Auf Facebook fällt es mitunter auf. Menschen, die Sie aus den verschiedensten Zusammenhänge kennen, melden sich mit einem anderen Profil erneut und möchten sich mit Ihnen vernetzen. Normalerweise werden den Neuanmeldungen scheinbar Bekannter keine besondere Beachtung geschenkt, man kennt sich ja. Vermutlich ein Verhalten, das viele von uns teilen würden.
Bei Anfragen von nicht bekannten Personen sind die meisten User vermutlich schon vorsichtiger und fragen per Nachricht nach dem Grund der Anfrage.
Tatsächlich kommt es vor, dass Dritte die Profilbilder und Informationen, die social media User freiwillig ins Netz stellen, stehlen und für Fake-Profile verwenden. Die Frage, warum unbekannte Dritte sich diese Mühe machen, stellt sich.
Vertrauen ist die Basis sozialer Kontakte
und elementarer Bestandteil des gesellschaftlichen Lebens, gleich ob in der Freizeit oder im Beruf. Menschen, denen wir ein gewisses Maß an Vertrauen schenken, erhalten oftmals Informationen von uns, die wir mit Unbekannten nicht teilen würden. Aus dieser Sicht sind Informationen, die wir nicht mit jedermann teilen würden, für einen potentiellen Angreifer auf unsere digitalen Identitäten ein ausgesprochen wertvolles Gut. Diese Informationen können Türen öffnen, die ansonsten verschlossen blieben. Wer hat nicht schon einmal auf den Link geklickt oder ein angehängtes Dokument geöffnet, das von einer Mail einer bekannten Person kam?
Sicherheitsrisiko Vertrauen?
Vertrauen in die Integrität einer Person als Basis sozialen Lebens kann dann Gefahren bergen, wenn es Dritten gelingt, eine digitale Identität zu stehlen. In Extremfällen kann Identitätsdiebstahl dazu führen, dass bewährte Sicherheitsmechanismen außer Kraft gesetzt werden. Wir alle posten in den sozialen Medien mehr oder minder persönliche Informationen, teilweise eher beruflicher, teilweise aber auch sehr privater Natur. Social media lädt geradezu dazu ein, Vorsicht, die wir im realen Leben walten lassen, zu vernachlässigen. Die Werbeindustrie lebt davon, uns so viele Informationen wie möglich zu entlocken um noch präzisere Werbebotschaften an den Verbraucher zu bringen. Der zivile Kollateralschaden des „gläsernen Konsumenten“ ist der „gläserne Bürger und Mitarbeiter“. Gläsern leider auch für Dritte mit nicht ganz so integren Absichten. Gelingt es einem Angreifer, Vertrauen beispielsweise von leitenden Mitarbeiterinnen und Mitarbeitern in einem Unternehmen aufzubauen, ist ein wesentlicher Schritt der angriffsvorbereitenden Maßnahmen vollzogen.
OSINT – social media hilft nicht nur Geheimdiensten
Mitunter ist es schwer zu unterscheiden, ob bestimmte Methoden zuerst von Geheimdiensten oder von Kriminellen entwickelt wurden. OSINT steht für Open Source Intelligence und bedeutet nichts anderes, als öffentlich zugängliche Quellen systematisch auszuwerten. Fakt ist, dass OSINT in beiden Sphären eine bedeutende Rolle spielt. Die sozialen Medien haben diese Arbeit der Informationsbeschaffung enorm erleichtert. Was in den 80er Jahren des letzten Jahrhunderts noch eine beschwerliche Kärnerarbeit war, ist im social media Zeitalter nur einen einzigen Mausklick entfernt.
Sich dieser Tatsache bewusst zu werden, bedeutet nicht, dass wir aus Sicherheitsgründen nun alle zum digitalen Einsiedler werden müssen. Soziale Kontakte sind eine Wesenseigenschaft des Menschen, ohne die eine Gesellschaft nicht funktionieren kann. Aber Vorsicht und Umsicht können trainiert werden. Für unsere Sicherheit.
Technik kann auch nicht alles verhindern
Die technischen Sicherheitsstandards sind in den meisten von uns als Datenschutzbeauftragte betreuten Unternehmen insgesamt relativ hoch. Was nicht bedeutet, dass es nicht noch Verbesserungspotentiale gäbe. Aber, krasse Mängel finden wir glücklicherweise relativ selten.
Es wundert uns zumindest nicht, dass die allermeisten erfolgreichen Angriffe auf die IT-Infrastruktur von Unternehmen ihren Ausgangspunkt in Handlungen von Mitarbeiterinnen und Mitarbeitern finden. Daraus den betroffenen Beschäftigten einen Vorwurf zu machen, geht fehl. Oftmals sind erfolgreiche Angriffe gut vorbereitet und vom Laien schwer zu erkennen. Was nicht bedeuten soll, dass es nicht möglich ist. Aber es Bedarf eines gewissen Erfahrungsschatzes und guten Trainings, hier Fortschritte zu erzielen. Dieser Aufgabe müssen sich Unternehmen stellen.
Zu guter Letzt:
Die Rückmeldung einer Userin, deren Profil auf Facebook von Dritten zur Kontaktaufnahme mit mir missbraucht wurde, hat noch einmal deutlich gemacht, dass Unternehmen wie Facebook oftmals ihrer gesellschaftlichen Verantwortung nicht nachkommen wollen oder können. Es hat im Fall der erwähnten Person ordentlich Zeit bedurft das Fakeprofil löschen zu lassen. Immerhin hat es nach mehreren Anläufen offensichtlich geklappt, das Fakeprofil ist aus dem Netz verschwunden. Den Compliance und IT-Abteilungen der social media Konzerne steht noch viel Arbeit ins Haus.
Weiterführende Informationen: