Bedrohungsakteure beobachten Social-Media-Konten, um Informationen über ein Zielunternehmen zu sammeln. Hier erfahren Sie, wie Sie Marketing mit Sicherheit in Verbindung bringen können, um das Risiko zu minimieren. [...]
Wenn Sie Cyber-Sicherheitsbeauftragte fragen, wo das größte Risiko für ihr Unternehmen liegt, werden 41,33% sagen, dass es die Marketing-Technologie ist. Zumindest behauptet der Research-Provider Pollfish in seinem Bericht mit 600 befragten amerikanischen Fachleuten vom Oktober 2020, dass es sich dabei um Marketing-Technologie handele. Aber nicht irgendeine Marketing-Tech: 25,67% machen sich speziell Sorgen um die persönlichen Social-Media-Konten der Führungskräfte.
Die Besorgnis hat gute Gründe. Diejenigen, die vor drei Jahren in der Branche tätig waren, erinnern sich vielleicht noch an ein Bild von Twitter, auf dem ein Mitarbeiter der Notfallmanagementagentur auf Hawaii an seinem Computer stand und die Systempasswörter auf Post-it-Notizen hinter ihm zu sehen waren. Das Foto wurde von der Associated Press aufgenommen und dann online veröffentlicht. Ob es zu der Meldung vom 13. Januar 2018 führte, dass die Hawaiianer fälschlicherweise vor einem Raketenangriff warnten, wer weiß. Man muss kein Social-Media-Experte sein, um zu wissen, dass das Foto eine schlechte Idee war.
Egal, ob es sich um Bilder oder Beiträge oder etwas anderes handelt, das die Menschen teilen, Harman Singh, Gründer des Risikobewertungs-Startup-Unternehmens Cyphere, nennt soziale Medien „Low Hanging Fruits“ für Hacker – ein großartiger „Test für das Sicherheitsbewusstsein und die Sicherheitsrichtlinien [eines] Unternehmens“. Wenn ein Unternehmen in einer Hinsicht schlampig mit Best Practices umgeht, könnte es auch in anderen verwundbar sein.
Social Media in Unternehmen werden in der Regel vom Marketing betrieben, einer Abteilung, die mit ihrem eigenen Sitz in der C-Suite manchmal mehr Einfluss als Sicherheitsbewusstsein hat. Marketing und Sicherheit sind nicht immer miteinander verbunden oder kommen nicht unbedingt miteinander aus. Singh weist darauf hin, dass ein „Unterschied in der Sichtweise“ die Art und Weise beeinflusst, wie die beiden ihre Arbeit angehen: Das Marketing will so viele Informationen über das Unternehmen nach außen geben wie möglich; die Sicherheit hält sie zurück. „Marketingabteilungen finden es oft schwierig, mit Technologen in ihrer Sprache zu sprechen und umgekehrt“, erklärt Singh.
Wie Bedrohungsakteure soziale Medien ausnutzen
Es geht nicht so sehr darum, dass Hacker die Twitter- oder Facebook-Zugangsdaten des Unternehmens wollen, sondern vielmehr darum, wohin diese führen. Wenn das Marketing kontenübergreifend ähnliche Passwörter verwendet, ist das erfolgreiche Hacken von Twitter ein möglicher Einstieg in die Website des Unternehmens. Hackt man von dort aus den Adobe Experience Manager, die Übersetzungen der Website, Kunden-Mailinglisten oder alles andere, was jemand stehlen oder zur Rufschädigung verwenden könnte.
Wenn das nicht ausreicht, um eine Marketing-Abteilung zur Zusammenarbeit zu bewegen, gibt es noch mehr Daten, die ruchlose Akteure aus geposteten Informationen gewinnen können. „Bilder, die über Twitter, Instagram und andere soziale Medienkanäle hochgeladen werden, verraten oft … Geolokalisierungsinformationen, Gerätemodell, Software und ähnliche Informationen“, so Singh.
