Social Media Kanäle – seien es Twitter, LinkedIn, Facebook oder Instagram – sind ein fester Bestandteil unseres Lebens, sowohl beruflich als auch privat. Dessen sind sich jedoch auch Cyberkriminelle bewusst, wie eine neue Studie der University of Surrey zeigt.
Wie der Report „Social Media Platforms and the Cybercrime Economy“ offenbart, bergen soziale Kanäle für Unternehmen ein ernstzunehmendes Risiko und öffnen Tür und Tor für Identitätsdiebstahl, Malware und vieles mehr.
Welche Cyberverbrechen über Social Media müssen Unternehmen fürchten?
Das wohl größte Risiko liegt im Identitätsdiebstahl. Jeden Tag werden tausende digitale Identitäten gestohlen, wobei sich die Betrüger die persönlichen Daten aneignen, die öffentlich auf Social Media-Seiten zu finden sind. Diese werden dann unter anderem für die Erstellung von sogenannten digitalen Doppelgängen missbraucht.
In einem zweiten Schritt werden die gestohlenen Identitäten dann für Finanzbetrug, Online-Käufe oder sogar zur Beschaffung von verschreibungspflichtigen Medikamenten verwendet. Für die betroffenen Personen kann dies weitreichende Folgen haben – von finanziellen Schäden bis hin zu falschen Schufa-Einträgen.
Ein weiteres Risiko liegt in Phishing-Attacken. Dabei versuchen die Angreifer, sich gezielt Zugriff auf Mitarbeiter-Konten zu verschaffen und vor allem Accounts mit weitreichenden Rechten, um an sensible und lukrative Unternehmensdaten zu gelangen.
Darüber hinaus wird Phishing natürlich auch für Malware-Infizierungen genutzt: So ergab die oben erwähnte Studie, dass etwa 20 Prozent aller Unternehmen mit Schadsoftware infiziert wurden, die Hacker über Social Media verbreiten, wobei vor allem Malvertising und Plug-ins oder Apps zum Einsatz kommen.
Zudem sind gehackte und manipulierte Accounts auch ein beliebtes Tool in sogenannten Informationskriegen, in denen gezielt Falschinformationen verbreitet werden. Auch dies kann der Reputation eines Unternehmens enorm schaden.
Warum werden Unternehmen Opfer von Social Media-Angriffen und wie können sie sich davor schützen?
Das entscheidende Problem ist nach wie vor eine schlechte Cyberhygiene in den Unternehmen und hier speziell ein schlechter Umgang mit Passwörtern und Zugangsdaten. In vielen Fällen nutzen Mitarbeiter dasselbe Passwort für ihre Social-Media-Konten wie für andere wichtige Unternehmens-Accounts. Das bedeutet, dass sobald ein Passwort gehackt wurde, Angreifer sich auch zu anderen vielleicht deutlich sensibleren Accounts oder Netzwerken Zugang verschaffen können.
Neben einer Sensibilisierung der Mitarbeiter auf allen Ebenen sollten Sicherheitsverantwortliche in den Unternehmen deshalb vor allem ihre technische Security-Ausstattung auf dem neuesten Stand halten und die richtigen Lösungen fokussieren. Anstatt mit großer Bemühung immer weiter in Perimeter-Schutz zu investieren, müssen IT-Abteilungen endlich anfangen, Technologien einzusetzen, mit denen die wichtigsten Unternehmenswerte, d.h. vor allem geschäftskritische Informationen, Kundendaten und geistiges Eigentum, gründlich abgesichert werden können.
Eine der wichtigsten Maßnahmen, die von rund 75 Prozent der Unternehmen aber immer noch vernachlässigt wird, ist etwa die sichere Verwaltung und Absicherung von privilegierten Accounts mit Hilfe von Privileged Account-Management. PAM-Lösungen ermöglichen es, privilegierte Passwörter in einer sicheren Umgebung zu generieren, regelmäßig zu kontrollieren, umfassende Nutzerprotokolle zu erstellen und automatisch Passwortwechsel durchzuführen.
Darüber unterstützen sie Unternehmen bei der Umsetzung einer Least Privilege-Policy, d.h. einem sinnvollen, die Produktivität nicht behinderndem Einschränken von Zugriffen auf kritische Konten und Applikationen.