- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Hack von Twitter- und Facebook-Konten


Soziale Medien – Privilegierte Konten über die niemand spricht
Eine zentrale Rolle spielt, wie Unternehmen mit ihrer Firmenpräsenz in den sozialen Medien und den zugehörigen Konten in der Praxis umgehen

- Anzeigen -





Von Susanne Haase, One Identity

Auch in diesem Jahr hatten wir wieder ausreichend Gelegenheit Zeuge einer Reihe von Datenschutzverletzungen zu werden. Hacker waren ausgesprochen effizient darin, von Unternehmen übersehene Schwachstellen zu finden, und diese Lücken zu ihrem Vorteil auszunutzen. Wie erfolgreich die Angreifer tatsächlich waren, ließ sich unschwer an Schlagzeilen aus aller Welt ablesen.

Persönliche Daten wurden gestohlen, veröffentlicht, verkauft und die betreffenden Unternehmen schwer beeinträchtigt. Mit etwas Abstand betrachtet ist gut zu erkennen, dass wir immer wieder denselben Fehlern und Verhaltensweisen begegnen. Eine zentrale Rolle dabei spielt, wie Unternehmen mit ihrer Firmenpräsenz in den sozialen Medien und den zugehörigen Konten in der Praxis umgehen.

Vor nicht allzu langer Zeit musste ein US-amerikanischer Fernsehprogrammanbieter die unangenehme Tatsache eingestehen, dass es Angreifern gelungen war, die Twitter- und Facebook-Konten des Unternehmens zu hacken. Eine Gruppierung namens OurMine hatte die Social Media-Kanäle gekapert und damit begonnen, Nachrichten im Namen des Unternehmens zu posten. Allerdings ist es dem TV-Programmanbieter ziemlich rasch gelungen, die Kontrolle zurück zu erlangen. Soviel sei eingeräumt. Alle offensichtlichen Folgen des Hacks konnten scheinbar entfernt werden, und die betreffenden Posts waren ziemlich rasch wieder verschwunden.

Damit aber nicht genug. Nur kurze Zeit später drohten Angreifer mit einem entsprechenden Screenshot als Beleg, noch unbekannte Folgen der beliebten Serie Game of Thrones zu leaken. Es dauerte erwartungsgemäß nicht lange bis das Thema auf Twitter Fahrt aufnahm und von Tausenden von Menschen weltweit diskutiert wurde. Das alles passierte zeitlich in unmittelbarer Nähe zu einer gerade koinzidierten Datenschutzverletzung, die einiges an medialer Aufmerksamkeit beansprucht hatte. So sah sich der Sender ein weiteres Mal dem Scheinwerferlicht der Öffentlichkeit ausgEsetzt. Naturgemäß rückten schließlich die vom Sender getroffenen Sicherheitsmaßnahmen und Sicherheitssysteme in den Mittelpunkt der Aufmerksamkeit. Das führte unter anderem dazu, dass sich der US-amerikanischer Fernsehprogrammanbieter weitreichenden Nachfragen und Überprüfungen ausgEsetzt sah, und das nicht nur innerhalb der eigenen Branche.

Unglücklicherweise ist dieser Programmanbieter bei weitem nicht das einzige Unternehmen, das die Sicherheitsanforderungen in den sozialen Medien vernachlässigt. In vielen Fällen betrachten Firmen ihre Marke und deren Wert nicht in derselben Art und Weise wie sie es mit anderen Unternehmenswerten tun würden. Man denke nur an das Personal- oder Finanzwesen. Bei internen Systemen sind erzwungene Passwortänderungen vorgeschrieben ebenso wie eine 2-Faktor-Authentifizierung. In punkto Sicherheitsmaßnahmen fortschrittlicher aufgestellte Unternehmen implementieren zusätzlich Managementsysteme für ihre privilegierten Konten. Solche Systeme gestatten Check-out-Passwörter bei besonders wichtigen oder gefährdeten Systemen. Anschließend werden die Passwörter randomisiert ehe der betreffende Nutzer sich erneut anmelden kann.

In manchen Fällen kann über im Rahmen der Verwaltung von privilegierten Konten ein Konto auch deaktiviert werden. Etwa, wenn es von niemandem mehr benutzt wird. Eine Maßnahme, die dafür sorgt, dass Konten weitgehend gegen Hackerangriffe gefeit sind. In einem scheinen sich Unternehmen allerdings durch die Bank schwer zu tun. Sie erkennen nur selten, dass ihre Twitter-, Facebook- und LinkedIn-Konten und die zugehörigen Passwörter denselben Risiken ausgEsetzt sind wie wertvolle und gefährdete interne Konten. Und folglich dasselbe Sicherheitsniveau haben sollten.