Nehmen Sie zum Beispiel den alltäglichen Konferenz-Tweet (also vor COVID): Das Marketing richtet einen Stand ein und macht Fotos von Verkaufsgesprächen mit Kunden. „Wir lieben es, Kunden dabei zu helfen, ihr Echtzeit-Widget-Potenzial zu optimieren“, twittern sie, „#WidgetConLive“, dann, unter dem Bild, eine Zeile: „Las Vegas Convention Center / Dieses Foto ist mit Namen von Top-Managern getaggt“. Voilà! Dank dieses Tweets wissen Hacker, welche Mitarbeiter wohin reisen. Sie klicken auf den Tag, um einen Link zu den persönlichen Konten dieser Personen zu erhalten, wo sie dann noch mehr Informationen über das Unternehmen sammeln können: „Ich warte auf mein Flugzeug in LAS“, „Zwischenlandung in SLC“, „Tolles Treffen mit Bob von WidgetCustomer.com!“
Sobald die Hacker die persönlichen und Firmenkonten überwachen, haben sie bald Zugang zu dem größeren Reiseplan eines leitenden Angestellten, der laut Singh analysiert werden kann, um festzustellen, wo „sich Firmenstandorte oder Kunden befinden…. Diese Informationen können dann in Social-Engineering-Angriffsvektoren eingespeist werden – zum Beispiel, indem man sich als leitender Direktor ausgibt, der auf Reisen ist, und dann [das] IT-Support-Team anruft, um [sein] Passwort zurückzusetzen, weil wichtige Aufgaben an einem Flughafen stecken geblieben sind“. Aufgrund von Twitter wissen sie genau, welchen Flughafen sie nennen müssen.
Deshalb meint Singh: „Marketing- und Kommunikationsteams sollten im Tandem mit der Cybersicherheit arbeiten“, unabhängig davon, ob die Abteilungen sich naturgemäß verstehen oder nicht.
4 Tipps für eine effektive Zusammenarbeit mit dem Marketing
Amir Tarighat, CEO des Anbieters für Gefahrenerkennung Achilleion, stimmt dem zu und stellt fest, dass die Barriere zwischen Sicherheit und Marketing durch gegenseitigen Respekt überwunden werden kann: „Social-Media-Sicherheit muss als Prozess und in Partnerschaft mit den Marketingexperten angegangen werden. Sicherheitsexperten sollten den kreativen Charakter der Arbeit von Marketing-Fachleuten respektieren“, die oft zu sonderbaren Zeiten und an sonderbaren Orten durchgeführt wird. Während eine stärkere Autorisierung die „I’m-on-layover“-Angriffe abwehren könnte, ist es laut Tarighat auch wichtig zu verstehen, dass Marketingfachleute möglicherweise ein BYOD-Smartphone [Bring Your Own Device] verwenden müssen, um um 21 Uhr einen Tweet zu senden“.
„Aufgrund der Natur der sozialen Medien hat das infosec-Team keine Kontrolle über irgendwelche Social Media … Technologie und Richtlinien, die über die Konfiguration von Datenschutzeinstellungen hinausgehen“, erklärt Tarighat und erklärt, da Social-Media-Plattformen „jenseits von Passwortkontrolle und Gerätesicherheit liegen, hilft der Rest des infosec-Toolkits hier nicht weiter“. Partnerschaft ist die einzige Möglichkeit für die Sicherheitsabteilung, nicht machtlos zu sein.
Tarighat und Singh geben diese vier Tipps für eine Partnerschaft mit dem Marketing.
Entwickeln Sie einfache Richtlinien. Das Marketing ist mit dem Schutz der Unternehmensmarke beauftragt. Sie wollen genauso wenig eine Rufschädigung, die Gefährdung des geistigen Eigentums oder ähnliche Haftungsrisiken bereinigen wie die Sicherheit. Auch wenn sie vielleicht nicht sofort wissen, was persönlich identifizierbare Informationen (PII) sind, werden sie, einmal erklärt, auch nicht wollen, dass ihre Privatadressen in die falschen Hände geraten. Gehen Sie die Social-Media-Sicherheit als etwas an, das Marketingverantwortlichen hilft, sich selbst zu schützen und ihre Arbeit zu tun.
