Diebstahl der Identität
Ein weiteres Mittel, das Cyberkriminelle einsetzen, um an verwertbare Informationen zu kommen, ist das Einrichten gefälschter Profile. Opfer eines solchen Identitätsdiebstahls ist Ronald Noble geworden, Chef der internationalen Polizeibehörde Interpol. Cyber-kriminelle platzierten Mitte dieses Jahres auf der Social-Networking-Plattform Facebook zwei Accounts unter dem Namen von Noble, obwohl dieser entsprechend den Interpol-Sicherheitsrichtlinien Facebook gar nicht nutzt. Mittels der gefälschten Profile verleiteten Angreifer einige Kollegen und Freunde des Polizeichefs dazu, nicht nur Freundschaftsanfragen von Noble anzunehmen, sondern auch berufliche Informationen auszutauschen. Auf diesem Weg gelangten die Cyberkriminellen an interne Daten über die "Operation Infra-Red", eine international koordinierte Fahndung von Polizeibehörden nach Schwerverbrechern.
Kleine Firmen sind offen
Warum also nicht einfach Mitarbeitern den beruflichen Umgang mit Social Media untersagen? Schwierig ist ein solches Verbot, weil nach Angaben der Marktforschungsgesellschaft Gartner viele Unternehmen selbst intensiv daran arbeiten, Social Media als Plattform für den Informationsaustausch einzuführen. Laut Prognose werden im Jahr 2014 knapp 20 Prozent der geschäftlichen IT- und Internet-Nutzer Social-Network-Services als wichtigstes Kommunikationsmittel verwenden. In Deutschland nutzen bereits 70 Prozent der Unternehmen die Web-Dienste Xing oder Linkedin zur Kontaktpflege. Das ergab eine Umfrage unter 15.000 Unternehmern in 75 Ländern, die von Regus, Anbieter von realen und virtuellen PC-Arbeitsplätzen, in Auftrag gegeben wurde.
Demnach sind die Angebote insbesondere in kleinen Firmen beliebt. 44 Prozent der befragten Kleinunternehmen haben bereits neue Kunden in Social Networks gewonnen. Unter den mittelständischen und großen Unternehmen gaben dies lediglich 34 Prozent zu Protokoll. Auch die Mitarbeiter wollen am Arbeitsplatz twittern und Facebook-Beiträge verfassen. Laut einer Studie von Symantec von Ende September 2010 würden 32 Prozent der Beschäftigten nicht bei einem Unternehmen arbeiten, das ihnen die Nutzung von Social Media untersagt. In der Regel gibt es tatsächlich keine Verbote: 95 Prozent der Firmen erlauben den Zugang zu den einschlägigen Plattformen, wenngleich zum Unmut der IT-Leiter und IT-Sicherheitsbeauftragten: 84 Prozent der CIOs und 77 Prozent der Systemverwalter äußerten Sicherheitsbedenken.
Was ist Social Engineering?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Social Engineering in seinem IT-Grundschutzkatalog als "Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch ‚Aushorchen` zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie zum Beispiel Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Mitarbeiter so manipuliert werden, dass sie unzulässig handeln."
Bei IT-gestütztem Social Engineering kombinieren Cyberkriminelle häufig mehrere Techniken: Sie sammeln persönliche Informationen, etwa mit Hilfe von Social-Networking-Plattformen oder Personen-Suchmaschinen. Zunehmend werden auch Accounts von Usern "gekapert". Anschließend versenden die Angreifer an Kontakte der ausgespähten Personen Spam-E-Mails mit Links zu bösartigen Web-Seiten oder mit Dateianhängen, die Trojaner oder Spyware enthalten.
Ein weiteres Mittel sind Phishing-Nachrichten. Über die gestohlene E-Mail-Adresse eines Kollegen oder Systemverwalters versenden Angreifer die Aufforderung, firmeninterne Daten oder Account-Daten (E-Mail, Log-in in das Corporate Network) mitzuteilen.