Social Engineering bedroht Unternehmen

Social Media: Stairway to Malware

Florian Maier beschäftigt sich in erster Linie mit dem Themenbereich IT-Security. Daneben schreibt er auch über reichweitenstarke und populäre IT-Themen an der Schnittstelle zu B2C und ist für den Facebook-Auftritt der COMPUTERWOCHE zuständig. Er schreibt hauptsächlich für die Portale COMPUTERWOCHE und CIO.
Sie sind leicht zugänglich, entziehen sich der Kontrolle der Unternehmens-IT und fast jeder nutzt sie: Social-Media-Plattformen - die Goldminen der Hacker.
Social Media verspricht ganz große Beute.
Social Media verspricht ganz große Beute.
Foto: STILLFX - Thomas Bethge - shutterstock.com

Auf Facebook, LinkedIn, Xing oder Twitter teilen Menschen jede Menge Informationen, die auf den ersten Blick unbedenklich weil trivial scheinen. Doch genau auf diese Infos haben es kriminelle Hacker abgesehen - sind sie doch perfektes "Material", um (Spear-)Phishing-Kampagnen zu starten.

Eine aktuelle Studie des Cloud-Security-Providers Nopsec zum Thema Vulnerability Risk Management kommt zu dem Schluss, dass Unternehmen inadäquate Scoring-Systeme verwenden. Der Grund: Risk-Evaluation-Systeme wie das Common Vulnerability Scoring System (CVSS) vernachlässigen Social-Media-Plattformen bisher in aller Regel.

"Social Media verspricht die große Beute"

"Die Nutzung von Social Media ist deutlich gestiegen", analysiert Steve Durbin, Managing Director bei Information Security Forum. "Sobald jemand ein Profil auf einer Seite wie LinkedIn, Twitter oder Facebook besitzt, geht er fast schon selbstverständlich davon aus, dass die Interaktion mit anderen Nutzern keinerlei Risiko darstellt. Auf psychologischer Ebene ist damit jede Abwehrhaltung bereits Geschichte."

Das hat dazu geführt, dass professionelle Hacker und sonstige Cyber-Grobiane die Social-Media-Plattformen zunehmend zur Verbreitung von Malware über Social-Engineering-Taktiken nutzen, wie der Experte erklärt: "Vom Standpunkt eines Hackers aus gesehen, verspricht Social Media die große Beute: Es ist eine Umgebung, in der die meisten Menschen naturgemäß unvorsichtig sind und am ehesten bereit, mit unbekannten Dritten zu kommunizieren. Eine großartige Gelegenheit also, Informationen aller Art für Spear-Phishing-Zwecke zu sammeln."

Insbesondere Twitter ist laut der Nopsec-Untersuchung auf dem Weg zu einer der Top-Plattformen für Security-Forscher und Hacker gleichermaßen, wenn es um die Verbreitung von Proof-of-Concept-Exploits geht. Über Schwachstellen, die mit aktiver Malware in Verbindung stehen, wird demnach neun Mal öfter getweetet als über solche mit Public Exploit und 18 mal öfter als über alle restlichen Schwachstellen.

Dabei dienen Social-Media-Plattformen nicht nur als Gateway für Malware, sondern auch als Lockmittel. Denn diese Plattformen bilden Angriffsvektoren die außerhalb der End Point Security liegen. Es liegt also nahe, dass Unternehmen, die sich ausschließlich auf CVSS verlassen, Schwierigkeiten bekommen, Risiken zu priorisieren. Nopsec empfiehlt, Risk-Evaluation-Systeme wie CVSS mit anderen Faktoren zu kombinieren - etwa einer Social-Media-Trendanalyse und Data Feeds. So werde eine bessere Risikoeinschätzung und -Priorisierung gewährleistet.

"Eines der größten Risiken für Unternehmen"

Im Rahmen des Smarsh 2016 Electronic Communications Compliance Survey führten 48 Prozent der Befragten Social Media als den Kanal mit dem am höchsten wahrgenommenen Compliance-Risiko an. Sogar wenn Social-Media-Plattformen ausdrücklich von Unternehmen verboten würden, bestehe laut der Studie "das Risiko, dass sich Mitarbeiter nicht daran halten." Die Anzahl der Teilnehmer, die glauben, dass ein solches Verbot wenig bis gar nicht funktioniert, liegt im Fall von LinkedIn bei 30 Prozent, bei Facebook sind es 41 Prozent und bei Twitter 45 Prozent. Das Problem für die IT-Security-Spezialisten in Unternehmen: die Social-Media-Plattformen sind wenig oder gar nicht einsehbar, denn sie befinden sich außerhalb des Netzwerk-Perimeters.

Inhalt dieses Artikels