[datensicherheit.de, 26.08.2025] Nach aktuellen Erkenntnissen des Branchenverbands Bitkom e.V. gilt „facebook“ momentan als die meistgenutzte Social-Media-Plattform von Unternehmen in Deutschland: „48 Prozent sind dort mit einem eigenen Profil vertreten.“ Praktisch gleichauf liege das Unternehmensnetzwerk „XING“, wo 47 Prozent ein Profil hätten sowie „YouTube“ (43%) und „LinkedIn“ (36%) – 35 Prozent der Unternehmen nutzten inzwischen „Instagram“. Grundlage dieser Angaben ist demnach eine Umfrage, die Bitkom Research im Auftrag durchgeführt hat. „Dabei wurden 602 Unternehmen ab 20 Beschäftigten in Deutschland telefonisch befragt. Die Befragung fand im Zeitraum von KW 10 bis KW 16 2025 statt. Die Umfrage ist repräsentativ.“

Foto: Bitkom e.V.

Dr. Bernhard Rohleder warnt: Verwaiste Social-Media-Auftritte schaden dem Image mehr als sie nutzen!

Für Unternehmen ist eine Social-Media-Präsenz heute geradezu zwingend

Insgesamt gäben 80 Prozent der befragten Unternehmen an, über mindestens ein Profil in einem Sozialen Netzwerk zu verfügen – damit verbleibe dieser Anteil auf einem stabil hohen Niveau (2023: 77%).

• „Für Unternehmen ist eine Präsenz in Sozialen Medien geradezu zwingend. Dort erreichen sie ihre Kundinnen und Kunden, neue Mitarbeiterinnen und Mitarbeiter und Geschäftspartner. Entscheidend ist, dass die Profile auch kontinuierlich gepflegt werden – verwaiste Social-Media-Auftritte schaden dem Image mehr als sie nutzen“, kommentiert der Bitkom-Hauptgeschäftsführer, Dr. Bernhard Rohleder.

Eine große Rolle spielten für Unternehmen auch lokale „Communities“ und Plattformen wie beispielsweise „nebenan.de“ – 30 Prozent seien dort vertreten. 27 Prozent hätten ein Profil bei Elon Musks Plattform „X“, vormals „twitter“ – ein Rückgang um fünf Prozentpunkte gegenüber 2023. 22 Prozent der Unternehmen gäben an, über ein Profil bei „TikTok“ zu verfügen.

85% wollen via Social-Media-Präsenz Bekanntheit des eigenen Unternehmens steigern

Der Grund, warum Unternehmen Soziale Medien nutzen: „85 Prozent wollen die Bekanntheit des eigenen Unternehmens steigern und 81 Prozent die Bekanntheit ihrer Marken oder Produkte.“

• Etwas weniger als drei Viertel (72%) gehe es um eine Verbesserung ihres Images und fast ebenso vielen (70%) um einen guten Kundenservice. Auch das Thema „Recruiting“ spiele eine große Rolle: „62 Prozent nutzen Soziale Medien, um potenzielle Mitarbeiterinnen und Mitarbeiter auf sich aufmerksam zu machen.“

37 Prozent der Unternehmen beobachteten über die Netzwerke ihre Wettbewerber und gut ein Drittel (34%) nutze solche Web- Plattformen auch zur besseren internen Kommunikation. „Kein einziges Unternehmen nutzt Soziale Netzwerke planlos ohne konkrete Ziele (0%).“

Weitere Informationen zum Thema:

bitkom
Über uns

bikokm
Dr. Bernhard Rohleder / Hauptgeschäftsführer Bitkom e.V.

datensicherheit.de, 23.12.2021
Social Media eines der Hauptziele von Hackern / Social Media-Plattformen wachsen ununterbrochen

datensicherheit.de, 19.10.2021
Check Point: Warnung vor Social Media als Phishing-Falle / Q3 Brand Phishing Report von Check Point veröffentlicht

datensicherheit.de, 08.07.2019
Social Media: Einfallstor für Cyber-Kriminelle / Für Unternehmen ein ernstzunehmendes Risiko, warnt Markus Kahmen

Von unserer Gastautorin Julia Strykova, Streaming Media & Social Projects Manager, Infingate

[datensicherheit.de, 19.12.2023] Täuschend echte Paketzustellungsnachrichten oder dringende E-Mails inklusive Handlungsaufforderung im Namen der Bank – die Betrugsversuche über den E-Mail-Kanal werden immer raffinierter und machen es dem „Otto-Normal-Verbraucher“ immer schwerer, legitime Kommunikation von Phishing-Attacken zu unterscheiden. Doch auch auf Instagram, Linkedin, Facebook und Co. lassen Cyberkriminelle nichts unversucht, um persönliche Daten abzufangen oder die Kontrolle über die Social-Media-Konten ihrer potenziellen Opfer zu erlangen.

