Image
Foto: Pixelio.de/ Gerd Altmann
Soziale Netzwerke sind oft der Schlüssel, um an vertrauliche Firmendaten zu gelangen.

Spionage 2.0

Soziale Netzwerke als Informationsfalle

Immer häufiger bemerken Firmen das Ausspähen sensibler Daten über Facebook & Co. Wie "Industriespione 2.0" vorgehen und wie man sich gegen sie schützen kann, verrät die Unternehmensberatung Becker von Buch.

Ihr Unternehmen ist in Facebook aktiv, Sie selber und Ihre leitenden Mitarbeiter lassen sich außerdem in Xing und Linkedin finden? Sehr gut! Denn die Präsenz in sozialen Netzwerken zeugt nicht nur von Modernität, sie wirkt auch positiv in der Rekrutierung gesuchter Fach- und Nachwuchskräfte. Doch das Web 2.0 hat Schattenseiten, die in den vergangenen Monaten rasant gewachsen sind: das Ausspionieren sensibler Firmendaten.

Seitdem es möglich ist, mit Datenbanken über Telefonleitungen Informationen auszutauschen, entwickelt sich das so genannte Social Engineering. Ziel: Über persönliche Kontakte technische Hintergründe zur eingesetzten Software und damit Details zu Know-how und Kundenbeziehungen zu ergattern. Früher mussten sich Hacker dafür noch in das Umfeld des auszuspähenden Unternehmens begeben, beispielsweise in die Kantine oder in nahe liegende Treffpunkte zur Mittagspause. Flexibilität, Zeit, Charme, Cleverness und Unverfrorenheit waren die Voraussetzungen. Erst wenn der avisierte "Geheimnisträger" Vertrauen gefasst hatte, ließen sich ihm die wichtigen Informationen entlocken. Heute ist Social Enginieering bedeutend einfacher, dank Internet und vor allem Web 2.0.

Hacker auf dem Sofa

Ohne seine eigenen vier Wände verlassen zu müssen, kontaktieren die "Spione 2.0" ihre Zielpersonen, in erster Linie über Facebook, Xing und Linkedin - soziale Netzwerke mit vielen Millionen Nutzern weltweit. "Da alle diese Dienste auf Datenbanken basieren, lässt sich über deren Online-Suchfunktion beispielsweise jemand finden, der im anvisierten Unternehmen arbeitet", erklärt Dr. Sebastian Dominic von Buch von der Unternehmensberatung Becker von Buch in Hannover.

Stelle sich das potentielle Opfer dann noch als sehr kontaktfreudig heraus - zu erkennen an der Anzahl der Freunde - werde diesem eine Anfrage geschickt. Beliebt sind laut von Buch Aufhänger, die sich aus den persönlichen Daten der Zielperson herauslesen lassen, beispielsweise besuchte Schulen oder Universitäten. "Der Spion gibt sich dann einfach als ehemaliger Mitschüler oder Kommilitone aus, der auf der Suche nach alten Freunden ist", so der Experte.

Recht häufig werde auch das Vertrauensverhältnis "von Kollege zu Kollege" missbraucht, sagt von Buch. "Mit ein bisschen Internet-Recherche lässt sich einiges zum ausgewählten Unternehmen herausfinden, von der Produkt- oder Dienstleistungspalette bis zu den Namen leitender Mitarbeiter. "Der Spion behauptet dann einfach, vor etlichen Jahren dort gearbeitet zu haben, fragt nach der aktuellen Entwicklung der Firma und nach Problemen, besonders im IT-Umfeld", erklärt von Buch. "Hilfreich sind dann manchmal schon die Namen der Herstellerfirmen oder der eingesetzten Software."

Härtere Gangart

Immer öfter nachgefragt würden aber auch Kundennamen, Informationen zu Bestellungen und Lieferungen. "In Zeiten harten Wettbewerbs haben sich einige Firmen eine härtere Gangart angeeignet", so von Buch. Was zählt, sei letztlich nur das Ergebnis. Habe sich das Vertrauensverhältnis schließlich gefestigt, biete der Spion in der Regel seine "freundschaftliche" Hilfe an. "Dazu müsse er allerdings den Zugang zur Datenbank haben, und schon wechseln Passwörter den Besitzer."

Als vorbeugende Maßnahme gegen Angriffe per Social Engineering gibt es laut von Buch nur eines: Aufklärung. "Jeder Mitarbeiter mit Zugang zu sensiblen Informationen in Datenbanken muss die Gefahr kennen, die von allzu großer Offenheit in sozialen Netzwerken ausgeht. Anfragen Unbekannter, in der sicherheitsrelevante Dinge angesprochen werden, seien sofort der Geschäftsleitung zu melden, so von Buch. "Nur so lässt sich verhindern, dass die beiden wichtigsten Säulen eines Unternehmens - Know-how und Kundendaten - nicht in falsche Hände geraten."