großen Bild. Harmlose Informationen über Arbeitszeiten (schau an, bei der Konkurrenz arbeitet man um diese Uhrzeit), bis hin zu sensiblen Daten über Firmenpläne, zukünftige Ausrichtungen oder ganz banal: so kommt man auf das Gelände.

Irgendwann kommt die Freundschaftsanfrage

Ganz perfide:
Manchmal muss der Social Engineer gar nicht mit der Zielperson selbst befreundet sein – die Freundschaftsanfrage an Ehefrau oder Kinder kann auch recht hilfreich sein.

Virtuelles Mülltonnen Durchwühlen

Sowohl im Vorfeld, aber speziell auch dann, wenn die Freundschaftsanfrage angenommen wurde, durchwühlt der Social Engineer das Profil seiner Zielperson. Jeder Aspekt kann da für die Konkurrenz, welche den Social Engineer eingeschleust hat, hilfreich sein.  Namen von besonders umsatzträchtigen Kollegen (“Boah, der Vingba hat schon wieder den meisten Umsatz diesen Monat gemacht”) zum Beispiel, können dem Mitbewerber zeigen, wen sie abzuwerben haben. Es sind immer die Kleinigkeiten: Angabe des Ortes bei Geschäftsausflügen, Angaben zu Arbeitsverläufen, Hinweise zu Neuanschaffungen, Angabe der Abteilungsgrößen und auch deren Leiter.

Gerade unzufriedene Mitarbeiter schimpfen gerne mal nach Feierabend ihren Frust bei Facebook von der Seele!

Gefahr: Malwarelink per PN

Es kann noch weiter gehen: Neben den normalen Informationen, welche ein Social Engineer passiv sammeln kann, kann er auch auf gefährliche Weise aktiv eingreifen. Via privater Nachricht kann ein Link verschickt werden, welcher auf eine präparierte Seite führt, wo ein Schadcode auf die Zielperson lauert und den Rechner infiziert. Im schlimmsten Fall wird dann ein Firmenrechner infiziert, welcher vom Angreifer übernommen werden kann. Das Einfügen in ein Botnet ist ein anderer typische Fall für einen Schadcode.

Selbst wenn ein Privatrechner von einem Schadcode angegriffen und ausgelesen wird, zieht das in vielen Fällen Probleme für die Firma mit sich, da Mitarbeiter oftmals privat die Selben Passwörter benutzen, wie auch beruflich. Der Einfachheit halber werden berufliche Passwörter im Laufe der Zeit gerne auch als private genutzt.

“Das passiert nur in großen Firmen – bei uns Kleinen wohl kaum”

Das kann ein fataler Irrglaube sein. Auch wenn als Beispiele immer die großen Weltkonzerne und Führungsspitzen genannt werden (siehe den Bericht zum falschen Google-Chef Eric Schmidt, wo diese Methode als Test auf oberster Ebene funktionierte), auch regionale, in Konkurrenzkämpfe verwickelte Firmen, können so sich gegenseitig ausspähen und eventuell den einen nötigen Schritt voraus sein. Gerade je kleiner die Firma ist, desto geringe ist auch das Problembewusstsein gegenüber möglichen Spähversuchen. Auch Mitarbeiter, welche keine leitenden Positionen innehaben, kommen kaum auf die Idee, für eine Wirtschaftsspionage ausgenutzt zu werden – dabei ist gerade dort der Ansatz für die Social Engineers am einfachsten.

Zuerst denken – dann klicken

Komisch, aber dieser Tipp scheint immer zu gelten. Auch in diesem Fall.
Eine kleine Checkliste zum Schutz vor Spähereien der Mitbewerber bietet die Computerwoche:

So verhindern Sie, ungewollt zum Maulwurf zu werden

• Befolgen Sie die Social-Media-Guidelines ihres Arbeitgebers – sofern vorhanden. Sie stehen üblicherweise im Arbeitsvertrag.

• Besuchen Sie soziale Netzwerke während der Arbeitszeit nur dann, wenn der Arbeitgeber das ausdrücklich erlaubt. Wichtig: Stillschweigende Duldung ist keine Erlaubnis!

• Nennen Sie in Online-Profilen nicht Ihren aktuellen Arbeitgeber.

• Publizieren Sie keine vertraulichen oder proprietären Informationen. Nennen Sie keine Kunden ohne vorherige Erlaubnis.

• Wenn Sie Fotos von Ihrem Smartphone aus posten, sollten Sie sicherstellen, dass Ihre Position nicht in den Metadaten auftaucht (ist bei vielen Smartphones voreingestellt!).

• Vorsicht bei vermeintlichen Branchenkollegen, die sich über Facebook bei Ihnen melden. Hinter dem Kontakt kann sich ein Experte für Wettbewerbsausforschung verbergen (Fachwort: Competitive Intelligence).

• Verwenden Sie im Job keine Lokalisierungsdienste wie Foursquare oder Facebook Places. Die Positionsdaten können Dritten wertvolle Hinweise geben. Beispiel: Halten sich viele Manager einer Firma im Hauptquartier des Konkurrenten auf, kann das auf eine bevorstehende Fusion hindeuten.

(Quelle: http://www.computerwoche.de/a/gefaehrliche-freundschaften,2499647,2)

Von unserer Seite aus geben wir die üblichen Hinweise an die Hand:

  • Keine Freundschaftsanfragen von Personen annehmen, die man nicht kennt.
  • keine Links aus privaten Nachrichten anklicken, bei denen man nicht weiß, wo diese enden.
  • einfachen Angaben aus dem Arbeitsleben komplett unterlassen.

Was können die Unternehmen machen?