Julia Strykova, Streaming Media & Social Projects Manager, Infingate, Bild: Infinigate

Social Media gewinnt an Bedeutung zur Kundengwinnung

Als Marketing-Plattform, Kundengewinnungstools oder Informationskanal gewinnen Plattformen wie Instagram oder Linkedin zunehmend an Bedeutung. Umso attraktiver sind sie daher auch für Betrüger, die in vielen Fällen ihre Netze über Phishing auswerfen. Dabei gehen sie immer perfider vor, wie ein Beispiel der Lazarus-Gruppe aus dem vergangenen Jahr eindrucksvoll zeigte. Die Hacker gaben sich bei dem Angriff auf ein spanisches Luft- und Raumfahrtunternehmen als Recruiter des Facebook-Mutterkonzerns Meta aus und versprachen eine prestigeträchtige Anstellung, insofern die Aspiranten sich bereit erklärten, zwei Coding Challenges auszuführen. Allerdings wussten die angesprochenen Mitarbeiter nicht, dass sie sich bei dieser Aufgabe, die sich als recht simpel herausstellte, Schadprogramme herunterluden.

Doch es geht auch trivialer: Da das Gros der Nutzer in den sozialen Medien meist weniger Misstrauen an den Tag legt, haben die Cyberkriminellen bereits mit gefälschten Online-Rabatten erfolgt. Über augenscheinlich echte Aktionen kostspieliger Marken, die zur Teilnahme die Eingabe persönlicher Informationen erfordern, sammeln sie dann schnell und einfach Nutzerdaten.

Prinzipiell können Phishing-Angriffe diverse Formen annehmen:

Da wäre zum einen der Chat: Treten Nutzer über die Plattform in privaten Austausch mit anderen, könnten Hacker die Gelegenheit ergreifen, sich einzuschalten, um an sensible Daten zu gelangen, indem sie etwa eindringlich bitten, einer Aufforderung ihrerseits zu folgen, etwa Informationen preiszugeben oder einem Link zu folgen.

Ein Phishing-Angriff könnte aber auch ein Post sein, der von einem Hacker oder einem Bot veröffentlicht wird und in dem ein dem Nutzer bekanntes Unternehmen erwähnt wird, das auf eine Pressemitteilung oder andere aktuelle Informationen verweist. Gefälschte Malware holen sich viele Nutzer bereits dann auf ihre Rechner, wenn sie gefälschte Kommentare zu beliebten Beiträgen mit Links zu aufmerksamkeitsstarken Schlagzeilen lesen. Eine häufige Falle ist die Umleitung von einem offiziellen Beitrag zu einem Webinar oder einer Streaming-Veranstaltung mit einer Aufforderung zum Handeln wie „Wir sind jetzt live. Schnell teilnehmen“. Sobald sie diesen anklicken, gelangen sie auf eine Phishing-Webseite oder laden sich direkt die Schadsoftware herunter. Auch mit gefälschten Kundendienstkonten haben Hacker nach wie vor Erfolg.

Schutz vor Phishing-Attacken

Um sich vor Phishing-Attacken in den sozialen Medien adäquat zu schützen, sollten sowohl technische Maßnahmen ergriffen als auch Aufklärungsarbeit betrieben werden. Im Hinblick auf die steigende Anzahl gefälschter Konten gilt es, Vorsicht walten zu lassen, bevor Freundschaftsanfragen vermeintlich beruflicher Kontakte angenommen werden. Augenscheinlich legitime Aufforderungen, die die Aktualisierung persönlicher Daten enthalten, gilt es unbedingt zu überprüfen – im Normal verlangen seriöse Social-Media-Plattformen von ihren Nutzern nicht auf diesem Wege, sensible Informationen preiszugeben. Hier hilft auch ein Blick auf die Support-Seiten. Verdächtige Beiträge, Kommentare oder Links müssen Nutzer an die Betreiber der Plattform bzw. an ihre eigene IT-Abteilung melden. Das Aktivieren der Zwei-Faktor-Authentifizierung, die Installation einer Antiviren-Software und die Verwendung starker Passwörter sowie deren regelmäßiger Wechsel (alphanumerisch, mit Sonderzeichen und mehr als acht Zeichen lang) schützt außerdem vor Phishing und anderen Bedrohungen und kann dazu beitragen, dass unbefugte Dritte keinen Zugang erhalten. Unternehmen, die mit ihren Kunden und Partnern über Social-Media-Kanäle kommunizieren wollen, sollten die Redakteursberechtigung für ihre Firmenkonten auf Social-Media-Plattformen auf so wenige Personen wie möglich beschränken, um das Sicherheitsrisiko möglichst zu minimieren.

