Social Engineering bedroht Unternehmen

Social Media: Stairway to Malware

09.09.2016
Von 


Florian Maier beschäftigt sich mit diversen Themen rund um Technologie und Management.

"Social Media stellt eines der größten und dynamischsten Risiken für die Sicherheit von Unternehmen dar", ist Mike Raggo, Chief Research Officer beim Enterprise-Security-Anbieter ZeroFox, überzeugt. "Wenn Social Media nicht Teil des Risk Assessment ist, entstehen Lücken. Um den Umfang der Bedrohungen verstehen zu können, muss dem Bereich Social Media endlich die gebührende Aufmerksamkeit zukommen. Social-Media-Plattformen gewinnen für die Kommunikation auf Unternehmensebene zunehmend an Bedeutung. Und Cyberkriminelle nutzen das Vertrauen in die Plattformen und die weit verzweigte Konnektivität aus, um Mitarbeiter und Kunden ins Visier zu nehmen."

Laut Raggo seien sich die Unternehmen inzwischen aber der Gefahren bewusst und bereits dabei, mit Hilfe ihrer Security-Spezialisten entsprechende Gegenmaßnahmen auf den Weg zu bringen.

Unternehmen vor Social Engineering schützen?

Auch FireEye-Manager Jared Semrau unterstreicht die Bedeutung von Social-Media-Plattformen für die Verbreitung von Schadsoftware: "Hacker nutzen diese Plattformen, um ihre Social-Engineering-Kampagnen an ein möglichst breites Publikum auszurollen oder um ihrem Handeln Vertrauenswürdigkeit zu verleihen - etwa durch die Erstellung von Profilen, Aktivitäten oder Netzwerken." Auch finde über diese Kanäle ein reger Informationsaustausch über aktuelle Schwachstellen statt.

Die Methoden, sich gegen die Social-Media-Gefahr zu wappnen, sind beschränkt - das Risiko lässt sich aber minimieren, meint Semrau: "Der erste Schritt besteht darin, die Bedrohungen für Ihr Unternehmen zu erkennen. Sie können Millionen-Beträge in Tools und Gegenmaßnahmen investieren - wenn Sie kein ganzheitliches Bild und Verständnis Ihrer Bedrohungsumgebung besitzen, ist die Investition für die Katz."

Das ganzheitliche Verständnis der Bedrohungslage und die richtige Priorisierung der Bedrohungen sei der richtige Weg, um Security Awareness zu schaffen und hoffentlich auch das Verhalten der User irgendwann zu verändern. Für die IT-Security-Spezialisten sei hingegen die Bewertung von Tools ein entscheidender Faktor, so Semrau: "Stellen Sie sicher, dass sich die eingesetzten Tools und Services mit den Bedürfnissen Ihres Unternehmens decken."

Fazit: IT-Sicherheit muss kultivierter werden

Diejenigen, die meinen, man habe mit Security-Tools die richtige Antwort auf einen Vulnerability Score, verfolgen nach Auffassung von Steve Durbin eine zu simple Strategie: "Die gesamte Bedrohungslandschaft wird zunehmend komplexer. Unternehmen müssen ihre Strategie hinsichtlich der Bewertung und Einordnung von Risiken überdenken - es geht nicht nur darum, Compliance-Richtlinien einzuhalten."

Die IT-Sicherheit muss kultivierter werden: In vielen Unternehmen fehlt das Bewusstsein darüber, welche Assets als geschäftskritisch einzustufen sind und wie sich Ausfallzeiten auswirken. Denn ein Risiko besteht nicht nur auf der Service-Ebene, sondern auch hinsichtlich Marken, Reputation und Wettbewerbsumfeld. Schließlich schafft es ein Datenleck oder Hackerangriff auf ein Unternehmen nicht nur in die Schlagzeilen, sondern auch auf Facebook, Twitter, LinkedIn und Co.

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation csoonline.com.