- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Hack von Twitter- und Facebook-Konten


Soziale Medien – Privilegierte Konten über die niemand spricht
Eine zentrale Rolle spielt, wie Unternehmen mit ihrer Firmenpräsenz in den sozialen Medien und den zugehörigen Konten in der Praxis umgehen



Von Susanne Haase, One Identity

Auch in diesem Jahr hatten wir wieder ausreichend Gelegenheit Zeuge einer Reihe von Datenschutzverletzungen zu werden. Hacker waren ausgesprochen effizient darin, von Unternehmen übersehene Schwachstellen zu finden, und diese Lücken zu ihrem Vorteil auszunutzen. Wie erfolgreich die Angreifer tatsächlich waren, ließ sich unschwer an Schlagzeilen aus aller Welt ablesen.

Persönliche Daten wurden gestohlen, veröffentlicht, verkauft und die betreffenden Unternehmen schwer beeinträchtigt. Mit etwas Abstand betrachtet ist gut zu erkennen, dass wir immer wieder denselben Fehlern und Verhaltensweisen begegnen. Eine zentrale Rolle dabei spielt, wie Unternehmen mit ihrer Firmenpräsenz in den sozialen Medien und den zugehörigen Konten in der Praxis umgehen.

Vor nicht allzu langer Zeit musste ein US-amerikanischer Fernsehprogrammanbieter die unangenehme Tatsache eingestehen, dass es Angreifern gelungen war, die Twitter- und Facebook-Konten des Unternehmens zu hacken. Eine Gruppierung namens OurMine hatte die Social Media-Kanäle gekapert und damit begonnen, Nachrichten im Namen des Unternehmens zu posten. Allerdings ist es dem TV-Programmanbieter ziemlich rasch gelungen, die Kontrolle zurück zu erlangen. Soviel sei eingeräumt. Alle offensichtlichen Folgen des Hacks konnten scheinbar entfernt werden, und die betreffenden Posts waren ziemlich rasch wieder verschwunden.

Damit aber nicht genug. Nur kurze Zeit später drohten Angreifer mit einem entsprechenden Screenshot als Beleg, noch unbekannte Folgen der beliebten Serie Game of Thrones zu leaken. Es dauerte erwartungsgemäß nicht lange bis das Thema auf Twitter Fahrt aufnahm und von Tausenden von Menschen weltweit diskutiert wurde. Das alles passierte zeitlich in unmittelbarer Nähe zu einer gerade koinzidierten Datenschutzverletzung, die einiges an medialer Aufmerksamkeit beansprucht hatte. So sah sich der Sender ein weiteres Mal dem Scheinwerferlicht der Öffentlichkeit ausgEsetzt. Naturgemäß rückten schließlich die vom Sender getroffenen Sicherheitsmaßnahmen und Sicherheitssysteme in den Mittelpunkt der Aufmerksamkeit. Das führte unter anderem dazu, dass sich der US-amerikanischer Fernsehprogrammanbieter weitreichenden Nachfragen und Überprüfungen ausgEsetzt sah, und das nicht nur innerhalb der eigenen Branche.

Unglücklicherweise ist dieser Programmanbieter bei weitem nicht das einzige Unternehmen, das die Sicherheitsanforderungen in den sozialen Medien vernachlässigt. In vielen Fällen betrachten Firmen ihre Marke und deren Wert nicht in derselben Art und Weise wie sie es mit anderen Unternehmenswerten tun würden. Man denke nur an das Personal- oder Finanzwesen. Bei internen Systemen sind erzwungene Passwortänderungen vorgeschrieben ebenso wie eine 2-Faktor-Authentifizierung. In punkto Sicherheitsmaßnahmen fortschrittlicher aufgestellte Unternehmen implementieren zusätzlich Managementsysteme für ihre privilegierten Konten. Solche Systeme gestatten Check-out-Passwörter bei besonders wichtigen oder gefährdeten Systemen. Anschließend werden die Passwörter randomisiert ehe der betreffende Nutzer sich erneut anmelden kann.

In manchen Fällen kann über im Rahmen der Verwaltung von privilegierten Konten ein Konto auch deaktiviert werden. Etwa, wenn es von niemandem mehr benutzt wird. Eine Maßnahme, die dafür sorgt, dass Konten weitgehend gegen Hackerangriffe gefeit sind. In einem scheinen sich Unternehmen allerdings durch die Bank schwer zu tun. Sie erkennen nur selten, dass ihre Twitter-, Facebook- und LinkedIn-Konten und die zugehörigen Passwörter denselben Risiken ausgEsetzt sind wie wertvolle und gefährdete interne Konten. Und folglich dasselbe Sicherheitsniveau haben sollten.