Soziale Netzwerke (wie Facebook) während der Arbeitszeit gänzlich zu untersagen, kann unserer Ansicht nach auch kontraproduktiv sein. Es sind meist die unzufriedenen Mitarbeiter, die im Netz über Vorgesetzte oder Kollegen schimpfen. Mitarbeiter sollten jedoch von Unternehmensseite für das Thema sensibilisiert werden und auch durchaus darauf hingewiesen werden, keine Informationen über den Arbeitsalltag bei Facebook&Co preiszugeben. Auch eine klare Klausel zur Geheimhaltung im Arbeitsvertrag ist sinnig.

Sollte diese im ursprünglichen Arbeitsvertrag nicht explizit verankert sein, so wäre es für den Arbeitgeber sinnig, diese Klausel nachträglich als einvernehmliche Erweiterung zum Arbeitsvertrag vom Arbeitnehmer unterzeichnen  zu lassen.

> Schutz für Kleinunternehmer!

Kurzer Blick zu den Branchenriesen

Porsche hat bereits für alle Mitarbeiter den Zugang zu sozialen Netzwerken (Facebook, XING,), aber auch Webdiensten wie eBay oder privaten Mailaccounts während der Arbeitszeit völlig untersagt. Andere Konzerne, wie die Commerzbank, Volkswagen oder Daimler, haben teilweise die Zugänge am Arbeitsplatz zu sozialen Netzwerken gesperrt. Der Grund dazu ist jedoch nicht immer der Faktor Sicherheit, sondern teilweise ganz profan die, durch Ablenkung, gesenkte Produktivität.

Quellen:
http://www.computerwoche.de/a/gefaehrliche-freundschaften,2499647
http://www.morgenpost.de/wirtschaft/article1419075/Facebook-ist-fuer-Porsche-Mitarbeiter-tabu.html
http://www.focus.de/finanzen/recht/tid-22319/studie-zur-industriespionage-datenklau-doch-nicht-bei-uns_aid_627119.html
http://www.sueddeutsche.de/digital/wirtschaftsspionage-in-sozialen-netzwerken-wenn-angestellte-in-die-freundesfalle-tappen-1.1400019-2
http://www.spiegel.de/netzwelt/netzpolitik/angst-vor-spionage-konzerne-sperren-mitarbeitern-facebook-zugang-a-724990.html
http://www.stern.de/wirtschaft/news/sorge-vor-industriespionage-firmen-sperren-facebook-1616947.html
http://www.wiwo.de/technologie/digitale-welt/sicherheitsbedenken-dax-konzerne-sperren-facebook/5155004.html

Autor: Andre, mimikama.at

- Werbung -

Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur Auseinandersetzung der Sache mit dem Thema.

Aktuelle Nachrichten aus dem In- und Ausland

Die Corona-Krise! Wir brauchen deine Unterstützung! Die Corona-Krise stellt uns alle vor großen Herausforderungen und bringt uns an unsere Grenzen. Jeder gibt seinen Teil dazu bei um zu Unterstützen. Gegenüber anderen Medien haben wir keine “Pay-Wall” eingerichtet, denn wir möchten unsere Inhalte für alle offen halten. Wenn jeder, der unsere Faktenchecks liest, dabei hilft, diese zu finanzieren, wird es mimikama auch weiterhin geben und wir können gemeinsam gegen Fakenews vorgehen. Unterstütze uns und tragen auch Du dazu bei, die Zukunft von Mimikama zu sichern. Hier kannst Du unterstützen: via PayPal, Steady oderPatreon

Macron „schockiert“ über Bilder von Polizeigewalt gegen Schwarzen

0
In Frankreich sorgen neue Bilder von Polizeigewalt für Empörung: Die Pariser Staatsanwaltschaft eröffnete Ermittlungen gegen Polizisten, die einen Schwarzen geschlagen und getreten hatten, weil...
Die deutsche Komikerlegende Karl Dall ist tot

Karl Dall ist tot – die ersten Details!

0
Der Komiker Karl Dall ist im Alter von 79 Jahren verstorben. Das bestätigte seine Familie am 23. November, wie unter anderem „Focus“ berichtet.

Top-Artikel

Facebook lässt Trumps-Sperre von einem unabhängigem Aufsichtsgremium prüfen

Unabhängiges Aufsichtsgremium prüft in Auftrag von Facebook Trump-Sperre! „Beispielloses Handeln erforderlich“: Nachdem sich Trump-Anhänger durch unbelegte Aussagen des ehemaligen US-Präsidenten in den sozialen Netzwerken aufgestachelt fühlten...

YouTube sperrt den Kanal „KenFM“ endgültig

Falschinformationen: YouTube sperrt nun Ken Jebsens Kanal endgültig! Ken Jebsen, 2011 vom RBB entlassener Journalist und Betreiber des YouTube Kanals „KenFM“ hat es sowohl in...

Webseite dokumentiert Angreifer auf das Kapitol mithilfe von Gesichtserkennung

Das Projekt „Faces of the Riot“ will durch Gesichtserkennung diejenigen aufspüren, die sich am Sturm auf das Kapitol beteiligt haben. 827 Auswertungen – 6.000 Gesichter: Für...

Internet-User wird Opfer von Computer-Betrugsmasche

Cyberkriminelle denken sich laufend neue Betrugsmaschen aus. Wie zum Beispiel Daten via Pop-Up-Fenster abzugreifen und dann kostenpflichtige Briefsendungen zu verschicken. Einer Betrugsmasche zum Opfer gefallen...

Video zeigt keine Reaktion auf COVID-19 mRNA-Impfstoff

Ein Video soll zeigen, mit welchen Reaktionen ein 33-jähriger Mann auf den COVID-19 mRNA-Impfstoff zu kämpfen hat Das Video zeigt, wie ein Mann in einem...
-WERBUNG-
-WERBUNG-