Weitere Informationen zum Thema:

datensicherheit.de, 19.10.2021
Check Point: Warnung vor Social Media als Phishing-Falle

[datensicherheit.de, 30.10.2023] Der Verbraucherzentrale-Bundesverband (vzbv) meldet, dass das Landgericht Berlin der vzbv-Klage gegen die LinkedIn Ireland Unlimited Company „weitgehend“ stattgegeben habe. Der aktuellen vzbv-Stellungnahme zufolge teilt das Soziale Netzwerk „LinkedIn“ Nutzern auf der Website mit, dass auf im Browser eingestellte „Do-Not-Track“-Signale derzeit nicht reagiert werde. Wenn Verbraucher die „Do-Not-Track“-Funktion ihres Browsers aktivieren, sei dies eine klare Botschaft – Rosemarie Rodden, Rechtsreferentin beim vzbv, betont: „Sie wollen nicht, dass ihr Surfverhalten für Werbe- und andere Zwecke ausgespäht wird.“ Betreiber von Websites müssten dieses Signal respektieren. Einen weiteren Antrag in diesem Zusammenhang habe das Gericht aus prozessualen Gründen abgelehnt. Ferner sei die Voreinstellung zur Sichtbarkeit der Mitgliederprofile auf Partnerseiten des Unternehmens unzulässig. „In einem Teilurteil hatte das LG Berlin zuvor bereits den ungebetenen Versand von E-Mails an Nichtmitglieder verboten.“

LinkedIn hatte Widerspruch gegen Tracking ignoriert

Internetsurfer könnten über ihren Browser einstellen, dass besuchte Webseiten ein „Do-Not-Track“-Signal (DNT-Signal) erhalten. Dieses übermittele ihren Wunsch, dass Online-Aktivitäten nicht nachverfolgt und ausgewertet werden sollten. „LinkedIn“ habe indes auf seiner Internetpräsenz mitgeteilt, dass es auf solche DNT-Signale nicht reagiere. Somit könnten auch gegen den Willen der Nutzer personenbezogene Daten wie die IP-Adresse und Informationen über die Nutzung der Webseite etwa für Analyse- und Marketingzwecke ausgewertet werden, auch von Drittanbietern.

Das Landgericht Berlin habe sich der Auffassung des vzbv angeschlossen, dass die Mitteilung des Unternehmens irreführend gewesen sei. Diese suggeriere, dass die Benutzung des DNT-Signals rechtlich irrelevant sei und die Beklagte ein solches Signal nicht zu beachten brauche. Das treffe nicht zu. Das Widerspruchsrecht gegen die Verarbeitung persönlicher Daten könne nach der Datenschutzgrundverordnung (DSGVO) auch per automatisierten Verfahren ausgeübt werden – ein DNT-Signal stelle hierbei einen wirksamen Widerspruch dar.

LinkedIn veröffentlichte Profile ohne erforderliche Einwilligung

In allen weiteren Punkten sei die vzbv-Klage ohne Einschränkung erfolgreich gewesen. So habe das Gericht „LinkedIn“ untersagt, bei der erstmaligen Anmeldung die Funktion „Sichtbarkeit des Profils“ zu aktivieren. Durch diese Voreinstellung sei das persönliche „LinkedIn“-Profil ohne Zustimmung auch für Nicht-Mitglieder sowie außerhalb des Netzwerkes – etwa auf Suchmaschinen – öffentlich sichtbar.

Die Richter hätten klargestellt, dass ein von vornherein aktivierter Schalter nicht die Anforderungen an eine wirksame Einwilligung in die Veröffentlichung personenbezogener Daten erfülle. „Nutzerprofile dürfen nicht automatisch öffentlich einsehbar sein, wenn sie angelegt werden“, unterstreicht Rodden.

LinkedIn wurde bereits 2022 der ungebetene E-Mail-Versand verboten

Einem Teil der Klage hatte das LG Berlin demnach bereits im vergangenen Jahr, 2022, stattgegeben. So sei es „LinkedIn“ inzwischen verboten, E-Mail-Einladungen an Verbraucher zu versenden, „die nicht Mitglied des Netzwerks sind und die der Verwendung ihrer E-Mail-Adresse nicht zugestimmt haben“.

Außerdem habe das Gericht in einem weiteren Teil-Anerkenntnisurteil die Verwendung mehrerer Bestimmungen in den Geschäftsbedingungen des Unternehmens untersagt – „darunter Klauseln, nach denen nur die englische Vertragsfassung verbindlich sein soll und ein Rechtsstreit nur im irischen Dublin ausgetragen werden darf“.

