Fast jeder, der sich auf der Suche nach einer neuen Stelle befindet, kennt wohl diese Situation: Man wird auf LinkedIn von einem Headhunter angeschrieben und das Stellenangebot klingt interessant. So ist man schnell verleitet, ohne größere Überlegung den Lebenslauf dem vermeintlichen Headhunter zuzusenden. Doch Vorsicht! Gefälschte Profile, die nach Daten von unbedarften Usern fischen, werden bei LinkedIn zu einer immer größeren Bedrohung.
Ein Kommentar von Richard Werner, Business Consultant bei Trend Micro.
Die nordkoreanische Advanced Persistent Threat (APT)-Gruppe Lazarus zielte beispielsweise im September 2022 auf macOS-Nutzer, die nach Jobs in der Kryptowährungs-Branche suchten. Die dabei gesammelten Daten verkauften die Angreifer an Cyberkriminelle. Zwar hat das soziale Netzwerk daraufhin neue Sicherheitsfunktionen hinzugefügt. Dennoch ist es für LinkedIn aufgrund der Komplexität der Plattform nach wie vor schwierig, jeden Nutzer ausreichend vor Bedrohungen zu schützen. Es liegt also am Einzelnen, die eigenen Daten vor unbefugtem Zugriff zu bewahren.
Was können Sie als Nutzer gegen den Datendiebstahl tun?
- Die erste Regel lautet: Vermeiden Sie es unter allen Umständen, sensible Daten oder personenbezogene Daten wie E-Mails, Telefonnummern oder Adressen für alle öffentlich einsehbar zu posten – etwa über die Zusammenfassung des Benutzerprofils. Zudem ist es ratsam, die Sichtbarkeit anzupassen, bevor Sie Beiträge teilen. Klären Sie vorab, welche Beiträge von Followern, Verbindungen und Nicht-Verbindungen gesehen werden sollten.
- Eine weitere Pflicht für Nutzer ist es, sich genau über die Social-Media-Richtlinien ihres Arbeitgebers zu informieren und welche Konsequenzen etwaige Verstöße haben. Zu solchen Richtlinien gehören etwa Maßnahmen zur Einhaltung von Gesetzen und Compliance-Regelungen, sowie die aktuellen Pläne für den Schutz der Privatsphäre und das Management von Sicherheitszwischenfällen.
- Weiterhin sollten Nutzer nur solche Informationen weitergeben, mit deren Veröffentlichung im Internet sie auch tatsächlich einverstanden sind. Um dies sicherzustellen, können User die Benutzerprofile und Datenschutzeinstellungen jederzeit anpassen, um die Menge der öffentlich zugänglichen Informationen zu begrenzen.
… und welche Pflichten haben Unternehmen?
- Auch Unternehmen stehen in der Verpflichtung, die Daten ihrer Angestellten zu schützen. Ratsam ist es zuallererst, klare Richtlinien für den Auftritt in sozialen Medien zu entwickeln und zu implementieren. Zudem sollte festgelegt werden, welche Unternehmensinformationen und/oder -daten öffentlich gepostet werden dürfen. Diese Richtlinien können je nach Stellung variieren, da die Mitarbeiter Informationen mit unterschiedlicher Wichtigkeit und Sensibilität für das Unternehmen bearbeiten.
Höhere Stellungen im Unternehmen erfordern restriktivere Richtlinien aufgrund des weitreichenderen Zugriffs auf Informationen. Die zu implementierenden Richtlinien müssen dabei klar regeln, welche Grenzen, Datenklassifizierungen und rechtliche Anforderungen es jeweils für die Betroffenen gibt.
- Weiterhin ist es wichtig, regelmäßig Szenarien für Konten-, Profil-, Compliance-, Verifizierungs- und Vorfallsmanagement zu wiederholen, damit Mitarbeiter wissen, was im Notfall zu tun ist. Legen Sie eine Kontaktperson fest, an die sich die Mitarbeiter wenden können, wenn sie gefälschte Konten finden, die sich als legitime Mitarbeiter oder Unternehmensrollen ausgeben.
- Zudem sollte die Multifaktor-Authentifizierung (MFA) für alle geschäftlichen und privaten Konten als Standard eingesetzt werden. Eine gute Passwortverwaltungssoftware hilft ebenfalls, um Datendiebstahl vorzubeugen. Dabei ist es natürlich wichtig, niemals das gleiche Passwort für unterschiedliche Kanäle und Anwendungen zu benutzen.
Wenn Unternehmen und User zusammenarbeiten und sich an die standardmäßigen Best Practices halten, um den eigenen Datenschutz zu garantieren, dann angeln Cyberkriminelle nur ins Leere. So können die Angestellten ihre Zeit auf LinkedIn tatsächlich produktiv nutzen, ohne befürchten zu müssen, dass morgen private oder Unternehmensdaten im Darknet verkauft werden.