Enterprise Social Networking als Einfallstor

Wenn der Hacker über LinkedIn kommt

31.01.2017 von Stacy Collett und Florian Maier
Heute schon einen potenziellen Job-Kandidaten über LinkedIn oder Xing entdeckt? Es könnte ein Hacker sein.

Laut dem HR-Dienstleister Glassdoor ist der Januar der geschäftigste Monat, wenn es um Jobsuche geht. Das gilt sowohl für Arbeitgeber, die nach Talenten Ausschau halten, als auch für Profis die einen Job suchen und Mitarbeiter, die mit einem Wechsel liebäugeln. Das hat auch zur Folge, dass Bewerbungsschreiben und Lebenläufe fleißig über die entsprechenden sozialen Netzwerke, per E-Mail und über Webportale geteilt, verschickt und ausgetauscht werden.

Genau das versuchen Cyberkriminelle und Hacker inzwischen ganz gezielt auszunutzen, um Unternehmensnetzwerke zu infiltrieren. Welche Taktiken die Computerverbrecher dazu anwenden und wie sich Unternehmen schützen können, das erfahren Sie hier.

Cyberkriminelle und Hacker nutzen zunehmend soziale Netzwerke mit Business-Fokus für ihre Zwecke.
Foto: Ollyy - Di Studio - shutterstock.com

IT-Sicherheitsmaßnahmen greifen nicht

LinkedIn, Xing und Co. werden bei Hackern immer beliebter, denn die haben längst herausgefunden, dass man mit Hilfe der Karriere-Netzwerke relativ einfach die Schutzmaßnahmen der Unternehmen umgehen kann. Denn Portale wie LinkedIn und Xing werden von der Mehrzahl der Netzwerkfilter nicht geblockt. Schließlich soll unter anderem auch die Personalabteilung über die sozialen Netzwerke neue Fachkräfte akquirieren.

"Diese Art von Angriffen werden immer mehr zum Standard, weil sie einfach zu bewerkstelligen sind und nichts kosten", erklärt Chris Stephen vom Security-Anbieter Cylance. "Unternehmen haben eine Menge Geld in ihre Netzwerk-Sicherheit und Produkte investiert, die Webseiten mit schlechten Reputationswerten aufspüren. LinkedIn umgeht beide Maßnahmen".

In den USA nutzen laut einer Untersuchung von Jobvite aktuell bereits 87 Prozent der befragten Recruiter LinkedIn, wenn es darum geht, neue Kandidaten zu evaluieren. Und natürlich nutzen auch Profis, die einen Job suchen das Netzwerk: Im ersten Quartal 2016 verzeichnete LinkedIn nach eigenen Angaben rund 45 Milliarden Seitenzugriffe seiner Mitglieder.