Weitere Informationen zum Thema:

verbraucherzentrale Bundesverband, 31.08.2023
Teil- und Schlussurteil

[datensicherheit.de, 06.07.2023] „Fast jeder, der sich auf der Suche nach einer neuen Stelle befindet, kennt wohl diese Situation: Man wird auf ,LinkedIn’ von einem Headhunter angeschrieben und das Stellenangebot klingt interessant“, so Richard Werner, „Business Consultant“ bei Trend Micro, einleitend in seiner aktuellen Stellungnahme. Er führt weiter aus: „So ist man schnell verleitet, ohne größere Überlegung den Lebenslauf dem vermeintlichen Headhunter zuzusenden.“ Immerhin sei ja bei der Jobsuche Schnelligkeit geboten. Werner warnt: „Doch Vorsicht!“ Der japanische Cyber-Sicherheitsanbieter Trend Micro habe das Business-Netzwerk untersucht und in seiner neuen Studie festgestellt, dass gefälschte Profile, welche versuchten, Daten zu stehlen, mittlerweile immer gehäufter aufträten.

Foto: Trend Micro

Richard Werner empfiehlt Unternehmen und Nutzern zu kooperieren und standardmäßig Best Practices anzuwenden

Laut Trend Micro liegt es am Einzelnen, eigene Daten vor unbefugtem Zugriff zu bewahren

Gefälschte Profile, die nach Daten unbedarfter Nutzer fischten, werden demnach bei „LinkedIn“ zu einer immer größeren Bedrohung. Werner berichtet: „So zielte beispielsweise die nordkoreanische ,Advanced Persistent Threat’ (APT)-Gruppe ,Lazarus’ im September 2022 auf ,macOS’-Nutzer, die nach Jobs in der Krypto-Währungsbranche suchten.“ Die dabei gesammelten Daten seien von den Angreifer an andere Cyber-Kriminelle verkauft worden.

Zwar habe das Soziale Netzwerk daraufhin neue Sicherheitsfunktionen hinzugefügt, dennoch sei es für „LinkedIn“ aufgrund der Komplexität der Plattform nach wie vor schwierig, jeden Nutzer ausreichend vor Bedrohungen zu schützen. „Es liegt also am Einzelnen, die eigenen Daten vor unbefugtem Zugriff zu bewahren“, betont Werner.

Trend Micro rät Nutzern, was sie gegen Datendiebstahl tun könne:

1. Regel: „Vermeiden Sie es unter allen Umständen, sensible Daten oder personenbezogene Daten wie E-Mails, Telefonnummern oder Adressen für alle öffentlich einsehbar zu posten – etwa über die Zusammenfassung des Benutzerprofils.“ Zudem sei es ratsam, die Sichtbarkeit anzupassen, bevor Beiträge geteilt werden: „Klären Sie vorab, welche Beiträge von ,Followern’, Verbindungen und Nicht-Verbindungen gesehen werden sollten.“

2. Regel: „Eine weitere Pflicht für Nutzer ist es, sich genau über die Social-Media-Richtlinien ihres Arbeitgebers zu informieren und welche Konsequenzen etwaige Verstöße haben.“ Zu solchen Richtlinien gehörten etwa Maßnahmen zur Einhaltung von Gesetzen und „Compliance“-Regelungen, sowie die aktuellen Pläne für den Schutz der Privatsphäre und das Management von Sicherheitszwischenfällen.

3. Regel: „Weiterhin sollten Nutzer nur solche Informationen weitergeben, mit deren Veröffentlichung im Internet sie auch tatsächlich einverstanden sind.“ Um dies sicherzustellen, könnten Nutzer die Benutzerprofile und Datenschutzeinstellungen jederzeit anpassen, um die Menge der öffentlich zugänglichen Informationen zu begrenzen.

Trend Micro erläutert Pflichten der Unternehmen:

1. Pflicht: „Auch Unternehmen stehen in der Verpflichtung, die Daten ihrer Angestellten zu schützen.“ Ratsam sei es zuallererst, klare Richtlinien für den Auftritt in Sozialen Medien zu entwickeln und zu implementieren. Zudem sollte festgelegt werden, welche Unternehmensinformationen und/oder -daten öffentlich gepostet werden dürfen. Diese Richtlinien könnten je nach Stellung variieren, „da die Mitarbeiter Informationen mit unterschiedlicher Wichtigkeit und Sensibilität für das Unternehmen bearbeiten“. Höhere Stellungen im Unternehmen erforderten restriktivere Richtlinien aufgrund des weitreichenderen Zugriffs auf Informationen. Die zu implementierenden Richtlinien müssten dabei klar regeln, welche Grenzen, Datenklassifizierungen und rechtliche Anforderungen es jeweils für die Betroffenen gibt.