Warum aber tun sich Firmen an dieser Stelle so schwer?
der US-amerikanischer Fernsehprogrammanbieter ist ein gutes Beispiel für ein weltbekanntes Unternehmen, das durch einen Hackerangriff ernsthaften Rufschaden erlitten hat, und dessen Marke nach den Vorfällen deutlich angeschlagen war. Anders als Schäden an finanziellen Systemen oder im Personalwesen sind Rufschäden kaum wirklich kalkulierbar. Schwerwiegend sind sie allerdings fast immer. Dabei ist der Fakt noch nicht berücksichtigt, dass der Fall mit jedem neu publizierten Artikel wieder auflebt. Und weiterer Schaden entstehen kann beziehungsweise der Vorfall erneut in die öffentliche Diskussion gerät.

Es gibt eine ganze Reihe von Fragen, die Firmen sich stellen sollten, wenn es um das sichere Verwalten ihrer Social Media-Konten geht. So kann man beispielsweise mit einiger Berechtigung fragen, ob es nicht zu aufwendig ist, ein Check-Out-Passwort zu verwenden, wenn man nur twittern oder den Unternehmensstatus auf Facebook ändern will. Gibt es viele Mitarbeiter im Bereich soziale Medien, die alle in etwa zur gleichen Zeit auf die entsprechenden Konten zugreifen und folglich ein und dasselbe Passwort teilen müssen? Soziale Medien im Hinblick auf den Ruf eines Unternehmens und den Wert einer Marke hin zu überwachen hat nicht nur etwas mit Hackerangriffen zu tun. Ein Unternehmen sollte sich durchaus Gedanken machen, wer an welchen Stellen dafür verantwortlich ist, eine Firma nach Außen zu repräsentieren.

Mögliche Antworten liefern moderne Managementsysteme für privilegierte Konten. Diese Systeme erlauben es, sehr granulare Richtlinien zu definieren wie etwa "Abmeldung nach X Stunden erforderlich", "Check-out erforderlich bei Nutzung des Kontos außerhalb des Netzwerks" oder "Check-in vor dem Check-out abwarten" um sicherzustellen, dass immer nur eine Person postet und nicht mehrere gleichzeitig. Es ist sogar möglich die Konten so einzurichten, dass die Mitarbeiter, die für die Social Media-Konten verantwortlich sind, das Check-out-Passwort gar nicht kennen.

Kombiniert man diese Policy-Typen miteinander, kann man das Sicherheitsniveau von (privilegierten) Social Media-Konten sehr schnell anheben. Ein gutes System stellt zudem sicher, dass jedes von einem Mitarbeiter/einer Mitarbeiterin genutzte Passwort, das nicht randomisiert erstellt wurde, mit einer Liste von bekannten, bereits gehackten Passwörtern abgeglichen wird, wie sie sich in den Wörterbüchern der meisten Hacker befinden. Starwars, 123456 oder qwertz sind nur einige derer, die immer und immer wieder vorkommen.

Es ist an der Zeit, dass Unternehmen damit beginnen, ihre Konten in Facebook, LinkedIn, Twitter, Tumblr, Instagram und all den anderen Social Media-Systemen sicherheitstechnisch genauso ernst nehmen wie Konten über die finanzielle Transaktionen abgewickelt werden oder Konten im Personalwesen. Das ist technisch möglich. Dahingehend gibt es also keine Entschuldigung mehr. Es ist heutzutage unabdingbar, die Markenreputation und den Ruf eines Unternehmens zu schützen, indem man dafür sorgt, dass auch Firmenkonten in den sozialen Medien entsprechend geschützt werden. (One Identity: ra)

eingetragen: 16.10.17
Home & Newsletterlauf: 16.11.17


One Identity: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Zehn praktische Tipps für mehr IT-Sicherheit

    F5 Networks hat aus weltweiten Analysen aktueller Cybergefahren zehn praktische Tipps für Unternehmen entwickelt. Damit können sie ihren IT-Sicherheitsansatz verbessern. Die Vorschläge wurden gemeinsam mit aktuellen Erkenntnissen im Whitepaper "Entmystifizierung der Bedrohungslandschaft" veröffentlicht. Beim Thema Sicherheit gibt es nach wie vor viele Mythen. Doch Unternehmen sollten ihre Entscheidungen nur auf Basis harter Fakten treffen. Zum Beispiel zielen heute 72 Prozent der Angriffe auf Benutzeridentitäten und Anwendungen. Trotzdem werden nur 10 Prozent des IT-Sicherheitsbudgets für deren Schutz ausgegeben. Ebenfalls unterschätzt wird weiterhin die Gefahr durch interne Mitarbeiter. Laut Fortune würde jeder fünfte Arbeitnehmer seine persönlichen Firmenpasswörter verkaufen, davon fast die Hälfte für weniger als 1.000 Dollar.

