Was bisher geschah
In den vergangenen Tagen wurden mehrere Hacks mit gigantischen Datenlecks bei großen sozialen Netzwerken bekannt. Bei Facebook sollen über 533 Mio. Datensätze von Facebook-Nutzern frei verfügbar in Hacker-Foren veröffentlicht worden sein. Darunter auch Daten wie E-Mail-Adresse, Geburtstag, Geschlecht, Arbeitgeber, geografischer Standort, Name, Telefonnummer und Beziehungsstatus. Dass es sich hier um eine meldepflichtige Datenpanne gem. Art. 33 DS-GVO handeln wird, ist unbestritten. Ebenfalls wurden beim Business-Netzwerk LinkedIn über 500 Mio. Datensätze zu Namen, E-Mail-Adressen, Telefonnummern, Arbeitgeber, Geschlecht und Links zu anderen Social-Media-Konten abgegriffen und im Internet angeboten. Auch bei dem noch recht jungen Dienst Clubhouse wurden Daten abgezogen. Dabei handelt es sich zwar „nur“ um 1,3 Mio. Datensätze, was jedoch etwa 21 % der gesamten Nutzer entspricht. Hier waren wohl Daten wie der Name, die URL zum eigenen Foto, andere Social Media Accounts sowie der Profilname des einladenden Nutzers enthalten.
Wie so oft gibt es auch in diesen Fällen zumindest bei Facebook und Clubhouse keine verlässlichen Informationen, wie es zu der Datenpanne kommen konnte. Bei LinkedIn wird sehr stark vermutet, dass über diverse Schnittstellen die Daten illegal ausgelesen wurden.
Welche Risiken entstehen dadurch für mich?
Durch diese sehr großen und im Internet verfügbaren Datenmengen zu sehr vielen Nutzeraccounts und deren Beziehungen zu anderen Accounts bzw. Profilen und erweiterten Informationen, lassen sich diese Daten hervorragend nutzen, um automatisierte Angriffe auf Nutzer in Form von Phishing-Mails und andern Social Engineering Attacken zu starten.
Dabei sind auch gerade die Telefonnummern aus dem Facebook und LinkedIn-Hack spannend, denn darüber werden derzeit auch schon Reihenweise Personen per WhatsApp oder SMS kontaktiert. Teilweise mit der Bitte zur Kontaktherstellung, dem Anklicken von Links für Versandbestätigungen, etc. Alle Angriffsversuche haben nur ein Ziel: eine Reaktion provozieren. Das kann von der Eingabe von eigenen Zugangsdaten auf gefälschten Webseiten bis zur Preisgabe weiterer persönlicher Informationen gehen, die dann für weitere Angriffe genutzt werden könnten.
Vielleicht erhalten Sie auch Nachrichten, Mails oder private Messages von Ihren „angeblichen“ Kontakten, welche Sie selbst nicht vom echten Account unterscheiden können. Wer weiß schon, ob der Account Eva M nun wirklich die alte Schulfreundin Eva Meier war oder eben ein „netter Hacker“.
Was sollte man nun machen bzw. besser nicht machen?
Zunächst sollte wie in solchen Fällen üblich einmal geprüft werden, ob man selbst davon betroffen ist. Wer also keinen Account auf den betroffenen Plattformen hat – ist zumindest in diesem Moment – wohl nicht betroffen. Weiterhin bieten verschiedene Internetseiten die Möglichkeit einer Prüfung, ob die eigene Mailadresse in öffentlich verfügbaren Datenbanken aus solchen Hacks enthalten ist. Seit neustem werden auch Telefonnummern dort referenziert und können geprüft werden. Eine der wohl bekanntesten Plattformen hierfür ist: https://haveibeenpwned.com/ dort sind Daten von mittlerweile über 11 Mrd. Accounts registriert, welche in 521 Datenpannen enthalten waren. Die Frage ist bei solchen Diensten aber natürlich auch – wenn ich nicht betroffen war, ist zumindest meine E-Mail-Adresse nun einem Dritten als „verifiziert“ bekannt. Doch dieses Risiko kann man vermutlich eingehen. Denn mit jedem Mailversand wir die eigene Mailadresse anderen bekannt gemacht.
Wer betroffen ist oder auf Nummer sicher gehen möchte, der sollte natürlich einmal die Zugangsdaten ändern (sicher ist sicher) und gleich nochmal die Basisregel des Internets prüfen: habe ich für jeden Dienst ein eigenes Passwort verwendet, was nicht leicht zu erraten ist? Mehr Informationen, auch zum Einsatz von Passwortmanagern finden Sie hier: https://www.audatis.de/aktuell/passwortmanager/
Außerdem lohnt sich dieser Vorfall noch einmal darüber nachzudenken, ob man neben dem üblichen Benutzername + Passwort als Zugangsmechanismus, nicht noch einen zweiten Faktor (2-Faktor-Authentifizierung) wie eine Authenticator-App nutzen möchte. Dann kann man sich auf den Webseiten nur noch einloggen, wenn auch der Code von der eigenen Smartphone-App zu Benutzernamen und Passwort passt. Dies ist zwar etwas unkomfortabler, erhöht die Sicherheit aber ungemein.
Gerade durch den Hack bei LinkedIn sind vermutlich die Daten von Millionen Arbeitnehmern im Homeoffice von besonderem Interesse für Angreifer, die sich dadurch deutlich einfach den Mitarbeitern für einen Social Engineering Angriff „nähern“ können. Denn häufig reicht der Versand von Mails mit bekannten Absendern aus, um doch einen Link anzuklicken und eine schädliche Aktion auszuführen.
Aus eigener Erfahrung kann ich berichten, dass auch bei uns im Unternehmen regelmäßig Mails bei Mitarbeitern eintreffen die in etwa lauten: „Hallo Mitarbeiter-X, ich bin gerade in einem Meeting und benötigte dringend folgende Datei. Bitte einmal von Sharepoint herunterladen sowie dies und das machen. Dein Chef!“. Wenn nun Absender und Inhalt gut zusammenpassen, ist der Phishing-Angriff schon fast gewonnen. Glücklicherweise sind die meisten dieser Mails noch schlecht ausformuliert, so dass man nicht darauf reinfällt. Aber auch hierbei gibt es eine stete Optimierung.
Was mache ich als Unternehmen?
Sie sollten definitiv die Sensibilisierung Ihrer Mitarbeiter in den Fokus rücken. Das kann durch die Durchführung von sog. Phishing-Kampagnen erfolgen, bei der genau solche Mails verschickt werden und die Mitarbeiter gleich einer „Schulungsmaßnahme“ unterzogen werden, wenn Sie auf die gefakten Seiten klicken oder sogar sensible Daten preisgeben. Solche Kampagnen bieten wir mittlerweile in verschiedenen Kategorien an (von der breiten Einstiegskampagne bis zum gezielten Angriff auf besonders wichtige Mitarbeiter). Außerdem sollte man den Mitarbeitern die technischen Möglichkeiten anbieten, um sichere Passwörter erzeugen und verwalten zu können. Wer eigene Systeme betreibt oder im Web sensible Daten verarbeiten lässt, sollte die oben genannten 2FA-Mechanismen aktivieren, um die Software noch sicherer zu machen.
Gerne stehen wir Ihnen mit unseren Cybersecurity-Experten auch hierbei mit Rat und Tat zur Verfügung.