IT-Sicherheit & Social Media
Was Manager von Donald Trump lernen können
Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.
Man kann ihn lieben oder hassen, aber es gibt keinerlei Zweifel daran, dass Donald Trump es liebt, zu twittern. Zweifel gibt es allerdings zuhauf, wenn es um die Frage geht, ob die Trump’schen Social-Media-Stürme das ohnehin schon immense Stress- und Belastungslevel des US-amerikanischen Secret Service noch weiter steigern.
IT-Sicherheit im Fokus
Schließlich wird ein immenser Aufwand betrieben, um den US-Präsidenten und sein Gefolge vor Hackern zu schützen. Jeder Tweet, der in irgendeiner Weise als umstritten, feindselig oder reaktionär empfunden wird, könnte das Risiko eines Cyberangriffs auf das Weiße Haus steigern. Larry Johnson, Ex-Secret-Service-Mitarbeiter und CSO bei CyberSponse, gibt Einblicke: "Der Secret Service schützt das Büro des Präsidenten und ist damit auch für den Bereich Social MediaSocial Media zuständig. Egal, was der Präsident sagt, der Secret Service muss seiner Aufgabe nachkommen." Alles zu Social Media auf CIO.de
Foto: Joe Seer - shutterstock.com
ManagerManager und Entscheider in Großkonzernen sollten allerdings in ähnlichem Maße auf der Hut sein, wie sie ihr Unternehmen in den sozialen Medien repräsentieren. Wie im Fall des US-Präsidenten geht es in solchen Fällen nämlich nicht nur um den Schutz des Individuums selbst, weiß Johnson: "Ob Secret Service oder IT-Security-Team: Sie schützen das Unternehmen, das Land und alle relevanten Vermögensgüter." Alles zu Führung auf CIO.de
Was ein CEO oder andere Manager eines Unternehmens auf Social-Media-Kanälen posten, kann enorme Auswirkungen auf die IT-Sicherheit im Allgemeinen haben - nicht nur auf die eines Twitter-Accounts. Denn in Sachen Social Media sind (in der Regel) nicht die ausgehenden Messages die, die für Security-Sorgenfalten sorgen, sondern die Reaktionen die sie hervorrufen, wie Johnson klarstellt: "Was eine Bedrohung darstellen könnte, ist das was über das gesagt wird, was gesagt wurde. Jede Bedrohung muss ernst genommen und analysiert werden - ganz im Sinne der Due Diligence."
- US-Demokraten
Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst. - Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar. - Panama Papers
Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen". - Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen. - NSA
Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland. - Bitfinex
Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch. - Healthcare-Ransomware
Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.
Social-Media-Qualitätskontrolle
Darum ist es für Unternehmen auch äußerst ratsam, Richtlinien für Social-Media-Prozesse zu erarbeiten. Schließlich kommen die Bedrohungen aus vielen Richtungen, wie Johnson weiß: "Diese können auch von verärgerten Mitarbeitern oder Wettbewerbern ausgehen, die sich als Mitarbeiter ausgeben. Als Manager oder Entscheider sollte man also keinen Post ohne vorherige Qualitätskontrolle absetzen. Die meisten Unternehmen haben zwar so etwas wie Social-Media-Richtlinien und die CEOs halten sich in der Regel auch daran. Es gibt aber Entscheider, die die sozialen Medien auch aus ganz anderen Gründen nutzen. Sobald das geschieht, besteht auch die Möglichkeit, dass Hacker, Wettbewerber und ‚Widerständler‘ angelockt oder ermutigt werden".
Weil das so ist, sei es unabdingbar, Prozesse zu definieren, so der Experte: "Man muss in der Online-Welt immer Angst haben, das Falsche zu sagen, also braucht es eine Qualitätskontrolle, eine Institution, die die Inhalte überprüft, bevor sie öffentlich gemacht werden und die sicherstellt, dass keine kontroversen Äußerungen enthalten sind, die einen Feuersturm begünstigen". Schließlich, so Johnson, liege es in der Verantwortung der Manager und Entscheider, stets die Reputation ihres Unternehmens zu schützen. Social Media sei in diesem Zusammenhang das Aushängeschild.
