Digitales profil einer organisation. Was ist in unternehmensinformationen zu beachten?
27.01.2021
Das digitale Zeitalter bringt viele Möglichkeiten, gleichzeitig aber auch Drohungen. Nicht nur im Umfeld des digitalen Alltags einzelner Benutzer, sondern auch bei einer digitalen Präsentation der Geschäftseinheiten. Profile von Unternehmen und ihren Mitarbeitern werden zunehmend als wertvolle Informationsquelle für Hacker verwendet, die dem Unternehmen Ressourcen oder Know-how bestehlen möchten. Wie machen sie das und worauf muss man achten?
DIGITALES PROFIL
Was auch immer ein Mitarbeiter des Unternehmens in seiner Freizeit oder Arbeitszeit in einer virtuellen Umgebung über sich selbst schreibt - in sozialen Netzwerken, in E-Mails, Online-Fragebögen oder professionellen Profilen - dient als Teil eines großen Puzzles, anhand dessen der Angreifer die Schwachstellen und sensible Aspekte des Opfers erkennen kann, in diesem Fall des Unternehmens.
Open-Source-Intelligenz ist ein allgemeiner Begriff für einen Komplex von Methoden, mit denen die Angreifer in einer virtuellen Umgebung Informationen über ihr Ziel sammeln, um ein Profil zu erhalten, mit dem sich das Opfer an Finanzen oder andere wertvolle Beute wenden kann - beispielsweise an Know-how.
Anhand der Informationen, die Benutzer im Internet über sich selbst veröffentlichen, können häufig Wohnort, Arbeitgeber, Arbeitsort, aber auch Arbeitsregime oder sogar Einzelheiten zu einigen Arbeitsprozessen ermittelt werden.
Es ist nicht ungewöhnlich, dass Benutzer Fotos in ihre professionellen oder privaten Profile hochladen, aus denen hervorgeht, welche interne Software das Unternehmen verwendet, welche physischen oder virtuellen Sicherheitssysteme sie verwenden oder wie sie sich bei den Systemen des Unternehmens anmelden. In extremen Fällen werden Benutzer in sozialen Netzwerken beispielsweise mit Zugangskarten des Arbeitgebers am Hals fotografiert. Sie erkennen nicht, dass der Angreifer bei der Analyse des Fotos nicht nur die Daten des Mitarbeiters und des Kartenausstellers, sondern auch die wahrscheinlichen Authentifizierungsschlüssel des Zugriffs herausfinden kann.
Ein häufiger Fehler besteht darin, die privaten und professionellen digitalen Spuren nicht zu trennen. Mitarbeiter sowie Manager oder Unternehmensleitung verwenden Unternehmens-E-Mail-Adressen oder dieselben Anmeldedaten für private digitale Aktivitäten - beispielsweise bei der Anmeldung für Newsletter, in sozialen Netzwerken oder bei der Kennzeichnung der Teilnahme an Veranstaltungen.
In extremen Fällen werden Benutzer in sozialen Netzwerken beispielsweise mit Zugangskarten des Arbeitgebers am Hals fotografiert. Sie erkennen nicht, dass der Angreifer bei der Analyse des Fotos nicht nur die Daten des Mitarbeiters und des Kartenausstellers, sondern auch die wahrscheinlichen Authentifizierungsschlüssel des Zugriffs herausfinden kann.
SICHERHEITSDROHUNGEN, INSBESONDERE FÜR UNTERNEHMEN
Das digitale Profil wurde jedoch häufig von den Unternehmen selbst nachlässig erstellt. Sie unterschätzen häufig die Sensibilität von Daten, die in Marketinginhalten enthalten sind. In der Präsentation enthüllen sie häufig Details ihrer Arbeitsabläufe oder der Arbeitsumgebung. Die Daten sind auf veröffentlichten Fotos oder in PR-Berichten verfügbar, die die Softwarelösungen des Unternehmens und den Status laufender Projekte aufzeigen.
Unternehmen unterschätzen manchmal auch das Risiko von Angriffen in Form externer Ansätze. Beispielsweise stellen sie in Interviews oder Praktika häufig interne Dateien und Datenbanken externen Benutzern zur Verfügung, die sie in keiner Weise überprüft haben und die sie nie wieder sehen werden.
Mithilfe der Open-Source-Intelligenz-Methode erstellt der Angreifer detailliertes Unternehmensprofil, auf das den Angriff abzielt. Er kann Lösegeld verlangen, erpressen, Geld von Firmenkonten entziehen oder Know-how und andere Daten sammeln, die Druck auf andere Unternehmen ausüben.
SIEBEN GRUNDSÄTZE FÜR EIN SICHERES DIGITALES PROFIL:
1. So wenig Daten wie möglich
Veröffentlichen Sie keine persönlichen Daten und Unternehmensdaten im Internet, die nicht erforderlich sind.
2. Begrenzter Datenumfang
Erteilen Sie keine umfassenden Informationen. Wenn Sie die Ergebnisse eines Projekts präsentieren, geben Sie nicht an, wie und wo sie erstellt wurden. Wenn Sie Gewinne, Erfolge und Vermögenswerte präsentieren, nennen Sie nicht, wo sie sich befinden und wie sie geschützt sind.
3. Keine Sicherheitsdaten freigeben
Achten Sie darauf, einen Teil Ihrer Anmeldenamen oder Passwörter in anderen Spitznamen im Internet zu erwähnen. Achten Sie auf Fotos, von denen Tools und Schutzmodi (Überwachungskameras, Antivirenprogramm) gelesen werden können.
4. Systeme unbefugten Personen nicht zugänglich machen
Lassen Sie externe Personen nicht in interne Unternehmenssysteme rein, ohne ihre Identität zu überprüfen. Lassen Sie nicht zu, dass sie scheinbar harmlos auf das Computernetzwerk des Unternehmens zugreifen.
5. Datenschutz mit Unternehmensdaten nicht verknüpfen
Trennen Sie Ihre privaten Inhalte von Ihren Unternehmensinhalten. Geben Sie keine Details darüber bekannt, wo Sie arbeiten und was Sie an denselben Orten tun, an denen Sie Ihre Privatsphäre präsentieren. Verwenden Sie Unternehmensdaten nicht für private Aktivitäten.
6. Auf Datenhygiene achten
Bereinigen Sie die Daten Ihrer Datenbanken. Wenn Sie in einem sozialen Netzwerk angemeldet sind, es aber nicht mehr verwenden, fordern Sie das Löschen Ihrer Daten an. Wenn Sie einen E-Mail-Dienst haben, den Sie nicht verwenden, löschen Sie ihn.
7. PR und vertrauliche Informationen trennen
Präsentieren Sie während der Unternehmenspräsentation nur die erforderlichen Details zur Arbeitsumgebung und zu den Arbeitsmodi. Wirken Sie nicht billig oder reich, wenn Sie Erfolge präsentieren. Dieses Verhalten zieht Angreifer an.