11 Placebos für die IT-Sicherheit
Splash Screens
Viele scheinbar normale Online-Transaktionen werden heutzutage von reißerischen Splash-Screens begleitet. Meldungen wie 'Securely getting your account details' oder 'setting up a secure connection' sollen ein Gefühl von gesteigerter Sicherheit vermitteln. Tun sie vielleicht sogar in manchen Fällen. Sicherer wird die Transaktion dadurch eher nicht.
Antivirus Software
Antivirus-Software alleine reicht heutzutage nicht mehr aus, um Unternehmensnetzwerke zu schützen, da sie gegen aktuelle Bedrohungen wie Ransomware oft nur wenig ausrichten kann. Negative Auswirkungen haben die Virenschutz-Programme hingegen oft auf die Performance.
Perimeter Security
Firewalls und sonstige Perimeter-Security-Maßnahmen können ebenfalls theatralische Qualitäten aufweisen, denn sie alleine sind der wachsenden Bedrohungslage - insbesondere im Unternehmensumfeld - ebenfalls nicht gewachsen.
Alarm-Ermüdung
Permanente Security-Alerts führen häufig dazu, dass die IT-Abteilung aufgrund hoher Fehlalarmquoten in den Ignoranz-Modus schaltet. Ohnehin können nur circa fünf Prozent der Alerts wirklich tiefgehend untersucht werden.
Ignoranz
Investitionen in Sicherheitsmaßnahmen sind eine gute Sache. Allerdings sollten Unternehmen die Daten, die ihr Security-Equipment sammelt, auch auswerten und analysieren. Ein Haken auf der To-Do-Liste reicht nicht aus.
Passwort-wechsel-dich
Ein Passwort alleine genügt nicht. Insbesondere dann, wenn es sich dabei um bewährte Security-Fails wie "123456" handelt. Und welchen Sinn macht es eigentlich, dass man sein Kennwort alle 30 Tage ändern muss?
Security Training
Die Mitarbeiter simulierten Phishing-Attacken auszusetzen, ohne ihnen vorher entsprechende Schulungsmaßnahmen zuteil werden zu lassen hat in der Regel wenig Effekt.
Harte Worte
Viele Security-Anbieter preisen ihre Lösungen mit militanten PR-Botschaften an. Ob die dadurch noch sicherer werden? Schreien hat jedenfalls noch nie viel geholfen.
Mauer-Fetisch
Wenn die IT-Abteilung lieber mauert statt Lösungen zu suchen, trägt das nicht zur Sicherheit bei.
Sharing
Der Austausch von Daten über aufgedeckte Sicherheitslücken und erfolgte Angriffe ist grundsätzlich eine gute Sache. Dennoch hilft sie Unternehmen nicht dabei, die Angriffsvektoren in ihrem Netzwerk aufzudecken.
Schadens-PR
"Uns liegt die Sicherheit unserer Nutzer am Herzen" heißt es allzu oft, nachdem Unternehmen Opfer einer Hacker-Attacke geworden sind. Gegenfrage: Wie konnte es dann überhaupt erst dazu kommen?

Malware per Lebenslauf

Auch E-Mail-Scanning könne dieser Art von Cyberangriffen kaum etwas anhaben, fährt der Experte fort. Schließlich logge sich die Mehrzahl der User bei LinkedIn mit ihrer privaten E-Mail-Adresse ein. Inzwischen erlaubt zwar das Gros der E-Mail-Provider keine .exe-Files mehr als Anhang, die brauchen die Hacker aber ohnehin nicht. Stattdessen verschickten sie mit Malware infizierte Word-Dokumente oder .pdf-Dateien. Die Wahrscheinlichkeit, dass diese in einem "HR-Zusammenhang" geöffnet werden, sei ohnehin viel höher, so Stephen: "Bei LinkedIn können Lebensläufe als Dateianhang versendet werden - was für Cyberkriminelle natürlich einen extrem erfolgversprechenden Angriffsvektor darstellt. Karriereseiten wie Monster oder Indeed lassen Jobsuchende vorgefertigte Formulare ausfüllen, statt eine Datei anzuhängen".

Dazu kommt, dass Hacker, die sich als ganz normale LinkedIn-User tarnen, relativ schwer von solchen zu unterscheiden sind. So besteht auch die Gefahr, dass Cyberkriminelle sich über öffentliche Diskussionen und Unterhaltungen ins Unternehmensnetzwerk schleichen - beispielsweise mit bewährten Social-Engineering-Taktiken oder indem sie Anhänge teilen, die mit Malware infiziert sind. Und je mehr "Kontakte" ein solcher Fake-Account auf sich vereint, desto unverdächtiger wirkt er auf andere User.

LinkedIn selbst äußerte sich auf Nachfrage schriftlich zum Thema: "LinkedIn-Mitglieder können sich schützen, indem sie ausschließlich Kontaktanfragen von Personen akzeptieren, die sie persönlich kennen oder die von einem anderen vertrauenswürdigen Kontakt empfohlen werden. Wir ermutigen unsere Mitglieder, alle Profile, Nachrichten oder Posts die verdächtig erscheinen, zu melden. In unserem Hilfecenter-Bereich finden sich viele hilfreiche Artikel, um auf dem Laufenden zu bleiben. Wir haben auch Teams speziell in diesem Bereich im Einsatz, die betrügerischen Aktivitäten sofort entgegentreten und einer möglichen Wiederholung in der Zukunft entgegenwirken".