2. Pflicht: „Weiterhin ist es wichtig, regelmäßig Szenarien für Konten-, Profil-, ,Compliance’-, Verifizierungs- und Vorfallsmanagement zu wiederholen, damit Mitarbeiter wissen, was im Notfall zu tun ist.“ Werner rät, eine Kontaktperson festzulegen, an welche sich die Mitarbeiter wenden können, wenn sie gefälschte Konten finden, „die sich als legitime Mitarbeiter oder Unternehmensrollen ausgeben“.

3. Pflicht: „Zudem sollte die Multifaktor-Authentifizierung (MFA) für alle geschäftlichen und privaten Konten als Standard eingesetzt werden.“ Eine gute Passwort-Verwaltungssoftware helfe ebenfalls, um Datendiebstahl vorzubeugen. Dabei sei es natürlich wichtig, niemals dasselbe Passwort für unterschiedliche Kanäle und Anwendungen zu benutzen.

„Wenn Unternehmen und User zusammenarbeiten und sich an die standardmäßigen ,Best Practices‘ halten, um den eigenen Datenschutz zu garantieren, dann angeln Cyber-Kriminelle nur ins Leere“, so Werner zum Abschluss. So könnten die Angestellten ihre Zeit auf „LinkedIn“ tatsächlich produktiv nutzen, ohne befürchten zu müssen, dass morgen private oder Unternehmensdaten im sogenannten Darknet verkauft werden.

Weitere Informationen zum Thema:

TREND MICRO, Veronica Chierzi & Mayra Rosario Fuentes, 28.03.2023
A Growing Goldmine: Your LinkedIn Data Abused For Cybercrime

[datensicherheit.de, 01.07.2021] Offenbar hat ein Datenleck der Social-Media-Webplattform „Linkedin“ größere Ausmaße angenommen, als bislang vermutet. Check Point hat sich nach eigenen Angaben diesen Vorfall kurz angesehen und vermutet demnach stark – basierend auf der Erfahrung aus der Nachforschung zur App „TikTok“ – eine oft übersehene Tatsache dahinter: „Mangelhafte API-Sicherheit.“

Foto: Check Point

Oded Vanunu: Sieht so aus, als ob Hacker Daten über Linkedin-API erhielten

Bisher noch unbekannt, ob Linkedin-Daten von dem 2016 entstandenen Datenleck oder einem aktuellen Angriff stammen

Bereits im April 2021 sei über ein Datenleck bei „Linkedin“ berichtet worden, wobei die Informationen von 500 Millionen Mitgliedern zum Verkauf angeboten worden sein sollen. „Nun muss diese Zahl korrigiert werden: Nach Medienberichten sind in einem Hacker-Forum die Datensätze von 700 Millionen der ,Linkedin‘-Nutzer aufgetaucht – die Plattform zählt derzeit rund 756 Millionen Teilnehmer“, erläutert Oded Vanunu, „Head of Products Vulnerability“ bei der Check Point Software Technologies GmbH.
Unter den gestohlenen Einzelheiten über die Menschen befänden sich deren Namen, E-Mail-Adressen, Telefonnummern und Anschriften. „Kreditkarten-Daten sollen jedoch nicht dabei sein.“ Ob die Daten aus dem 2016 entstandenen Datenleck stammen oder aus einem erneuten Angriff, sei indes derzeit unbekannt.

Linkedin-Fall erinnert an TikTok

Vanunu führt aus: „Wir können jedoch sagen: Dieser Fall ähnelt unserer Nachforschung zur beliebten Handy-App ,TikTok‘. Dort waren wir in der Lage gewesen, die ,TikTok‘-API, also Schnittstelle, auszulesen und eine Datenbank mit Informationen über die Benutzer aufzubauen.“ Bezüglich „Linkedin“ sehe es so aus, „dass die Hacker jene Daten ebenfalls über die ,Linkedin‘-API erhalten haben, die sie also möglicherweise knackten“.
Beide Zwischenfälle untermauerten, dass API-Sicherheit sehr wichtig sei und ernstgenommen werden sollte, „während Unternehmer ihre Anwendung und IT-Infrastruktur einrichten“. Über Clouds laufende Anwendungen würden hauptsächlich mit einer sogenannten Kernanwendungslogik aufgebaut. „Dies heißt, dass sie mit vielen APIs verbunden ist, welche die Daten der Anwendung liefern. Wenn nun die APIs ungesichert bleiben, sind sie dem Risiko einer Attacke ausgesetzt, insbesondere dann, wenn es sich um API-Code-Schwachstellen handelt oder unbegrenzte API-Aufrufe durchgeführt werden“, so Vanunu. So etwas könne zu einem großen Datenleck führen, wie Check Point es bezüglich „TikTok“ berichtet habe und in diesem „Linkedin“-Fall erneut sehe.

