Eine Schlüsselrolle in den Attacken auf die Unternehmens-IT spielen seit geraumer Zeit Social-Networking-Plattformen wie Facebook, Twitter, Xing, LinkedIn oder MySpace. Auch Suchmaschinen wie Yasni und 123people, die darauf spezialisiert sind, Informationen über Personen zusammenzutragen, liefern nicht nur Freunden oder Geschäftspartnern eine Fülle von Informationen über bestimmte Personen, sondern auch Angreifern: Name, Adresse, Kontaktdaten wie E-Mail-Adresse und Handynummer. Hinzu kommen Daten zu Hobbys und Vorlieben etwa zu TV-Serien und Musik. Damit nicht genug: Viele User posten in sozialen Netzwerken auch Informationen über ihre Firma, ihren Tätigkeitsbereich oder sogar über interne Ereignisse. Das sind die Grundlagen für Social-Engineering-Angriffe.
"Mit persönlichem Wissen ist es vergleichsweise leicht, jemandem Vertraulichkeit vorzutäuschen und ihn dann zu verleiten, Malware auf seinen Rechner herunterzuladen oder sensible Informationen preiszugeben", warnt Candid Wüest, Sicherheitsexperte bei der IT-Security-Firma Symantec. "Beliebt ist beispielsweise, Facebook und Co. als Spam-Verteilplattform zu nutzen." Wenn Nutzer von Social Networks Video- oder Bilddateien von Freunden empfangen, ist die Wahrscheinlichkeit größer, dass sie diese öffnen. Damit steigt auch die Gefahr, dass sie sich über diese Plattformen Würmer und Trojaner einfangen.
Gleiches gilt für Nachrichten von - vermeintlichen - Freunden mit eingebetteten Links. Angreifer lenken mit Hilfe solcher Web-Adressen den User auf Web-Seiten, auf denen sie Schadprogramme platziert haben. Solche "malicious Websites" scannen den Rechner des Besuchers nach Schwachstellen und versuchen, Malware auf den Rechner des Besuchers zu transferieren. Diese Drive-by-Download-Attacken gehören derzeit zu den beliebtesten und gefährlichsten Waffen im Arsenal von Cyberkriminellen.
Eine weitere Gefahr besteht nach Angaben von Wüest in der Manipulation der Seite selbst. Gelinge es einem Hacker, eine Social-Networking-Seite mit schadhaftem Code zu verseuchen, sei jeder Besucher potenziell gefährdet. Auch Werbebanner, die sich in diesem Umfeld stark verbreiten, können eine Gefahr für Besucher einer Seite darstellen. Es ist laut Wüest mittlerweile durchaus möglich, schädlichen Code dort einzubetten.
Tipps für den Umgang mit Social Networks
Unternehmensrichtlinien erarbeiten: Unternehmen sollten festlegen, ob und wann Mitarbeiter Social-Media während der Arbeitszeit nutzen dürfen. In solchen Regelwerken zudem festlegen, welche firmenbezogenen Informationen ein Mitarbeiter dort preisgeben darf. Etliche Firmen verbieten ihren Mitarbeitern, in ihren Profilen auf Diensten wie Facebook Bezug auf ihre Tätigkeit im Unternehmen zu nehmen. Dies soll es Hacker erschweren, wichtige Zielpersonen und somit potenzielle Angriffsziele zu identifizieren.
Sichere Kennwörter verwenden: Auch wenn solche Passwörter schwer zu behalten sind, sollten User von Facebook und Co. möglichst Kennwörter mit mindestens 14 Zeichen einsetzen, die Groß- und Kleinbuchstaben, Zahlen sowie Symbole umfassen. Außerdem unterschiedliche Passwörter für mehrere Accounts verwenden, etwa für Social Networks, den Privatrechner und die Anmeldung am Firmennetzwerk.
Die Standardeinstellungen von sozialen Plattformen überprüfen: Die Standardeinstellungen der jeweiligen Seite so ändern, dass nicht alle Profilinformationen für jedermann zugänglich sind.