Führungskräfte besonders gefährdet

Ray Kruk vom Security-Provider Proofpoint sieht in diesem Zusammenhang insbesondere Führungskräfte als gefährdet an. Eine These die von aktuellen Zahlen von LinkedIn untermauert wird: Ein CEO vereint hier im Durchschnitt 930 Kontakte auf sich. "Fake User, die sich als vertrauenswürdige Business-Partner ausgeben und Kontakt zu Entscheidern im Unternehmen suchen, stellen eine steigende Gefahr dar", so Kruk.

Ein Klick auf einen Malware-verseuchten Shortlink, der über LinkedIn, Xing oder andere soziale Netzwerke verteilt wird, genügt dann, um Rechner auf C-Level zu kapern. Wenn das passiert, haben die Hacker in der Regel auch Zugriff auf geschäftskritische Daten. Das lohne sich meist deutlich mehr, als ein Angriff auf die Personalabteilung, so Kruk.

Collaboration-Tools als Einfallstor

Aber LinkedIn ist nicht die einzige Möglichkeit im Business-Umfeld, die Cyberkriminelle für sich entdeckt haben. Auch Collaboration-Tools und -Plattformen sowie semi-private soziale Netzwerke wie Slack oder Jive rücken zunehmend in den Fokus von Darknet-Gangstern und Datendieben. Schließlich umgehen auch diese Plattformen und Netzwerke in aller Regel die Sicherheitsmaßnahmen in Unternehmen, die auf Netzwerk- und Infrastruktur-Ebene greifen sollen.

"Wenn es um IT-Sicherheit geht, ist der Mensch das schwächste Glied in der Kette", so Kruk. "Die Security-Richtlinien müssen sich daran orientieren, wie die Menschen mit Daten und Kommunikationsplattformen umgehen".

Personalabteilungen und Recruiter verwenden Slack und Jive, um mit potenziellen Job-Kandidaten zu kommunizieren. Aber auch diese Tools werden laut David King von Uhy nicht gemanagt - die Unternehmen haben also keine Kontrolle darüber, welche Daten hierüber ausgetauscht werden. Sollte sich über eine solche Verbindung Schadcode einschleichen, betrifft das nicht nur den aktuellen Arbeitgeber, wie King erklärt: "Das größte Risiko, das meiner Meinung nach solchen Services innewohnt, ist, dass ein HR-Mitarbeiter bei einem Jobwechsel auch alle seine Slack-Unterhaltungen mitnimmt".