- Augen auf im Web
Social Engineering stellt auch IT-Profis vor Herausforderungen. Die Methoden der Angreifer sind hinlänglich bekannt - um sich zu schützen gilt aber vor allem: Augen offen halten. Wir sagen Ihnen, welche Anzeichen dafür sprechen, dass Sie bereits von Social Engineering betroffen sind. - .ru ist doch sicher, oder?
Eventuell. Allerdings impliziert eine URL die mit .ru endet, bereits eine gewisse Fragwürdigkeit. Deshalb sollten Sie eingehende Links, die nicht auf den ersten Blick als unbedenklich verifizierbar sind, in jedem Fall überprüfen. Dazu empfehlen sich zahlreiche, kostenlose Online-Tools - zum Beispiel URLVoid. Misstrauisch sollten Sie auch bei Shortlinks sein, hinter denen sich eventuell schädliche Webseiten verstecken könnten. - Wenn Ortographie zum Albtraum wird
Zeichnet sich eine E-Mail bereits im Betreff durch hanebüchene Rechtschreib-Verbrechen aus, sollten die Social-Engineering-Alarmglocken schrillen. - Eine vertrauenswürdige Quelle
Erhalten Sie Nachrichten oder E-Mails von einer auf den ersten Blick vertrauenwürdigen Quelle - zum Beispiel von Kollegen mit einer firmeninternen Adresse -, dann schauen Sie lieber noch einmal ganz genau hin. Um auf Nummer sicher zu gehen, verzichten Sie auf den Antwort-Button und antworten Sie dem Absender einfach mit einer neuen E-Mail. - Quellensuche Teil 2
Ein weiterer Hinweis auf Social-Engineering-"Befall": Ihr Name taucht weder in der Empfänger-Zeile noch im CC-Verzeichnis auf. Auch wenn viele - oder alle - Kollegen im Empfänger-Verzeichnis stehen, sollten Sie ganz genau hinsehen. - Persönliche Daten ...
... per E-Mail anzufragen, ist eine Masche von Cyberkriminellen und Hackern. Kein seriöses Unternehmen wird Sie per E-Mail auffordern, Ihre Bankverbindung, Kreditkarten- oder Adressdaten mitzuteilen. Wer auf eine solche Nachricht antwortet, kann sich darauf einstellen, zum nächsten Social-Engineering-Opfer zu werden. - Passwortwechsel leicht gemacht
Einige Hacker sind dazu übergegangen, E-Mails mit gefälschten Password-Request-Links zu versenden. Diese Mails zeichnen sich in erster Linie dadurch aus, dass sie auf den ersten Blick täuschend echt aussehen. Wenn Sie zu einem Passwort-Wechsel per Link aufgefordert werden und sich nicht sicher sind, ob es sich um eine Fälschung handelt, besuchen Sie einfach die Seite des betreffenden Portals, loggen sich ein und ändern das Passwort direkt in Ihrem Account. - Das große Geld
Sie wurden zufällig ausgewählt, einen Millionengewinn zu erhalten und alles was zum monetären Glück noch fehlt, ist ein Klick auf den Link in der E-Mail? Dann ist die Wahrscheinlichkeit, dass Sie gerade im Visier von Social-Engineering-Profis sind, extrem hoch. Auch Aufforderungen zu Geldspenden, "Hilferufe" vermeintlicher Bekannter und ähnliche Sachverhalte die Ihnen per E-Mail zugetragen werden, sind in aller Regel das Werk von Cyberkriminellen.
John Wheeler, Research Director bei Gartner empfiehlt Entscheidern daher, sich auf ihren ‚common business sense‘ zu verlassen, um sich selbst und auch ihr Unternehmen vor Sicherheitsbedrohungen zu schützen: "Nutzen Sie für die Kommunikation über sensible Daten abgesicherte Applikationen und Ressourcen und verzichten Sie auf ‚Shadow IT‘-Apps".
Weil speziell E-Mail-Konten relativ einfach kompromittierbar sind, empfiehlt Wheeler zudem, bei allen geschäftskritischen Anweisungen auf eine hinreichende Authentifizierung zu achten: "Erteilen Sie zum Beispiel die Freigabe für Zahlungsanweisungen nicht einfach nur per E-Mail".