Weitere Informationen zum Thema:

FAZ.NET, 30.06.2021
Leck bei sozialem Netzwerk? : Hacker bieten Daten zu 700 Millionen Linkedin-Nutzern an

RESTORE PRIVACY, Sven Taylor, 27.06.2021
New LinkedIn Data Leak Leaves 700 Million Users Exposed

datensicherheit.de, 28.04.2021
LinkedIn: Malware-Verbreitung über falsche Jobangebote / Cyber-Krimielle nutzen LinkedIn derzeit vermehrt für Phishing-Kampagnen

[datensicherheit.de, 28.04.2021] Vor Kurzem hätten Hacker nicht nur die Daten von 500 Millionen „LinkedIn“-Nutzern gestohlen und zum Verkauf angeboten, sondern Cyber-Krimielle nutzten „LinkedIn“ derzeit auch vermehrt für Phishing-Kampagnen: „Dabei werden ahnungslose Jobsuchende dazu verleitet, auf ein Jobangebot zu klicken, welches sie per ,LinkedIn‘ gesendet bekommen und das denselben Titel trägt wie ihre aktuelle Position.“ Die Nutzer erhielten in Wirklichkeit jedoch kein Jobangebot, sondern installierten unwissend Malware auf ihren Geräten. Einmal heruntergeladen, könne diese Schadsoftware mit dem Namen „more eggs“ dem Angreifer Zugang zum System des Opfers verschaffen und weitere Malware herunterladen, wie beispielsweise Banking-Trojaner, Ransomware oder Spyware.

Foto: Avast

Luis Corrons: Warnung vor getarntem Phishing via LinkedIn

Seriöse Netzwerke wie LinkedIn von Cyber-Kriminellen missbraucht

„Cyber-Kriminelle nutzen zunehmen gefälschte Jobangebote über seriöse Netzwerke wie ,LinkedIn‘, um ihre Malware zu verbreiten. Wir raten Nutzern daher, keine Kontaktanfragen von Personen anzunehmen, die sie nicht kennen“, rät Luis Corrons, „Security Evangelist“. Dies gelte besonders, „wenn sich die Personen in ihrer Anfrage nicht vorstellen und keine Informationen darüber geben, warum sie eine Verbindung herstellen möchten“. Darüber hinaus sollten Nutzer bei Anfragen von Recruitern vorsichtig sein. „Hier empfiehlt es sich zunächst nach mehr Details über die Position zu fragen, um herauszufinden, ob es sich um ein seriöses Angebot handelt.“

Tipps zur Vorsicht – nicht nur bei LinkedIn

Corrons ergänzt: „Anwender sollten stets nach Hintergrund-Informationen über das Unternehmen fragen, damit Sie eigene Nachforschungen anstellen können, bevor sie weitere Schritte unternehmen.“ Zudem sollten Dateianhänge, die von einem unbekannten Kontakt kommen, auf keinen Fall einfach geöffnet werden. „Und auch bei Dateien, die Nutzer von einem bekannten Kontakt erhalten, sollte zunächst bei diesem nachgefragt werden, ob er tatsächlich der Absender der Datei ist.“ Eine zuverlässige Antiviren-Software biete zudem Schutz, falls ein Anwender versehentlich doch auf einen bösartigen Link oder eine Datei klickt.

[datensicherheit.de, 27.04.2021] „Facebook, LinkedIn und Clubhouse bestätigten im April 2021, dass Informationen ihrer Nutzer ins Internet gelangt sind“ – die Gesamtzahl der Nutzerinformationen für alle drei Web-Plattformen betrage über eine Milliarde, meldet Avast. Jedoch fühle sich keiner der drei Unternehmen in der Verantwortung, da das Abgreifen und Verwenden der Daten nicht auf eine direkte Hacker-Aktion zurückzuführen sei – und leider hätten sie damit nicht ganz unrecht.

Scraping: Sammlung bereits öffentlich im Netz verfügbarer Informationen

Die Methode, durch welche die Daten gesammelt und im Internet verbreitet wurden, nennt sich demnach „Scraping“. Dabei würden Informationen von Nutzern gesammelt, welche bereits öffentlich im Netz verfügbar sind. Dies sei auch der entscheidende Punkt auf den sich Facebook, LinkedIn und Clubhouse beriefen. Öffentliche Informationen könnten theoretisch nicht gehackt und daher von Unternehmen auch nicht geschützt werden.

