Die Daten eines Business-Netzwerks sind auch für Cybergangster interessant: mit gestohlenen Kontaktdaten und Profilen werden andere Unternehmen betrogen oder die Daten für BCE-Mails – Business-E-Mail Compromise genutzt. So können sich Nutzer und Unternehmen schützen.
Fast jeder, der sich auf der Suche nach einer neuen Stelle befindet, kennt wohl diese Situation: Man wird auf LinkedIn von einem Headhunter angeschrieben und das Stellenangebot klingt interessant. So ist man schnell verleitet, ohne größere Überlegung den Lebenslauf dem vermeintlichen Headhunter zuzusenden. Immerhin ist bei der Jobsuche Schnelligkeit geboten. Doch Vorsicht! Der japanische Cybersicherheitsanbieter Trend Micro hat das Business-Netzwerk untersucht und in seiner neuen Studie festgestellt, dass gefälschte Profile, die versuchen, Ihre Daten zu stehlen, mittlerweile immer gehäufter auftreten.
Falsche Linked-In-Profile als Angriffsplattform
🔎 Hypothetisches Szenario eines kompromittierten LinkedIn-Kontos eines legitimen Benutzers (Bild: Trend Micro).
Gefälschte Profile, die nach Daten von unbedarften Usern fischen, werden bei LinkedIn zu einer immer größeren Bedrohung. So zielte beispielsweise die nordkoreanische Advanced Persistent Threat (APT)-Gruppe Lazarus im September 2022 auf macOS-Nutzer, die nach Jobs in der Kryptowährungsbranche suchten. Die dabei gesammelten Daten verkauften die Angreifer an Cyberkriminelle. Zwar hat das soziale Netzwerk daraufhin neue Sicherheitsfunktionen hinzugefügt. Dennoch ist es für LinkedIn aufgrund der Komplexität der Plattform nach wie vor schwierig, jeden Nutzer ausreichend vor Bedrohungen zu schützen. Es liegt also am Einzelnen, die eigenen Daten vor unbefugtem Zugriff zu bewahren.
Was können Nutzer gegen den Datendiebstahl tun?
- Die erste Regel lautet: Vermeiden Sie es unter allen Umständen, sensible Daten oder personenbezogene Daten wie E-Mails, Telefonnummern oder Adressen für alle öffentlich einsehbar zu posten – etwa über die Zusammenfassung des Benutzerprofils. Zudem ist es ratsam, die Sichtbarkeit anzupassen, bevor Sie Beiträge teilen. Klären Sie vorab, welche Beiträge von Followern, Verbindungen und Nicht-Verbindungen gesehen werden sollten.
- Eine weitere Pflicht für Nutzer ist es, sich genau über die Social-Media-Richtlinien ihres Arbeitgebers zu informieren und welche Konsequenzen etwaige Verstöße haben. Zu solchen Richtlinien gehören etwa Maßnahmen zur Einhaltung von Gesetzen und Compliance-Regelungen, sowie die aktuellen Pläne für den Schutz der Privatsphäre und das Management von Sicherheitszwischenfällen.
- Weiterhin sollten Nutzer nur solche Informationen weitergeben, mit deren Veröffentlichung im Internet sie auch tatsächlich einverstanden sind. Um dies sicherzustellen, können User die Benutzerprofile und Datenschutzeinstellungen jederzeit anpassen, um die Menge der öffentlich zugänglichen Informationen zu begrenzen.
Welche Schutz-Pflichten haben Unternehmen?
- Auch Unternehmen stehen in der Verpflichtung, die Daten ihrer Angestellten zu schützen. Ratsam ist es zuallererst, klare Richtlinien für den Auftritt in sozialen Medien zu entwickeln und zu implementieren. Zudem sollte festgelegt werden, welche Unternehmensinformationen und/oder -daten öffentlich gepostet werden dürfen. Diese Richtlinien können je nach Stellung variieren, da die Mitarbeiter Informationen mit unterschiedlicher Wichtigkeit und Sensibilität für das Unternehmen bearbeiten. Höhere Stellungen im Unternehmen erfordern restriktivere Richtlinien aufgrund des weitreichenderen Zugriffs auf Informationen. Die zu implementierenden Richtlinien müssen dabei klar regeln, welche Grenzen, Datenklassifizierungen und rechtliche Anforderungen es jeweils für die Betroffenen gibt.
- Weiterhin ist es wichtig, regelmäßig Szenarien für Konten-, Profil-, Compliance-, Verifizierungs- und Vorfallsmanagement zu wiederholen, damit Mitarbeiter wissen, was im Notfall zu tun ist. Legen Sie eine Kontaktperson fest, an die sich die Mitarbeiter wenden können, wenn sie gefälschte Konten finden, die sich als legitime Mitarbeiter oder Unternehmensrollen ausgeben.
- Zudem sollte die Multifaktor-Authentifizierung (MFA) für alle geschäftlichen und privaten Konten als Standard eingesetzt werden. Eine gute Passwortverwaltungssoftware hilft ebenfalls, um Datendiebstahl vorzubeugen. Dabei ist es natürlich wichtig, niemals das gleiche Passwort für unterschiedliche Kanäle und Anwendungen zu benutzen.
Wenn Unternehmen und User zusammenarbeiten und sich an die standardmäßigen Best Practices halten, um den eigenen Datenschutz zu garantieren, dann angeln Cyberkriminelle nur ins Leere. So können die Angestellten ihre Zeit auf LinkedIn tatsächlich produktiv nutzen, ohne befürchten zu müssen, dass morgen private oder Unternehmensdaten im Darknet verkauft werden. So Richard Werner, Business Consultant bei Trend Micro.
Mehr bei TrendMicro.com
Über Trend Micro Als einer der weltweit führenden Anbieter von IT-Sicherheit hilft Trend Micro dabei, eine sichere Welt für den digitalen Datenaustausch zu schaffen. Mit über 30 Jahren Sicherheitsexpertise, globaler Bedrohungsforschung und beständigen Innovationen bietet Trend Micro Schutz für Unternehmen, Behörden und Privatanwender. Dank unserer XGen™ Sicherheitsstrategie profitieren unsere Lösungen von einer generationsübergreifenden Kombination von Abwehrtechniken, die für führende Umgebungen optimiert ist. Vernetzte Bedrohungsinformationen ermöglichen dabei besseren und schnelleren Schutz. Unsere vernetzten Lösungen sind für Cloud-Workloads, Endpunkte, E-Mail, das IIoT und Netzwerke optimiert und bieten zentrale Sichtbarkeit über das gesamte Unternehmen, um Bedrohung schneller erkennen und darauf reagieren zu können..