Erinnern Sie sich noch? Im Jahr 2012 wurden bei einem massiven Cyber-Angriff eines Hackers namens "Peace" über 117 Millionen LinkedIn-Benutzer-Passwörter entwendet. Nachdem sich der Staub ein wenig gelegt hatte, wurden neue Protokolle implementiert und der Datenschutzverstoß in der Öffentlichkeit so gut wie vergessen. Nun, fast fünf Jahre später begann "Peace", die gestohlenen Passwort-Informationen der LinkedIn-Benutzer aus dem früheren Hack zu veröffentlichen.
Aufgrund der Millionen von Nutzerdaten (oder Milliarden im Falle von Facebook), die im Inter- beziehungsweise Darknet herumschwirren, ist der Bedarf an strenger Sicherheit von Social-Media-Plattformen offensichtlich. Allein Facebook sieht sich täglich mehr als 600.000 Angriffen ausgesetzt, wobei das nichts ist im Vergleich zu den 300 Millionen versuchten Hacks der NSA pro Tag.
Heterogene Nutzer mit unterschiedlichem Sicherheitsverständnis
Die große Heterogenität der Social-Media-Nutzer, etwa was das Alter oder auch Technik-Affinität anbelangt, macht das Security Management sehr komplex. Soziale Medien müssen nicht nur Hacker bekämpfen, sondern auch solche Nutzer (und deren Daten) schützen, deren Sicherheitsverständnis nicht besonders ausgeprägt ist. So gaben kürzlich nur 18 Prozent der Amerikaner an, ihr Social Media-Passwort regelmäßig zu ändern. In Deutschland sieht es nicht besser aus: Hier nutzen 61 Prozent dasselbe Passwort mehrfach und geben Cyberkriminellen damit so etwas wie einen Generalschlüssel in die Hand.
- Diese Informationen geben Nutzer entweder selbst oder über installierte Apps preis.
- Facebook
Facebook setzt auf diese Sicherheitsmaßnahmen, um die täglich über 600.000 Angriffe abzuwehren. - LinkedIn
Damit sich das Datenleck von 2012 nicht wiederholt, baute LinkedIn seine Security aus. - Twitter.
Bots sind eines Hauptprobleme von Twitter.
Was also unternehmen die großen Plattformen gegen Angreifer und für mehr Sicherheit ihrer Nutzer? Jede von ihnen betreibt einen eigenen Security-Blog, der die Nutzer und Brancheninsider über neue Sicherheitsfortschritte, Taktiken zur Betrugsbekämpfung und ähnliches auf dem Laufenden hält. Was die Sicherheitsteams von LinkedIn, Twitter und Facebook konkret tun, um die sozialen Plattformen zu schützen, die die Menschen jeden Tag nutzen, haben wir in der Infografik aufgeschlüsselt.
Auch wenn jede Plattform eigene Herausforderungen adressieren muss, gibt es doch einen Ansatz, dem alle folgen: Sie betreiben ein Bug-Bounty-Programm, die Security-Spezialisten (White-Hat Hacker) dazu animieren soll, die Unternehmen über Schwachstellen zu informieren.
Fakes, Bots und VPN
Darüber hinaus erlaubt Facebook etwa Zugang über das Tor-Netzwerk und VPN, LinkedIn entfernt Fake-Accounts mittels Cluster-Analyse und Twitter setzt auf Content Security Policy (CSP), um Angriffe über Javascript zu verhindern. Diese Policies erweisen sich als recht erfolgreich. Aber darauf ausruhen können sich die Sicherheitsverantwortlichen nicht: Hacker werden weiter nach Wegen suchen, Daten zu erlangen beziehungsweise die Netzwerke für ihre kriminellen Aktivitäten zu nutzen.
Einige der Probleme scheinen zudem noch ungelöst: Zum Beispiel versucht Twitter die Sicherheit und Integrität seiner Plattform zu schützen, indem es die Anzahl der automatisierten Bots reduziert. Im Zuge der Fake-News-Debatte erklärte der Kurznachrichtendienst in einem Blog, dass Bots zwar ein positives und wichtiges Werkzeug etwa in der Kundenbetreuung sein können, aber der Einsatz dieser Technologie, um die Kernfunktionalität zu untergraben, strikt verboten sei. Dennoch sind Bots heute gerade bei Twitter noch ein Thema, sei es bei der Oscar-Verleihung oder im Vorfeld von Wahlen.
Der Kampf zum Schutz der Sicherheit und Privatsphäre auf den Social-Media-Kanälen ist noch lange nicht vorbei. Da die Datensicherheitsteams in Unternehmen aber weiter wachsen, lernen und Wissen austauschen, besteht die Hoffnung, dass sie für die unterschiedlichen Bedrohungen die passenden Antworten finden.