Warum aber tun sich Firmen an dieser Stelle so schwer?
der US-amerikanischer Fernsehprogrammanbieter ist ein gutes Beispiel für ein weltbekanntes Unternehmen, das durch einen Hackerangriff ernsthaften Rufschaden erlitten hat, und dessen Marke nach den Vorfällen deutlich angeschlagen war. Anders als Schäden an finanziellen Systemen oder im Personalwesen sind Rufschäden kaum wirklich kalkulierbar. Schwerwiegend sind sie allerdings fast immer. Dabei ist der Fakt noch nicht berücksichtigt, dass der Fall mit jedem neu publizierten Artikel wieder auflebt. Und weiterer Schaden entstehen kann beziehungsweise der Vorfall erneut in die öffentliche Diskussion gerät.

Es gibt eine ganze Reihe von Fragen, die Firmen sich stellen sollten, wenn es um das sichere Verwalten ihrer Social Media-Konten geht. So kann man beispielsweise mit einiger Berechtigung fragen, ob es nicht zu aufwendig ist, ein Check-Out-Passwort zu verwenden, wenn man nur twittern oder den Unternehmensstatus auf Facebook ändern will. Gibt es viele Mitarbeiter im Bereich soziale Medien, die alle in etwa zur gleichen Zeit auf die entsprechenden Konten zugreifen und folglich ein und dasselbe Passwort teilen müssen? Soziale Medien im Hinblick auf den Ruf eines Unternehmens und den Wert einer Marke hin zu überwachen hat nicht nur etwas mit Hackerangriffen zu tun. Ein Unternehmen sollte sich durchaus Gedanken machen, wer an welchen Stellen dafür verantwortlich ist, eine Firma nach Außen zu repräsentieren.

Mögliche Antworten liefern moderne Managementsysteme für privilegierte Konten. Diese Systeme erlauben es, sehr granulare Richtlinien zu definieren wie etwa "Abmeldung nach X Stunden erforderlich", "Check-out erforderlich bei Nutzung des Kontos außerhalb des Netzwerks" oder "Check-in vor dem Check-out abwarten" um sicherzustellen, dass immer nur eine Person postet und nicht mehrere gleichzeitig. Es ist sogar möglich die Konten so einzurichten, dass die Mitarbeiter, die für die Social Media-Konten verantwortlich sind, das Check-out-Passwort gar nicht kennen.

Kombiniert man diese Policy-Typen miteinander, kann man das Sicherheitsniveau von (privilegierten) Social Media-Konten sehr schnell anheben. Ein gutes System stellt zudem sicher, dass jedes von einem Mitarbeiter/einer Mitarbeiterin genutzte Passwort, das nicht randomisiert erstellt wurde, mit einer Liste von bekannten, bereits gehackten Passwörtern abgeglichen wird, wie sie sich in den Wörterbüchern der meisten Hacker befinden. Starwars, 123456 oder qwertz sind nur einige derer, die immer und immer wieder vorkommen.

Es ist an der Zeit, dass Unternehmen damit beginnen, ihre Konten in Facebook, LinkedIn, Twitter, Tumblr, Instagram und all den anderen Social Media-Systemen sicherheitstechnisch genauso ernst nehmen wie Konten über die finanzielle Transaktionen abgewickelt werden oder Konten im Personalwesen. Das ist technisch möglich. Dahingehend gibt es also keine Entschuldigung mehr. Es ist heutzutage unabdingbar, die Markenreputation und den Ruf eines Unternehmens zu schützen, indem man dafür sorgt, dass auch Firmenkonten in den sozialen Medien entsprechend geschützt werden. (One Identity: ra)

eingetragen: 16.10.17
Home & Newsletterlauf: 16.11.17


One Identity: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Sicherheitsmaßnahmen gegenüber Bedrohungen

    Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

  • Nahezu kein Expertenwissen mehr benötigt

    Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

  • Fünf Sofortmaßnahmen zur Systemhärtung

    Guardicore gibt Sicherheitsempfehlungen für das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7. Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. Zwar sind die genannten Betriebssysteme teilweise bereits über ein Jahrzehnt alt, aber Schätzungen zufolge ist allein Windows Server 2008/2008 R2 immer noch auf fast jedem dritten Server weltweit im Betrieb. Viele Organisationen können nicht auf aktuelle Betriebssystemversionen wechseln, weil sie komplizierten Gesetzes- und Zertifizierungsanforderungen unterliegen, oder einfach nicht das erforderliche Budget zur Verfügung haben. Gefragt sind deshalb Überbrückungslösungen - auch um zeitaufwendige Migrationsprozesse begleiten zu können.

  • Abfangen und Manipulieren von E-Mails

    Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

  • Neuer Standort und neue BC/DR-Strategie?

    Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.