- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Hack von Twitter- und Facebook-Konten


Soziale Medien – Privilegierte Konten über die niemand spricht
Eine zentrale Rolle spielt, wie Unternehmen mit ihrer Firmenpräsenz in den sozialen Medien und den zugehörigen Konten in der Praxis umgehen

- Anzeigen -





Von Susanne Haase, One Identity

Auch in diesem Jahr hatten wir wieder ausreichend Gelegenheit Zeuge einer Reihe von Datenschutzverletzungen zu werden. Hacker waren ausgesprochen effizient darin, von Unternehmen übersehene Schwachstellen zu finden, und diese Lücken zu ihrem Vorteil auszunutzen. Wie erfolgreich die Angreifer tatsächlich waren, ließ sich unschwer an Schlagzeilen aus aller Welt ablesen.

Persönliche Daten wurden gestohlen, veröffentlicht, verkauft und die betreffenden Unternehmen schwer beeinträchtigt. Mit etwas Abstand betrachtet ist gut zu erkennen, dass wir immer wieder denselben Fehlern und Verhaltensweisen begegnen. Eine zentrale Rolle dabei spielt, wie Unternehmen mit ihrer Firmenpräsenz in den sozialen Medien und den zugehörigen Konten in der Praxis umgehen.

Vor nicht allzu langer Zeit musste ein US-amerikanischer Fernsehprogrammanbieter die unangenehme Tatsache eingestehen, dass es Angreifern gelungen war, die Twitter- und Facebook-Konten des Unternehmens zu hacken. Eine Gruppierung namens OurMine hatte die Social Media-Kanäle gekapert und damit begonnen, Nachrichten im Namen des Unternehmens zu posten. Allerdings ist es dem TV-Programmanbieter ziemlich rasch gelungen, die Kontrolle zurück zu erlangen. Soviel sei eingeräumt. Alle offensichtlichen Folgen des Hacks konnten scheinbar entfernt werden, und die betreffenden Posts waren ziemlich rasch wieder verschwunden.

Damit aber nicht genug. Nur kurze Zeit später drohten Angreifer mit einem entsprechenden Screenshot als Beleg, noch unbekannte Folgen der beliebten Serie Game of Thrones zu leaken. Es dauerte erwartungsgemäß nicht lange bis das Thema auf Twitter Fahrt aufnahm und von Tausenden von Menschen weltweit diskutiert wurde. Das alles passierte zeitlich in unmittelbarer Nähe zu einer gerade koinzidierten Datenschutzverletzung, die einiges an medialer Aufmerksamkeit beansprucht hatte. So sah sich der Sender ein weiteres Mal dem Scheinwerferlicht der Öffentlichkeit ausgEsetzt. Naturgemäß rückten schließlich die vom Sender getroffenen Sicherheitsmaßnahmen und Sicherheitssysteme in den Mittelpunkt der Aufmerksamkeit. Das führte unter anderem dazu, dass sich der US-amerikanischer Fernsehprogrammanbieter weitreichenden Nachfragen und Überprüfungen ausgEsetzt sah, und das nicht nur innerhalb der eigenen Branche.

Unglücklicherweise ist dieser Programmanbieter bei weitem nicht das einzige Unternehmen, das die Sicherheitsanforderungen in den sozialen Medien vernachlässigt. In vielen Fällen betrachten Firmen ihre Marke und deren Wert nicht in derselben Art und Weise wie sie es mit anderen Unternehmenswerten tun würden. Man denke nur an das Personal- oder Finanzwesen. Bei internen Systemen sind erzwungene Passwortänderungen vorgeschrieben ebenso wie eine 2-Faktor-Authentifizierung. In punkto Sicherheitsmaßnahmen fortschrittlicher aufgestellte Unternehmen implementieren zusätzlich Managementsysteme für ihre privilegierten Konten. Solche Systeme gestatten Check-out-Passwörter bei besonders wichtigen oder gefährdeten Systemen. Anschließend werden die Passwörter randomisiert ehe der betreffende Nutzer sich erneut anmelden kann.

In manchen Fällen kann über im Rahmen der Verwaltung von privilegierten Konten ein Konto auch deaktiviert werden. Etwa, wenn es von niemandem mehr benutzt wird. Eine Maßnahme, die dafür sorgt, dass Konten weitgehend gegen Hackerangriffe gefeit sind. In einem scheinen sich Unternehmen allerdings durch die Bank schwer zu tun. Sie erkennen nur selten, dass ihre Twitter-, Facebook- und LinkedIn-Konten und die zugehörigen Passwörter denselben Risiken ausgEsetzt sind wie wertvolle und gefährdete interne Konten. Und folglich dasselbe Sicherheitsniveau haben sollten.

