Warum berufliche Netzwerke wie LinkedIn oder Xing die Unternehmenssicherheit gefährden

Berufliche Netzwerke wie LinkedIn oder Xing erfreuen sich bei vielen Mitarbeitenden großer Beliebtheit. Und auch die Unternehmen selbst sehen Aktivitäten ihrer Angestellten dort häufig gerne, steigert doch jeder Post auch potenziell die Bekanntheit des Arbeitgebers. Doch wer sich voller Stolz als Mitglied eines bestimmten Unternehmens in sozialen Netzwerken präsentiert, kann seinem Arbeitgeber ungewollt großen Schaden zufügen.

Dies berichtet Christoph Ritter, Leiter der Red Teaming-Abteilung der SySS. Wie insbesondere Mitarbeitendenausweise zu einem Einfallstor für Angreifende werden können, schildert er in einem Praxisbericht.

"Haben Sie Zertifizierungen vorzuweisen?" "Sehr wohl": Wenn exklusives Wissen zu Öffentlichem Know-HoW Wird

"Am Beginn eines Red Team Assessments steht immer eine sogenannte Open Source Intelligence-Analyse. Das heißt: Wir fragen öffentliche Quellen ab, um möglichst viele Informationen über das gesteckte Ziel und mögliche Wege zu seiner Erreichung zu finden. Zwei der ersten Quellen, die wir durchsuchen, sind LinkedIn und Xing. Hier geben Mitarbeitende der jeweiligen Unternehmen gerne Informationen preis, die aus einer IT-Sicherheitsperspektive eher kritisch zu sehen sind. Über die Profile in beruflichen Netzwerken finden wir nicht selten heraus, mit welcher Software das Unternehmen arbeitet oder wie die Mitarbeitendenausweise aussehen. Beides ist für Angreifende hilfreicher als den meisten Menschen bewusst sein dürfte.

Wie finden wir also heraus, welche Software ein Unternehmen einsetzt? Wir suchen nach dem Unternehmensnamen und erhalten eine umfangreiche Liste mit Profilen. Hier ist auf den ersten Blick ersichtlich, welche Aufgabe der Mitarbeiter/die Mitarbeiterin im Unternehmen hat. Daraufhin filtern wir die Ergebnisse nach IT-Mitarbeitenden und Applikationsverantwortlichen. Aus diesen Profilen lässt sich dann meist sehr gut ableiten, welche Software eingesetzt wird. Die Mitarbeitenden werben in der Regel mit ihren Kenntnissen und Zertifizierungen in der eingesetzten Software bzw. Hardware. So können wir uns bereits ein erstes Bild machen. Dieses Wissen lässt sich z. B. für Phishing-Kampagnen sehr gut nutzen. Eine Phishing-E-Mail an die Belegschaft könnte dann die Aufforderung enthalten: "Die Software XY wird abgeschafft und durch die neue Software XYZ ersetzt. Bitte testen Sie den Zugang mit folgender URL ...". Die Nachricht hätte aufgrund der aus dem Arbeitsalltag bekannten Software große Plausibilität, und der Klick auf den Link wird so sehr wahrscheinlich.

"Mein erster Tag als Marcel Sommer": Der Mitarbeitendenausweis als Eintrittsticket für Angreifende

Der freizügige Umgang mit Mitarbeitendenausweisen in beruflichen Netzwerken ist ein weiteres Geschenk für Angreifende. "Mein erster Tag bei XY" oder "Nach 10 Jahren bei XY ist heute mein letzter Tag" sind oft Anlässe, den Mitarbeitendenausweis stolz in Form eines Fotos zu posten. Dabei wird häufig unterschätzt, was ein Angreifer allein mit dem Wissen über die Optik eines Ausweises anstellen kann.

Was wird im Rahmen eines Red Team bzw. Physical Assessments mit diesem Wissen gemacht? Wir erstellen einfach einen Ausweis, der optisch identisch aussieht, und setzen ein Bild von einem unserer Mitarbeitenden ein. Wenn wir in das Gebäude eindringen, tragen wir sehr gut sichtbar den Ausweis. Bei manchen Unternehmen gibt es keine Vereinzelungsanlagen, dort ist alles Weitere dann ein Kinderspiel. Sind physische Schutzmaßnahmen getroffen, muss man ein wenig kreativer sein. Zum Beispiel könnte man simulieren, der Ausweis falle zu Boden, um beim Aufheben dann unter dem Drehkreuz 'durchtauchen'. Ist man aber erst einmal im Gebäude, werden fremde Personen mit der passenden Kleidung und einem optisch korrekt aussehenden Ausweis in der Regel nicht mehr angesprochen. So können wir uns frei im Gebäude bewegen und uns sogar als neuer Kollege/neue Kollegin aus der IT-Abteilung vorstellen, der mal kurz an den Computer muss. 

Zusammenfassend können wir also sagen: Die Informationen, die wir in beruflichen Netzwerken wie LinkedIn oder Xing finden, erlauben es uns – und damit auch echten Angreifenden – in der Regel nicht, direkt einen erfolgreichen Angriff durchzuführen. Aber es sind wichtige Puzzleteile, die einen Angriff einfacher machen und die Erfolgschancen steigern. Daher sollten sie keinesfalls unterschätzt werden.

Unternehmenssicherheit steigern heißt: Bewusstsein steigern

Das Problem zu lösen ist sehr schwer. Das Posten von Mitarbeitendenausweisen kann per Unternehmensrichtlinie verboten werden. Das Preisgeben der Fähigkeiten in Programmen etc. ist für Arbeitgeber nicht regulierbar. Hier helfen nur Awareness-Schulungen, die mögliche Konsequenzen eines solchen Verhaltens plastisch aufzeigen und so das Bewusstsein für Fragen der Unternehmenssicherheit erhöhen.