Aktueller Blog-Beitrag von Christopher Budd zum Thema Scraping online

In seinem aktuellen Blog-Beitrag hierzu erklärt Christopher Budd, „Global Senior Threat Communications Manager“ bei Avast, wie Scraping funktioniert, wie es sich von Hacking unterscheidet und was Nutzer tun können, um sich davor zu schützen. Er betont, dass Nutzer selbst Maßnahmen ergreifen müssten, wenn sie ihre Informationen vor Scraping schützen möchten:

Christopher Budds zentrale Tipps zur Abwehr von Scraping

• Seien Sie sich bewusst, dass veröffentlichte Informationen im Netz nicht mehr unter Ihrer Kontrolle sind. Das heißt, sie können gesammelt, kopiert und auf unerwartet Art und Weise verteilt werden!
• Im Internet sollten grundsätzlich keine Informationen öffentlich geteilt werden, deren breite Veröffentlichung Sie nicht wünschen!
• Nur Sie selbst können Ihre Daten schützen, denn einmal abgegriffen, können sie nicht mehr zurückgeholt werden!

Weitere Informationen zum Thema:

datensicherheit.de, 04.02.2021
Smart-Home-Geräte: Avast rät zu mehr Sicherheit in 7 Schritten

avast blog, Christopher Budd, 27.04.2021
Understanding scraping in the Facebook, LinkedIn, and Clubhouse data leaks

[datensicherheit.de, 24.07.2019] Laut einer aktuellen KnowBe4-Studie konnte nachgewiesen werden, dass gefälschte LinkedIn-Mails für die Hälfte der Phishing-Vorfälle im Umfeld Sozialer Netzwerke verantwortlich sind. KnowBe4 hat die Ergebnisse des „Q2 Phishing“-Reports bekanntgegeben. Für diese Studie seien Zehntausende simulierter Phishing-Tests überprüft worden – und dabei sei festgestellt worden, „dass mehr als 50 Prozent der eingegangenen E-Mails ,LinkedIn‘ in ihrer Betreffzeile hatten“. Informationen wie diese könnten Unternehmen helfen, ihre Mitarbeiter bestmöglich zu schulen und auf die Gefahren, die durch Phishing-E-Mails in die Unternehmensnetzwerke gelangen, hinzuweisen.

Mitarbeiter sollten wissen, wie sie einen Phishing- oder Social-Engineering-Angriff erkennen

Die Studienautoren fanden demnach heraus, dass bei den Phishing-Tests 56 Prozent der Betreffzeilen den Begriff „LinkedIn“ enthielten – mehr als alle anderen Phishing-E-Mails im Umfeld Sozialer Netzwerke zusammen. Dies sei nicht verwunderlich, denn Phishing-Angriffe seien dort 2019 bereits mit einer „bemerkenswerten Wachstumsrate von 75 Prozent“ angestiegen.
Dieser Anstieg der Gefahr, in Kombination mit Problemen der Schatten-IT, hindere die IT-Sicherheitsabteilungen daran, von Usern genutzte Social-Media-Apps auf Smartphones zu überwachen. Deshalb werde es immer wichtiger, „dass Mitarbeiter wissen, wie sie einen Phishing- oder Social-Engineering-Angriff erkennen und was sie danach zu tun haben“.

Benutzer vertrauen schnell ihren mutmaßlich verifizierten Kontakten

„Es fühlt sich gut an, einem Netzwerk beizutreten oder sich in irgendeiner Weise mit Kollegen oder Geschäftskontakten zu verbinden – deshalb sind Social-Media-Phishing-Angriffe so erfolgreich“, erläutert Stu Sjouwerman, „CEO“ bei KnowBe4: „Benutzer vertrauen ihren ,verifizierten‘ Kontakten von Natur aus, so dass sie eher auf einen Link klicken, der von einem dieser Kontakte geschickt wurde. Es wird also immer schwieriger, Phishing-Angriffe zu identifizieren. Die User unserer Plattform sind darauf geschult und deshalb eher in der Lage, Phishing- und Social-Engineering-Angriffe zu erkennen.“

Foto: KnowBe4

Stu Sjouwerman: Kostenlosen Test entwickelt, um IT- und Sicherheitsexperten in Unternehmen jeder Größe zu helfen

Größter Erfolg, wenn Empfänger konkret um Maßnahmen gebeten werden

Die von KnowBe4 identifizierten Social-Media-Phishing-Tests mit den höchsten Öffnungsraten sind nach eigenen Angaben:

• LinkedIn: 56%
• Anmeldealarm für Chrome auf Motorola Moto X: 9%
• 55. Jahrestag und Pizza-Party: 8%
• Dein Freund hat ein Foto von dir markiert: 8%.
• Facebook Passwort-Rückstellungs-Verifizierung: 8%.
• Dein Passwort wurde erfolgreich zurückgesetzt: 6%
• Neue Sprachnachricht um 1:23 Uhr: 5%

Neben der Untersuchung von Phishing-E-Mails mit Social-Media-Betreffzeilen, sei festgestellt worden, dass Phishing-Tests, die sich auf Passwortverwaltung konzentrierten, auch sehr erfolgreich gewesen seien. Immerhin 35 Prozent der Benutzer hätten die Links in den Test-E-Mails angeklickt. Darüber hinaus hätten „In-the-Wild-Angriffe“ – also echte Phishing-E-Mails und keine simulierten – den größten Erfolg, „wenn sie den Empfänger um Maßnahmen baten, wie z.B. die Einladung zur Freigabe eines ,Outlook‘-Kalenders oder die Zuweisung einer Aufgabe auf einer Microsoft-Plattform“.

