Facebook, Twitter & Co. im Business

Die Gefahr im Social Web wächst

13.06.2013
Von 
Stanislav Wittmann ist selbstständig beratender Ingenieur in der Sicherheitsbranche. Seine Schwerpunkte liegen im vorbeugenden und planerischen Brandschutz sowie in der Informationssicherheit. Hierzu zählen vor allem Risiko- und Notfallmanagement, Spionage-Prävention und die Schulung von Mitarbeitern gegen Know-How-Verlust (Security Awareness). Mehr Infos gibt es auf seiner Website.

EADS, Apple, Microsoft: Die Fälle häufen sich

Dass auch Unternehmen vor den Informationssammlern nicht gefeit sind, zeigen die sich häufenden Fälle von Industriespionage, Identitätsbetrug und -diebstahl. Eine Studie der Unternehmensberatung Corporate Trust zur Industriespionage 2012 kommt zu dem Ergebnis, dass in etwa jedem dritten Unternehmen ein Verdacht und in über 20 Prozent der befragten Unternehmen konkrete Fälle von Spionage vorlagen. Die bekannt gewordenen größeren Incidents der vergangenen Wochen bei Konzernen wie Apple, Microsoft, EADS oder ThyssenKrupp, in denen jeweils zumindest der Versuch einer größeren Hacking-Attacke gestartet worden ist, zeigen die aktuelle Brisanz des Themas ebenfalls.

Rund ein Drittel aller deutschen Unternehmen hatte in den vergangenen Monaten einen Verdachtsfall von Cyberspionage zu beklagen.
Rund ein Drittel aller deutschen Unternehmen hatte in den vergangenen Monaten einen Verdachtsfall von Cyberspionage zu beklagen.
Foto: Corporate Trust

Selbst wenn die aufgezählten Ziele Opfer von teils komplexen Cyberangriffen wurden, die nicht ausschließlich über das Social Web vorbereitet wurden, ist das Grundprinzip der digitalen Spionage heute doch ein sehr einfaches. Bei Facebook beispielsweise einen "Fake-Account" einzurichten, ist eine leichte Übung. Damit lassen sich gezielt Kontakte und "Freundschaften" zu den Mitarbeitern interessanter Unternehmen aufbauen, um anschließend an sensitive Informationen zu gelangen. Besonders die "Fake-Accounts" weiblicher, attraktiver Personen oder vermeintliche Freundschaften mit Personen des öffentlichen Lebens können die zumeist männlichen Zielpersonen in höheren Hierarchieebenen eines Unternehmens locken, eine Kontaktanfrage schnell zu bestätigen und eigene Daten für den Gegenüber freizugeben. Bereits aus diesem scheinbar unkritischen Austausch von Informationen lässt sich für Angreifer Profit schlagen, indem sie verknüpfte Suchen und tiefer gehende Web-Recherchen anstellen. Durch die Vernetzungen mit anderen Freunden und Postings können ebenfalls sehr detaillierte Informationen in falsche Hände gelangen.

Infizierte Links verseuchen IT-Systeme

Der Schaden, den Unternehmen durch Hacking erlitten, hat sich in den vergangenen fünf Jahren fast verdreifacht.
Der Schaden, den Unternehmen durch Hacking erlitten, hat sich in den vergangenen fünf Jahren fast verdreifacht.
Foto: Corporate Trust

Es ist für Cyberkriminelle nun zudem ein Leichtes, infizierte Dateien oder Links zu Malware-verseuchten Websites weiterzugeben. Schicken sie ihrem neuen Kontakt beispielsweise eine PDF- oder Bilddatei, wird dieser sie mit ziemlicher Sicherheit ungeprüft öffnen - schließlich stammt sie aus einer vermeintlich bekannten, vertrauenswürdigen Quelle. Was das Opfer nicht weißt: Es handelt sich um ein Trojanisches Pferd, das beispielsweise Hintertüren im System oder Unternehmensnetz öffnet. Dem Versender stehen schnell umfangreiche Zugriffsrechte zu, ohne dass der Mitarbeiter etwas merkt. Einmal eingeschleust, lassen sich Passwörter, Kundendaten oder Geschäftsunterlagen ausspähen und abziehen. Die Corporate-Trust-Studie bestätigt, dass im vergangenen Jahr bereits über 42 Prozent der bekannt gewordenen Spionagehandlungen ein Hackerangriff zugrunde lag - 2007 waren es noch nur knapp 15 Prozent gewesen.

Für Unternehmen führt das in der Regel zu erheblichen juristischen, monetären oder Reputationsschäden - im schlimmsten Fall zu allem gleichzeitig. Natürlich sind diese Fälle bereits aus dem E-Mail-Zeitalter bekannt - viele Anwender sind jedoch mittlerweile dafür sensibilisiert, Anhänge vor dem Öffnen genauer unter die Lupe zu nehmen, sofern sie durch den E-Mail-Filter des Unternehmens überhaupt durchkommen. Eine Malware-Attacke über soziale Netze ist auch deshalb für Cyberkriminelle so attraktiv, weil der "Awareness-Faktor" hier noch längst nicht so hoch ist.

Neue Bedrohungen durch Social Apps

Doch es geht noch einfacher: Wer beispielsweise bei Facebook eine (Social-)App installiert, erklärt sich damit einverstanden, dass schlimmstenfalls sein gesamter Nachrichtenverkehr eingesehen werden kann. Das wird in aller Regel nicht offensichtlich erwähnt, sondern verschwindet im "Kleingedruckten" der AGBs. Wer also einen "Streu-Spionageangriff" starten möchte, schreibt eine App für mehrere mobile Betriebssysteme und stellt diese auf den gängigen Distributionsplattformen wie dem Apple App Store oder dem Google Play Store ein. Gerade Android-Apps sind wegen der nicht vorhandenen Kontrollmechanismen seitens Google für ein derartiges Vorgehen gut geeignet. Eine Studie des Sicherheitsdienstleisters Bit9 belegt, dass über 100.000 Android-Apps, die derzeit im Google Play Store verfügbar sind, Sicherheitsrisiken aufweisen. Das betrifft unter anderem den Zugriff auf persönliche Daten wie Telefonnummern oder GPS-Informationen.

Rechtsanwalt Christian Solmecke warnt vor Apps, die auf die Mailbox zugreifen.
Rechtsanwalt Christian Solmecke warnt vor Apps, die auf die Mailbox zugreifen.
Foto: Kanzlei Wilde Beuger Solmecke

Ist solch eine App erst einmal auf dem Gerät, kontrolliert nicht mehr der Besitzer sein Smartphone oder Tablet, sondern der App-Entwickler. Zu schade nur, dass der Anwender davon nichts ahnt. Richtig heftig wird es, wenn durch die App ein Zugriff auf die Mailbox des Telefons möglich ist und Sprachnachrichten abgehört und mitgeschnitten werden können. Christian Solmecke, Rechtsanwalt für IT- und Internetrecht in Köln, stellt zwar klar: "Wenn man das Auslesen der Mailbox technisch erlaubt, verstößt das gegen deutsches Datenschutzrecht und kann strafrechtlich relevant sein. Denn hier geht es nicht nur darum, dass der Nutzer selbst seine Daten Preis gibt, sondern es werden auch gleichzeitig die Daten der Freunde preisgegeben." App-Entwickler mit bösen Absichten sollten diese Risiken aber nicht weiter stören. Solche, die "nur Gutes" im Sinn haben, müssen hingegen durchaus aufpassen, dass sie nicht unabsichtlich Funktionen einbauen, die sie später bereuen.