Social Media im Unternehmen: Sicherheitsrisiko Twitter und Co. Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


10.03.2011 Bernd Reder*

Social Media im Unternehmen: Sicherheitsrisiko Twitter und Co.

Wenn Mitarbeiter via Twitter, Facebook, Xing und Myspace zu viel ausplaudern, haben Cyberkriminelle leichtes Spiel.

Eine Schlüsselrolle in den Attacken auf die Unternehmens-IT spielen seit geraumer Zeit Social-Networking-Plattformen wie Facebook, Twitter, Xing, LinkedIn oder MySpace. Auch Suchmaschinen wie Yasni und 123people, die darauf spezialisiert sind, Informationen über Personen zusammenzutragen, liefern nicht nur Freunden oder Geschäftspartnern eine Fülle von Informationen über bestimmte Personen, sondern auch Angreifern: Name, Adresse, Kontaktdaten wie E-Mail-Adresse und Handynummer. Hinzu kommen Daten zu Hobbys und Vorlieben etwa zu TV-Serien und Musik. Damit nicht genug: Viele User posten in sozialen Netzwerken auch Informationen über ihre Firma, ihren Tätigkeitsbereich oder sogar über interne Ereignisse. Das sind die Grundlagen für Social-Engineering-Angriffe.

"Mit persönlichem Wissen ist es vergleichsweise leicht, jemandem Vertraulichkeit vorzutäuschen und ihn dann zu verleiten, Malware auf seinen Rechner herunterzuladen oder sensible Informationen preiszugeben", warnt Candid Wüest, Sicherheitsexperte bei der IT-Security-Firma Symantec. "Beliebt ist beispielsweise, Facebook und Co. als Spam-Verteilplattform zu nutzen." Wenn Nutzer von Social Networks Video- oder Bilddateien von Freunden empfangen, ist die Wahrscheinlichkeit größer, dass sie diese öffnen. Damit steigt auch die Gefahr, dass sie sich über diese Plattformen Würmer und Trojaner einfangen.

Gleiches gilt für Nachrichten von - vermeintlichen - Freunden mit eingebetteten Links. Angreifer lenken mit Hilfe solcher Web-Adressen den User auf Web-Seiten, auf denen sie Schadprogramme platziert haben. Solche "malicious Websites" scannen den Rechner des Besuchers nach Schwachstellen und versuchen, Malware auf den Rechner des Besuchers zu transferieren. Diese Drive-by-Download-Attacken gehören derzeit zu den beliebtesten und gefährlichsten Waffen im Arsenal von Cyberkriminellen.

Eine weitere Gefahr besteht nach Angaben von Wüest in der Manipulation der Seite selbst. Gelinge es einem Hacker, eine Social-Networking-Seite mit schadhaftem Code zu verseuchen, sei jeder Besucher potenziell gefährdet. Auch Werbebanner, die sich in diesem Umfeld stark verbreiten, können eine Gefahr für Besucher einer Seite darstellen. Es ist laut Wüest mittlerweile durchaus möglich, schädlichen Code dort einzubetten.

DIEBSTAHL DER IDENTITÄT Ein weiteres Mittel, das Cyberkriminelle einsetzen, um an verwertbare Informationen zu kommen, ist das Einrichten gefälschter Profile. Opfer eines solchen Identitätsdiebstahls ist Ronald Noble geworden, Chef der internationalen Polizeibehörde Interpol. Cyber-kriminelle platzierten Mitte dieses Jahres auf der Social-Networking-Plattform Facebook zwei Accounts unter dem Namen von Noble, obwohl dieser entsprechend den Interpol-Sicherheitsrichtlinien Facebook gar nicht nutzt. Mittels der gefälschten Profile verleiteten Angreifer einige Kollegen und Freunde des Polizeichefs dazu, nicht nur Freundschaftsanfragen von Noble anzunehmen, sondern auch berufliche Informationen auszutauschen. Auf diesem Weg gelangten die Cyberkriminellen an interne Daten über die "Operation Infra-Red", eine international koordinierte Fahndung von Polizeibehörden nach Schwerverbrechern.

KLEINE FIRMEN SIND OFFEN Warum also nicht einfach Mitarbeitern den beruflichen Umgang mit Social Media untersagen? Schwierig ist ein solches Verbot, weil nach Angaben der Marktforschungsgesellschaft Gartner viele Unternehmen selbst intensiv daran arbeiten, Social Media als Plattform für den Informationsaustausch einzuführen. Laut Prognose werden im Jahr 2014 knapp 20 Prozent der geschäftlichen IT- und Internet-Nutzer Social-Network-Services als wichtigstes Kommunikationsmittel verwenden. In Deutschland nutzen bereits 70 Prozent der Unternehmen die Web-Dienste Xing oder Linkedin zur Kontaktpflege. Das ergab eine Umfrage unter 15.000 Unternehmern in 75 Ländern, die von Regus, Anbieter von realen und virtuellen PC-Arbeitsplätzen, in Auftrag gegeben wurde.