Warum aber tun sich Firmen an dieser Stelle so schwer?
der US-amerikanischer Fernsehprogrammanbieter ist ein gutes Beispiel für ein weltbekanntes Unternehmen, das durch einen Hackerangriff ernsthaften Rufschaden erlitten hat, und dessen Marke nach den Vorfällen deutlich angeschlagen war. Anders als Schäden an finanziellen Systemen oder im Personalwesen sind Rufschäden kaum wirklich kalkulierbar. Schwerwiegend sind sie allerdings fast immer. Dabei ist der Fakt noch nicht berücksichtigt, dass der Fall mit jedem neu publizierten Artikel wieder auflebt. Und weiterer Schaden entstehen kann beziehungsweise der Vorfall erneut in die öffentliche Diskussion gerät.

Es gibt eine ganze Reihe von Fragen, die Firmen sich stellen sollten, wenn es um das sichere Verwalten ihrer Social Media-Konten geht. So kann man beispielsweise mit einiger Berechtigung fragen, ob es nicht zu aufwendig ist, ein Check-Out-Passwort zu verwenden, wenn man nur twittern oder den Unternehmensstatus auf Facebook ändern will. Gibt es viele Mitarbeiter im Bereich soziale Medien, die alle in etwa zur gleichen Zeit auf die entsprechenden Konten zugreifen und folglich ein und dasselbe Passwort teilen müssen? Soziale Medien im Hinblick auf den Ruf eines Unternehmens und den Wert einer Marke hin zu überwachen hat nicht nur etwas mit Hackerangriffen zu tun. Ein Unternehmen sollte sich durchaus Gedanken machen, wer an welchen Stellen dafür verantwortlich ist, eine Firma nach Außen zu repräsentieren.

Mögliche Antworten liefern moderne Managementsysteme für privilegierte Konten. Diese Systeme erlauben es, sehr granulare Richtlinien zu definieren wie etwa "Abmeldung nach X Stunden erforderlich", "Check-out erforderlich bei Nutzung des Kontos außerhalb des Netzwerks" oder "Check-in vor dem Check-out abwarten" um sicherzustellen, dass immer nur eine Person postet und nicht mehrere gleichzeitig. Es ist sogar möglich die Konten so einzurichten, dass die Mitarbeiter, die für die Social Media-Konten verantwortlich sind, das Check-out-Passwort gar nicht kennen.

Kombiniert man diese Policy-Typen miteinander, kann man das Sicherheitsniveau von (privilegierten) Social Media-Konten sehr schnell anheben. Ein gutes System stellt zudem sicher, dass jedes von einem Mitarbeiter/einer Mitarbeiterin genutzte Passwort, das nicht randomisiert erstellt wurde, mit einer Liste von bekannten, bereits gehackten Passwörtern abgeglichen wird, wie sie sich in den Wörterbüchern der meisten Hacker befinden. Starwars, 123456 oder qwertz sind nur einige derer, die immer und immer wieder vorkommen.

Es ist an der Zeit, dass Unternehmen damit beginnen, ihre Konten in Facebook, LinkedIn, Twitter, Tumblr, Instagram und all den anderen Social Media-Systemen sicherheitstechnisch genauso ernst nehmen wie Konten über die finanzielle Transaktionen abgewickelt werden oder Konten im Personalwesen. Das ist technisch möglich. Dahingehend gibt es also keine Entschuldigung mehr. Es ist heutzutage unabdingbar, die Markenreputation und den Ruf eines Unternehmens zu schützen, indem man dafür sorgt, dass auch Firmenkonten in den sozialen Medien entsprechend geschützt werden. (One Identity: ra)

eingetragen: 16.10.17
Home & Newsletterlauf: 16.11.17


One Identity: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Tipps & Hinweise

  • Spear Fishing-Attacken: Bedrohungen der Zukunft

    Vermutlich hat fast jeder bereits fantasievolle E-Mails von Geschäftsleuten oder unfassbar reichen Prinzen aus fernen Ländern erhalten, die exorbitante Geldbeträge in Aussicht stellen - im Gegenzug für eine finanzielle Vorleistung von ein paar tausend Euro. Inzwischen gehen die meisten Anwender routiniert mit solchen Betrugsmaschen um. Doch es gibt wesentlich ausgefeiltere Tricks, denn Cyberkriminelle werden immer persönlicher. Viele Phishing-Versuche sind auf den ersten Blick leicht zu erkennen, weil sie fettgedruckte Betreffzeilen, Rechtschreibfehler oder fragwürdige Anhänge enthalten, die deutliche Warnkennzeichen sind. Jedoch verzeichnet sich mittlerweile eine rapide Zunahme personalisierter Angriffe, die äußerst schwer zu erkennen sind, vor allem für Nutzer, denen nicht bewusst ist, wie hochentwickelt Phishing-Versuche heute sein können.