Vermeiden Sie es, zu hart durchzugreifen. Singh schlägt zwar vor, „die Kontensicherheit in den sozialen Medien und regelmäßige Inspektionen“ einzurichten, aber diese Beziehung hat ihre eigene Machtbalance. Das Marketing hat in der Regel einen Sitz in der C-Suite, während die Sicherheit möglicherweise nicht vertreten ist, und die besten Richtlinien der Welt bedeuten nichts, wenn die Marketing-Fachleute sie nicht befolgen.
„Marketingabteilungen könnten sich davor hüten, in die Zusammenarbeit mit infosec in sozialen Medien einzusteigen, wenn diese invasiv wird oder ihrer Kreativität im Wege steht. Infosec-Teams müssen Marketingmitarbeiter anders behandeln, weil sie einen größeren Ermessensspielraum bei ihrer kreativen Arbeit haben als andere Abteilungen mit traditionellen Arbeitsplätzen. Dinge wie die Möglichkeit, Marketingverantwortliche ihre eigene MFA-Methode [Multi-Faktor-Authentifizierung] wählen zu lassen, sind eine großartige Möglichkeit, dieses Wissen zu teilen“, rät Tarighat.
Gehen Sie auf BYOD-Bedenken ein. Tarighat empfiehlt auch, Marketingexperten ihre eigenen Geräte benutzen zu lassen, was Singh entschieden ablehnt. Er sagt, die Sicherheit müsse „sicherstellen, dass Mitarbeiter des Unternehmens keine Firmenkonten auf ihren mobilen Geräten benutzen, wenn dies von den Sicherheitsteams nicht erlaubt wird“, und behauptet, dass BYOD „dazu führen könnte, dass Mitarbeiter ins Visier genommen werden… und in einigen Fällen könnten gemeinsame Passwörter dazu führen, dass Mitarbeiterkonten gehackt werden“.
Wenn man jedoch zu sehr auf diese Richtlinien drängt, kann die Partnerschaft zerbrechen. Tarighat erklärt: „Der wichtigste Aspekt von social media infosec sind BYOD-Geräte. BYOD ist bereits sehr populär, noch mehr für Marketing-Abteilungen“ – etwas, das schon galt, bevor Marketingmitarbeiter aufgrund der Pandemie von zu Hause aus arbeiten mussten. „Es ist nicht einfach, die BYOD-Sicherheit zu gewährleisten, da die Arbeitnehmer zögern, die volle Kontrolle über MDM [Mobile Device Management] an ihre Arbeitgeber zu übergeben. Alternativ dazu hilft die Ausgabe von Unternehmensgeräten nicht viel, da sie für die Angestellten kostspielig und weniger effizient sein könnte“, fügt er hinzu.
Mit anderen Worten: Unternehmen bleiben möglicherweise an all diesen persönlichen Geräten hängen, ob es der Sicherheit gefällt oder nicht.
Versuchen Sie, sich in der Mitte zu treffen. Bitten Sie Marketingexperten mit Android-Handys, das Arbeitsprofil des Unternehmens zu verwenden. Ursprünglich in Android 5.0 integriert, aktualisierte Google die Funktion mit dem Betriebssystem 11 im vergangenen September. Tarighat erklärt: „Sie ermöglicht die Erstellung eines vollständigen, separaten Nutzers, der von einem herkömmlichen MDM verwaltet werden kann, während das persönliche Profil völlig getrennt bleibt.
Tarighat zufolge können Sicherheit und Marketing auch „ein Verfahren zur Überprüfung von Geräten und Anwendungen, die auf der Social-Media-Plattform angemeldet sind“, schaffen. Wenn Twitter zum Beispiel eine Benachrichtigung über eine neue Anmeldung sendet, wohin geht diese? Wenn die Sicherheit das Marketing davon überzeugen kann, sie zum Empfänger zu machen, wissen Sie früher über Verstöße Bescheid und sie haben weniger zu tun. „Sicherheitsexperten sollten Plattformen regelmäßig auf Logins von unbekannten Geräten oder Orten überprüfen. Wenn sie nicht zugelassene Geräte oder Apps sehen, ist das entweder ein Zeichen für einen Angriff oder wahrscheinlicher, dass Ihre Zusammenarbeit mit infosec nicht gut läuft“, fügt er hinzu.
*Terena Bell schreibt unter anderem für CSO.com.
Be the first to comment