Social Media Security

Was Facebook & Co. für mehr Sicherheit tun

26.10.2018
Von   IDG ExpertenNetzwerk


Thomas Ehrlich verantwortet als Country Manager DACH und Osteuropa das Wachstum und die Positionierung des Security-Anbieters Varonis in dieser Region. Zuvor war er seit 1999 bei NetApp in verschiedenen Positionen tätig, zuletzt als Vice President Global Accounts. Nach seinem Studium der Wirtschaftsinformatik arbeitete er zudem als Systemingenieur bei Silicon Graphics.
Millionen Nutzer vertrauen Tag für Tag den sozialen Medien ihre Daten an. Was unternehmen LinkedIn, Facebook und Twitter, um diese zu schützen?

Erinnern Sie sich noch? Im Jahr 2012 wurden bei einem massiven Cyber-Angriff eines Hackers namens "Peace" über 117 Millionen LinkedIn-Benutzer-Passwörter entwendet. Nachdem sich der Staub ein wenig gelegt hatte, wurden neue Protokolle implementiert und der Datenschutzverstoß in der Öffentlichkeit so gut wie vergessen. Nun, fast fünf Jahre später begann "Peace", die gestohlenen Passwort-Informationen der LinkedIn-Benutzer aus dem früheren Hack zu veröffentlichen.

Soziale Netzwerke sind ein bedeutender Teil des privaten und beruflichen Lebens - und damit auch begehrte Ziele für Cyberkriminelle.
Soziale Netzwerke sind ein bedeutender Teil des privaten und beruflichen Lebens - und damit auch begehrte Ziele für Cyberkriminelle.
Foto: Twin Design - shutterstock.com

Aufgrund der Millionen von Nutzerdaten (oder Milliarden im Falle von Facebook), die im Inter- beziehungsweise Darknet herumschwirren, ist der Bedarf an strenger Sicherheit von Social-Media-Plattformen offensichtlich. Allein Facebook sieht sich täglich mehr als 600.000 Angriffen ausgesetzt, wobei das nichts ist im Vergleich zu den 300 Millionen versuchten Hacks der NSA pro Tag.

Heterogene Nutzer mit unterschiedlichem Sicherheitsverständnis

Die große Heterogenität der Social-Media-Nutzer, etwa was das Alter oder auch Technik-Affinität anbelangt, macht das Security Management sehr komplex. Soziale Medien müssen nicht nur Hacker bekämpfen, sondern auch solche Nutzer (und deren Daten) schützen, deren Sicherheitsverständnis nicht besonders ausgeprägt ist. So gaben kürzlich nur 18 Prozent der Amerikaner an, ihr Social Media-Passwort regelmäßig zu ändern. In Deutschland sieht es nicht besser aus: Hier nutzen 61 Prozent dasselbe Passwort mehrfach und geben Cyberkriminellen damit so etwas wie einen Generalschlüssel in die Hand.

Was also unternehmen die großen Plattformen gegen Angreifer und für mehr Sicherheit ihrer Nutzer? Jede von ihnen betreibt einen eigenen Security-Blog, der die Nutzer und Brancheninsider über neue Sicherheitsfortschritte, Taktiken zur Betrugsbekämpfung und ähnliches auf dem Laufenden hält. Was die Sicherheitsteams von LinkedIn, Twitter und Facebook konkret tun, um die sozialen Plattformen zu schützen, die die Menschen jeden Tag nutzen, haben wir in der Infografik aufgeschlüsselt.

Auch wenn jede Plattform eigene Herausforderungen adressieren muss, gibt es doch einen Ansatz, dem alle folgen: Sie betreiben ein Bug-Bounty-Programm, die Security-Spezialisten (White-Hat Hacker) dazu animieren soll, die Unternehmen über Schwachstellen zu informieren.

Fakes, Bots und VPN

Darüber hinaus erlaubt Facebook etwa Zugang über das Tor-Netzwerk und VPN, LinkedIn entfernt Fake-Accounts mittels Cluster-Analyse und Twitter setzt auf Content Security Policy (CSP), um Angriffe über Javascript zu verhindern. Diese Policies erweisen sich als recht erfolgreich. Aber darauf ausruhen können sich die Sicherheitsverantwortlichen nicht: Hacker werden weiter nach Wegen suchen, Daten zu erlangen beziehungsweise die Netzwerke für ihre kriminellen Aktivitäten zu nutzen.

Einige der Probleme scheinen zudem noch ungelöst: Zum Beispiel versucht Twitter die Sicherheit und Integrität seiner Plattform zu schützen, indem es die Anzahl der automatisierten Bots reduziert. Im Zuge der Fake-News-Debatte erklärte der Kurznachrichtendienst in einem Blog, dass Bots zwar ein positives und wichtiges Werkzeug etwa in der Kundenbetreuung sein können, aber der Einsatz dieser Technologie, um die Kernfunktionalität zu untergraben, strikt verboten sei. Dennoch sind Bots heute gerade bei Twitter noch ein Thema, sei es bei der Oscar-Verleihung oder im Vorfeld von Wahlen.

Der Kampf zum Schutz der Sicherheit und Privatsphäre auf den Social-Media-Kanälen ist noch lange nicht vorbei. Da die Datensicherheitsteams in Unternehmen aber weiter wachsen, lernen und Wissen austauschen, besteht die Hoffnung, dass sie für die unterschiedlichen Bedrohungen die passenden Antworten finden.