  • Generell sollten Popups nie angeklickt werden

    Angriffe von Cyber-Kriminellen können für Unternehmen teuer werden, wenn sie den Verlust ihrer Daten vermeiden wollen. Julian Totzek-Hallhuber, Solution Architect beim Spezialisten für Anwendungssicherheit CA Veracode, gibt im Folgenden fünf Tipps, wie sich Unternehmen einfach und effektiv vor Ransomware-Angriffen schützen können: Eine Backup-Strategie definieren: Der wichtigste Ansatz, um Ransomware-Attacken ins Leere laufen zu lassen, ist ein ausgeklügelter Backup-Plan. Daten, die in einem Backup sicher gespeichert wurden, können die von Kriminellen verschlüsselten Daten im Ernstfall schnell ersetzen. Die Sicherungskopien sollten nummeriert sein und man sollte auch ältere Versionen speichern. Damit die Backups nicht ebenfalls Opfer von Ransomware werden, müssen sie auf Laufwerken liegen, die nicht mit einem Netzwerk verbunden sind.

  • Sichere Bereitstellung von Online-Werbung

    Seit Juli 2015 gilt das IT-Sicherheitsgesetz - nicht nur im Bereich Kritischer Infrastrukturen (KRITIS). Alle Anbieter von Telemediendiensten sind betroffen, darunter Online-Shops, Provider und Betreiber von Ad-Servern. Denn auch letztere halten Informationen - in dem Fall Werbemittel - zum Abruf bereit. Aus diesem Grund sind auch sie verpflichtet, Sicherheitsmaßnahmen entsprechend dem Stand der Technik umzusetzen. Darunter fällt insbesondere die Anwendung eines Verschlüsselungsverfahrens, welches als sicher eingestuft ist. "Bei Auslieferung von Werbung muss das SSL/TLS-Protokoll Anwendung finden. So erfolgt der Datenverkehr zwischen Client und Webserver verschlüsselt. Die Verschlüsselung muss aber auch sämtliche beteiligte Ad-Server innerhalb der Auslieferungskette umfassen", macht Christian Heutger, IT-Sicherheitsexperte und Geschäftsführer der PSW Group, mit Nachdruck aufmerksam.

  • Alexa ungewollt aktiviert

    Wer eine Antwort von seinem digitalen Sprachassistenten möchte, spricht ihn mit einem festgelegten Signalwort an. Doch ein Selbstversuch des Marktwächter-Teams der Verbraucherzentrale NRW am Beispiel von Amazon Alexa zeigt: Die smarte Assistentin reagiert nicht nur auf dieses Signalwort, sondern auch auf ähnlich klingende Begriffe. So ist es möglich, dass vom Nutzer ungewollt Ausschnitte aus Alltagsunterhaltungen aufgezeichnet und an Anbieterserver übertragen werden.

  • Schwachstellen erfordern neue Update-Strategie

    Computer-Prozessoren von mehreren Herstellern weisen derzeit zwei Schwachstellen auf, die mit den Namen Meltdown und Spectre bezeichnet werden. Ein potentieller Angreifer kann darüber alle Daten, die durch einen Prozessor verarbeitet werden, auslesen. Zudem lassen sich die Grenzen zwischen verschiedenen geschützten Bereichen überwinden. Diese Sicherheitslücken sind zwar kritisch und sollten zeitnah behoben werden, jedoch warnt der IT-Dienstleister Konica Minolta IT Solutions vor blindem Aktionismus. Die Ausnutzung dieser Schwachstellen ist sehr komplex und erfordert einen vergleichsweise hohen Aufwand. Die Gefahr für Unternehmen ist deshalb zunächst noch eine theoretische. Entsprechend ist bislang kein Fall der aktiven Ausnutzung dieser Sicherheitslücken bekannt, so das BSI in einer Pressemitteilung vom 4. Januar.