Demnach sind die Angebote insbesondere in kleinen Firmen beliebt. 44 Prozent der befragten Kleinunternehmen haben bereits neue Kunden in Social Networks gewonnen. Unter den mittelständischen und großen Unternehmen gaben dies lediglich 34 Prozent zu Protokoll. Auch die Mitarbeiter wollen am Arbeitsplatz twittern und Facebook-Beiträge verfassen. Laut einer Studie von Symantec von Ende September 2010 würden 32 Prozent der Beschäftigten nicht bei einem Unternehmen arbeiten, das ihnen die Nutzung von Social Media untersagt. In der Regel gibt es tatsächlich keine Verbote: 95 Prozent der Firmen erlauben den Zugang zu den einschlägigen Plattformen, wenngleich zum Unmut der IT-Leiter und IT-Sicherheitsbeauftragten: 84 Prozent der CIOs und 77 Prozent der Systemverwalter äußerten Sicherheitsbedenken.

BLINDE FIREWALLS IT-Manager, die Social-Media- und Web-2.0-Dienste aus ihrem Netz aussperren möchten, sehen sich mit einem Problem konfrontiert: Herkömmliche Stateful-Inspection-Firewall-Systeme (SPI) können Web-2.0-Anwendungen nicht erkennen. Dies gilt auch für Voice-over-IP-Services wie Skype sowie für Peer-to-Peer-Verbindungen, die ebenfalls viele Beschäftigte an ihrem Arbeitsplatz nutzen. Nur so genannte Next-Generation-Firewalls, die jedes Datenpaket im Detail analysieren und anschließend einer Anwendung zuordnen, sind in der Lage, solche Applikationen zu identifizieren.

Zu den Pionieren auf diesem Sektor zählt die amerikanische Firma Palo Alto Networks. Mit den Geräten der "PA"-Serie können Unternehmen jede Art von Netzverkehr analysieren und für jeden User festlegen, wann er welche Applikation verwenden darf. Ein angenehmer Nebeneffekt: Die Belastung des Netzes sinkt. Denn laut einer Analyse von Palo Alto Networks haben allein Social-Network-Zugriffe das bewegte Datenvolumen in den vergangenen 18 Monaten auf 9,1 Gigabyte verdoppelt. Das bedeutete eine Zusatzbelastung für Server, Netzwerkgeräte und Speichersysteme. Des Weiteren fallen Kosten für leistungsstärkere Internet-Verbindungen an.

DER MITARBEITER IST GEFRAGT Neben technischen Hilfsmitteln wie Firewalls, Intrusion-Prevention-Systemen und Anti-Spam-Filtern gegen Social Engineering ist die Schulung der Mitarbeiter eine wichtige Komponente für den Schutz der Unternehmens-IT. Die Anwender müssen die Risiken der sozialen Netzwerke kennen und einschätzen können. Am besten sind regelmäßige Schulungen eines IT-Fachteams zum Thema. Empfehlenswert sind zudem Richtlinien zur Nutzung von Social-Networking-Diensten. Darin sollte etwa definiert sein, dass Mitarbeiter keine Details zur beruflichen Position oder zum Unternehmen preisgeben dürfen. Über Facebook oder Myspace Kritik an Kollegen oder internen Vorkommnissen zu üben ist ohnehin grundsätzlich tabu.

* Der Artikel stammt von der deutschen Computerwoche.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • VOQUZ Technologies GmbH

    VOQUZ Technologies GmbH Öffentliche Verwaltung, Maschinen- und Anlagenbau, Finanzdienstleistungen, Qualitätssicherung, Product Lifecycle Management (PLM), Mobile Lösungen und Applikationen, Management Informationssysteme (MIS),... mehr
  • Fabasoft AG

    Fabasoft AG Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Luft- und Raumfahrttechnik, Freie Berufe, Finanzdienstleistungen, Qualitätssicherung,... mehr
  • Editel Austria GmbH

    Editel Austria GmbH Supply Chain Management, E-Procurement und Supply Chain Management, Datenkonvertierung, Überwachungssysteme, Trust Center/Zertifizierungssoftware, Digitale Signatur, Datensicherung,... mehr
  • customer care solutions - Call Center Betriebs GmbH

    customer care solutions - Call Center Betriebs GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen, User Helpdesk-Systeme und Hotlines, Systempflege- und Wartung, Outsourcing, IKT-Consulting, Facility Management,... mehr

Hosted by:    Security Monitoring by: