Heute schon einen potenziellen Job-Kandidaten über LinkedIn oder Xing entdeckt? Es könnte ein Hacker sein. [...]
FÜHRUNGSKRÄFTE BESONDERS GEFÄHRDET
Ray Kruk vom Security-Provider Proofpoint sieht in diesem Zusammenhang insbesondere Führungskräfte als gefährdet an. Eine These die von aktuellen Zahlen von LinkedIn untermauert wird: Ein CEO vereint hier im Durchschnitt 930 Kontakte auf sich. „Fake User, die sich als vertrauenswürdige Business-Partner ausgeben und Kontakt zu Entscheidern im Unternehmen suchen, stellen eine steigende Gefahr dar“, so Kruk.
Ein Klick auf einen Malware-verseuchten Shortlink, der über LinkedIn, Xing oder andere soziale Netzwerke verteilt wird, genügt dann, um Rechner auf C-Level zu kapern. Wenn das passiert, haben die Hacker in der Regel auch Zugriff auf geschäftskritische Daten. Das lohne sich meist deutlich mehr, als ein Angriff auf die Personalabteilung, so Kruk.
COLLABORATION-TOOLS ALS EINFALLSTOR
Aber LinkedIn ist nicht die einzige Möglichkeit im Business-Umfeld, die Cyberkriminelle für sich entdeckt haben. Auch Collaboration-Tools und -Plattformen sowie semi-private soziale Netzwerke wie Slack oder Jive rücken zunehmend in den Fokus von Darknet-Gangstern und Datendieben. Schließlich umgehen auch diese Plattformen und Netzwerke in aller Regel die Sicherheitsmaßnahmen in Unternehmen, die auf Netzwerk- und Infrastruktur-Ebene greifen sollen.
„Wenn es um IT-Sicherheit geht, ist der Mensch das schwächste Glied in der Kette“, so Kruk. „Die Security-Richtlinien müssen sich daran orientieren, wie die Menschen mit Daten und Kommunikationsplattformen umgehen“.
Personalabteilungen und Recruiter verwenden Slack und Jive, um mit potenziellen Job-Kandidaten zu kommunizieren. Aber auch diese Tools werden laut David King von Uhy nicht gemanagt – die Unternehmen haben also keine Kontrolle darüber, welche Daten hierüber ausgetauscht werden. Sollte sich über eine solche Verbindung Schadcode einschleichen, betrifft das nicht nur den aktuellen Arbeitgeber, wie King erklärt: „Das größte Risiko, das meiner Meinung nach solchen Services innewohnt, ist, dass ein HR-Mitarbeiter bei einem Jobwechsel auch alle seine Slack-Unterhaltungen mitnimmt“.
SO SCHÜTZEN SICH UNTERNEHMEN
Um das Problem zu lösen, empfiehlt King Unternehmen, entsprechende Richtlinien schriftlich zu fixieren: Die Nutzung privater Social-Media-Accounts sollte seiner Einschätzung nach am Arbeitsplatz komplett untersagt werden. Darüber hinaus sollten Unternehmen auch Mitarbeiter, die in Teilzeit arbeiten oder befristet (auch wenn der Zeitraum nur einige Monate umfasst) angestellt sind, mit Business-E-Mail- und Social-Media-Accounts ausstatten.
Ganz generell sollten Unternehmen im Rahmen von Awareness-Programmen und -Trainings aber sicherstellen, dass ihre Mitarbeiter überhaupt von der Existenz dieser Bedrohungen wissen – meint auch Chris Stephen von Cylance. Darüber hinaus hilft ein effektiver Schutz für Endpoints und Applikationen, die Risiken zu minimieren.
Die Nutzung von privaten E-Mail-Adressen für LinkedIn und Co. ist ein weiteres Einfallstor für Social-Engineering-Attacken. Laut Ray Kruk reagieren die ersten Unternehmen bereits: „Die Zahl der Firmen, die ihren Mitarbeitern empfiehlt, Social-Media-Profile mit ihren unternehmenseigenen E-Mail-Adressen zu verknüpfen, steigt. Denn der Arbeits-E-Mail-Account dürfte bei entsprechenden Schutzmaßnahmen weit weniger anfällig für solche Attacken sein, als private Accounts bei Yahoo oder Gmail“.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
*) Stacy Collett, arbeitet für csoonline.com und Florian Maier, beschäftigt sich mit dem Themenbereich IT-Securit für die Portale COMPUTERWOCHE und CIO
Be the first to comment