  • Sicherheitskriterium auf einer gefälschten Seite

    Phishing mit internationalen Domain-Namen nimmt trotz verbesserter Sicherheitskonzepte und ausgerollter Updates gegen Homograph-Angriffe der Browserhersteller nicht ab. Christian Heutger macht auf ein weiteres Problem aufmerksam: "Für ihre modernen Phishing-Kampagnen registrieren Angreifer gültige SSL-Zertifikate für ihre gefälschten Webseiten. Nutzer, die auf einer gefälschten Website landen, gehen somit von einer legitimen Seite aus", warnt der IT-Sicherheitsexperte und Geschäftsführer der PSW Group. Internationalisierte Domain-Namen enthalten Umlaute, diakritische Zeichen oder Buchstaben aus anderen Alphabeten als dem lateinischen. Somit können in Domains auch kyrillische, chinesische oder arabische Zeichen verwendet werden. Diese als Unicode-Methode bezeichnete Praxis liefert Cyberkriminellen die Basis für ihre Phishing-Kampagnen: Bestimmte Buchstaben sehen in verschiedenen Zeichensätzen ähnlich aus wie Unicode. Für die meisten User hierzulande unterscheiden sich diese Zeichen auf den ersten Blick nicht von den richtigen. Diesen Umstand nutzen Angreifer aus: Um ihre Opfer auf gefälschte Webseiten zu locken, registrieren Cyberkriminelle Domains mit identisch erscheinenden Zeichen. Die vorgetäuschte Website sieht der legitimen verdächtig ähnlich, die registrierte Domain jedoch ist eine andere.

  • Perspektive eines tatsächlichen Angreifers

    Oftmals werden automatisierte Sicherheitsprüfungen als Penetrationstests bezeichnet. Blue Frost Security zeigt, was einen echten Penetrationstest ausmacht und was das so genannte "Redteam-Testing" bedeutet. Je nach Anwendungsfall sind entweder Teile oder der gesamte Umfang des Testszenarios erforderlich. Penetrationstests sind simulierte Angriffe auf ein Netzwerk, System oder eine Anwendung, um den Status-quo der IT-Sicherheit im Unternehmen festzustellen. Ziel ist die Identifizierung von Schwachstellen bzw. Sicherheitslücken und die Optimierung der IT/TK-Infrastruktur. Ein automatisierter Sicherheitsscan wird oft als Penetrationstest deklariert, ist aber keiner. Blue Frost Security hat die fünf Stufen eines professionellen Penetrationstests zusammengefasst.

  • Verwendung von Webcams & internetfähigen Geräte

    Die mit dem Internet verbundene Kamera einer Niederländerin fing plötzlich an, mit ihr zu sprechen. Geschockt nahm sie den Dialog mit dem Hacker auf und veröffentlichte ihn. Damit sich dieser Schreckmoment nicht wiederholt, gibt Sophos drei bewährte IoT-Tipps. "Bonjour Madame!" - geschockt beschreibt die Gefühlslage von Rilana H. vielleicht am besten, als ihre WiFi-fähige Kamera sie aus dem Nichts heraus beim Hausputz begrüßt. Ein Hacker hatte die Kontrolle über das IoT-Gerät übernommen, das die Niederländerin vor ein paar Monaten bei einer lokalen Discounterkette günstig erstanden hatte. Sie packte die Kamera in die Box zurück, erzählte ihrer Freundin am Abend davon und wollte den Spieß umdrehen: Sie stellte die Kamera wieder auf, mit Blick auf die Wand gerichtet, und filmte mit ihrem Handy, wie der Hacker erneut Kontakt aufnahm. Den Dialog veröffentlichte sie vor kurzem auf Facebook.

  • Mehrarbeit für Domaininhaber in Grenzen

    Seit 8. September ist die Sicherheit von SSL/TLS-Zertifikaten durch das Verfahren Certification Authority Authorization (CAA) weiter erhöht worden. Da der Anwender nun selbst im DNS eine oder mehrere Zertifizierungsstellen (CA) definiert, die SSL /TLS-Zertifikate für die eigenen Domains ausstellen darf. "Das SSL-/TLS-Zertifikat wird nun nicht nur an einen festgelegten Host, sondern auch an eine festgelegte Zertifizierungsstelle gebunden. Dem Zertifikatsmissbrauch wird damit ein weiterer Riegel vorgeschoben. Und dank diverser Tools hält sich auch das Mehr an Arbeit für Domaininhaber in Grenzen", begrüßt Christian Heutger, Geschäftsführer der PSW Group diesen Schritt.