Die größten Hacks 2016
US-Demokraten
Im Rahmen eines großangelegten Datendiebstahls werden E-Mails aus dem Democratic National Commitee (DNC) veröffentlicht. Das sorgt nicht nur dafür, dass sich viele US-Amerikaner von der Demokratischen Partei – und ihrer Kandidatin Hillary Clinton – lossagen: Es beweist in den Augen vieler Menschen auch, dass Russland die US-Wahl zu Gunsten von Donald Trump beeinflusst.
Dyn
Eine massive DDoS-Attacke auf den DNS-Provider Dyn sorgt im Oktober für Wirbel: Mit Hilfe eines Botnetzes – bestehend aus tausenden unzureichend gesicherten IoT-Devices – gelingt es Cyberkriminellen, gleich drei Data Center von Dyn lahmzulegen. Amazon, GitHub, Twitter, die New York Times und einige weitere, große Websites sind über Stunden nicht erreichbar.
Panama Papers
Schon aufgrund der schieren Anzahl an gestohlenen Datensätzen, ist der Cyberangriff auf den panamischen Rechtsdienstleister Mossack Fonseca einer der größten Hacks des Jahres: 2,6 Terabyte an brisanten Daten werden dem Unternehmen gestohlen. Mit weitreichenden Folgen, denn die Dokumente decken auf, mit welchen Methoden mehr als 70 Politiker und Vorstände aus aller Welt Steuern mit Hilfe von Offshore-Firmen "sparen".
Yahoo
Erst im September musste Yahoo den größten Hack aller Zeiten eingestehen. Nun verdichten sich die Anzeichen, dass dieselben Hacker sich bereits ein Jahr zuvor deutlich übertroffen hatten: Bei einem Cyberangriff im August 2013 wurden demnach die Konten von knapp einer Milliarde Yahoo-Usern kompromittiert. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter abgegriffen.
NSA
Eine Hackergruppe namens "Shadow Brokers" sorgt im Oktober für Aufsehen, indem sie versucht, Hacking-Tools auf der Blog-Plattform tumblr zu versteigern. Das Besondere daran: Das Toolset wollen die Cyberkriminellen zuvor von der berüchtigten Hackergruppe "Equation Group" gestohlen haben. Und es wird noch besser: Während die "Equation Group" immer wieder mit der National Security Agency in Verbindung gebracht wird, besteht der Verdacht, die "Shadow Brokers" hätten ihrerseits Connections nach Russland.
Bitfinex
Die Bitcoin-Trading-Plattform Bitfinex wird Anfang August 2016 um knapp 120.000 Bitcoins (ca. 89,1 Millionen Euro) erleichtert. Der Hackerangriff hebelt die mehrfach abgesicherte Authentifizierungs-Architektur des Unternehmens, die bis dahin als sicher gilt, schlicht aus. Zwar ist dieser Bitcoin-Hack "nur" der drittgrößte in der IT-Geschichte, allerdings stellt Bitfinex eine der größten Trading-Plattformen in diesem Segment dar. Das Unternehmen verteilt den Verlust übrigens "gleichmäßig" auf seine Kunden: 36 Prozent jedes einzelnen Kontos sind futsch.
Healthcare-Ransomware
Zugegeben: In diesem Fall handelt es sich nicht um einen großen Hack, sondern viele. Sehr viele. Insbesondere die Healthcare-Branche wird 2016 von immer populärer werdenden Ransomware-Kampagnen erschüttert, die sämtliche Dateien auf einem Rechner verschlüsseln und nur gegen die Zahlung eines Lösegelds wieder freigeben (oder auch nicht). Daraus lässt sich einerseits ablesen, wie lukrativ das Geschäft mit der Erpressungs-Malware ist, andererseits, wie weit kriminelle Hacker bereit sind zu gehen, wenn es um ihre monetären Interessen geht.

So schützen sich Unternehmen

Um das Problem zu lösen, empfiehlt King Unternehmen, entsprechende Richtlinien schriftlich zu fixieren: Die Nutzung privater Social-Media-Accounts sollte seiner Einschätzung nach am Arbeitsplatz komplett untersagt werden. Darüber hinaus sollten Unternehmen auch Mitarbeiter, die in Teilzeit arbeiten oder befristet (auch wenn der Zeitraum nur einige Monate umfasst) angestellt sind, mit Business-E-Mail- und Social-Media-Accounts ausstatten.

Ganz generell sollten Unternehmen im Rahmen von Awareness-Programmen und -Trainings aber sicherstellen, dass ihre Mitarbeiter überhaupt von der Existenz dieser Bedrohungen wissen - meint auch Chris Stephen von Cylance. Darüber hinaus hilft ein effektiver Schutz für Endpoints und Applikationen, die Risiken zu minimieren.

Die Nutzung von privaten E-Mail-Adressen für LinkedIn und Co. ist ein weiteres Einfallstor für Social-Engineering-Attacken. Laut Ray Kruk reagieren die ersten Unternehmen bereits: "Die Zahl der Firmen, die ihren Mitarbeitern empfiehlt, Social-Media-Profile mit ihren unternehmenseigenen E-Mail-Adressen zu verknüpfen, steigt. Denn der Arbeits-E-Mail-Account dürfte bei entsprechenden Schutzmaßnahmen weit weniger anfällig für solche Attacken sein, als private Accounts bei Yahoo oder Gmail".

Dieser Artikel basiert auf einem Beitrag unserer US-Schwesterpublikation csoonline.com.