Vorsicht bei Fotos: Möglichst keine unseriösen oder peinlichen Bilder ins Netz stellen, die dem eigenen Ruf oder dem des Unternehmens schaden. Einige Firmen haben Richtlinien erlassen, die ihren Mitarbeitern generell das Veröffentlichen von Bildern untersagen, wenn daraus der Arbeitgeber hervorgeht oder Bezug auf den Arbeitsplatz des Betreffenden genommen wird.
Vorsicht bei Freundschaftsanfragen von Unbekannten: Nur Personen zur Kontaktliste hinzufügen, die man kennt und auch als "Freund" akzeptieren möchte. Cyberkriminelle setzen darauf, dass sich viele User von Social Media davor scheuen, eine Anfrage abzulehnen und damit jemanden vor dem Kopf zu stoßen.
Rechner schützen: Eigentlich eine Selbstverständlichkeit ist es, alle Systeme im Unternehmen mit einer aktuellen Sicherheitssoftware und einer Firewall auszustatten. Das gilt auch für Rechner zu Hause oder im Home-Office, vor allem dann, wenn per USB-Stick oder externe Festplatte Daten zwischen Arbeitsplatz- und Privat-System ausgetauscht werden. Auf diesem Weg kann Schadsoftware ins Unternehmensnetz gelangen. Ebenfalls nicht vergessen: Für alle Anwendungen und das Betriebssystem regelmäßig Patches einspielen.
Wachsam bleiben: Wer vermeintlich von einem Kollegen oder Bekannten eine E-Mail mit einem eingebetteten Link oder einer Datei erhält, sollte diese nicht sofort anklicken. Es kann sich um eine Spam-E-Mail handeln, die den Nutzer auf Web-Sites lotsen möchte, auf denen Schadsoftware platziert ist. Auch Datei-Anhänge können Malware wie Trojaner und Spyware enthalten.
- Markus Hennig, Astaro
"Es ist wichtig, die eigene Infrastruktur mit Schutzmechanismen aufzurüsten, die den modernen Internettechnologien gerecht werden." - Sascha Krieger, eleven
"Während die Quantität von Spam abnahm, legte die Qualität, was die Überlistung von Spam-Filtern anging, zu. Dies galt für die verstärkte Nutzung populärer Anlässe wie zum Beispiel Feiertage als Spam-Köder ebenso wie für E-Mails, die mit versteckten Links oder JavaScript-Umleitungen versuchten, Reputationsfilter auszutricksen." - Christian Funk, Kaspersky Labs
"Virtualisierung und Cloud Computing haben sich etabliert und die Kinderstube verlassen. Insbesondere die Clouds haben ihren Wert durch ihre flexible Erreichbarkeit bewiesen, nun geht es darum, die Endgeräte adäquat abzusichern, um Fremdzugriffe durch verlorene Note- und Netbooks sowie Smartphones zu verhindern, und so sensible Unternehmensdaten geschützt zu halten.“ - Isabell Unseld, McAfee
" Eine noch höhere Verbreitung von Malware wird über mobile Geräte erwartet, die von Mitarbeitern nicht nur privat, sondern auch beruflich genutzt werden und so Unternehmensnetzwerke einem höheren Risiko aussetzen. Auch das Downloaden nicht vertrauenswürdiger Applikationen wird Administratoren nächstes Jahr beschäftigen." - Michael Hoos, Symantec
" Cyberattacken erreichten dieses Jahr mit Stuxnet eine neue Qualität. Der Schädling greift gezielt kritische Infrastrukturen an, in diesem Fall die Steuerung von Fertigungsanlagen. Einmal eingenistet, kann er diese Systeme erschreckend geschickt und weitreichend manipulieren. " - Martin Rösler, Trend Micro
"Mitarbeiter bringen ihr eigenes Equipment wie Smartphones oder Tablets mit ins Unternehmen. Somit wird "Mobile Device Management"eine große Herausforderung werden. Die so genannten "Nomadic Workers" sind Standard. Das heißt, es gibt keine festen Netzwerkgrenzen mehr. Vielmehr findet eine Vermischung statt von Firmen- und privater Nutzung.“