Mitarbeiter als die letzte Verteidigungslinie eines Unternehmens

Mitarbeiter seien die letzte Verteidigungslinie eines Unternehmens und dann am erfolgreichsten, „wenn sie kontinuierlich geschult und auf die neuesten Phishing-Bedrohungen getestet werden“. Um ihre Aufgabe, Unternehmen bei der Verbesserung ihrer Sicherheit zu unterstützen, sei im Juni 2019 ein Social-Media-Phishing-Test eingeführt worden.
„Dieser kostenlose Test wurde entwickelt, um IT- und Sicherheitsexperten in Unternehmen jeder Größe zu helfen, Benutzer besser zu identifizieren, die wahrscheinlich eine Phishing-E-Mail öffnen, die von einer Social-Media-Site wie facebook, LinkedIn oder twitter stammt.“

Weitere Informationen zum Thema:

KnowBe4
Did you know phishing is still the #1 threat action and is used in social media related attacks?

datensicherheit.de, 01.07.2019
KnowBe4 unterstützt Unternehmen gegen Social Media-Phishing

datensicherheit.de, 28.06.2019
Security Awareness: Faktor Mensch von zentraler Bedeutung

datensicherheit.de, 27.06.2019
Hacker: Mehr als 10 weltweit tätige Telekommunikationsanbieter infiltriert

datensicherheit.de, 14.06.2019
Empfehlungen für den Aufbau eines Sicherheitsbewusstseins in Unternehmen

datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen

datensicherheit.de, 16.09.2018
Phishing-Nachrichten: Anstieg des CEO-Frauds zu beobachten

Von unserem Gastautor Markus Auer, Regional Sales Director DACH, ForeScout Technologies

[datensicherheit.de, 20.07.2016] Durch einen Cyber-Angriff auf das Business-Netzwerk LinkedIn sind mehr als 100 Millionen Passwörter kompromittiert worden. Die Nutzer wurden gebeten, ihre Passwörter zu ändern und ihre Konten zu überprüfen. Ereignet hat sich dieser Angriff schon vor vier Jahren, doch jetzt werden die E-Mail-Adressen für fünf Bitcoins (ca. 2.000 Euro) online angeboten. [1]  Zusätzlich kursieren die Nutzerdaten von 33 Milliarden Twitter-Accounts im Internet, diese sollen durch Hacker von den Usern direkt abgegriffen worden sein. Es gibt allerdings noch keine gesicherten Informationen zum genauen Vorgehen der Angreifer. [2]

LinkedIn bezahlte den Opfern bereits 2015 insgesamt 1,25 Millionen US-Dollar, um weiteren Streitigkeiten aus dem Weg zugehen. Für die Sicherheitspanne aus dem Jahr 2012 entspricht das umgerechnet 50 US-Dollar pro Person, die Sammelklage wurde daraufhin fallengelassen. Jetzt stellt sich laut neueren Berichten jedoch heraus, dass insgesamt 167 Millionen LinkedIn-Konten gehackt worden waren – weit mehr als bisher angenommen. Damit könnte allein der finanzielle Schaden für LinkedIn noch wesentlich größer werden.

Schwerer wiegt wohl noch die Gefahr, dass die geschäftlichen Kontakte und Beziehungen der Nutzer den Cyber-Kriminellen preisgegeben werden. Dies kann für Unternehmen zu einer akuten Bedrohung werden, da die Daten in der Regel Informationen über Kunden und Partner enthalten. Zudem können die gehackten LinkedIn-Konten Social Engineering ermöglichen und genutzt werden, um sich mittels Spear-Phishing- und Whaling-Angriffen weitere Zugriffsrechte zu verschaffen, da die Opfer Nachrichten von Kollegen trauen werden, die sie über LinkedIn erhalten. Manipulationen kann nur schwer oder gar nicht erkannt werden.

Es ist auch unwahrscheinlich, dass alle Nutzer der Aufforderung nachgekommen sind, ihre Passwörter zu wechseln – insbesondere auf Mobilgeräten, wo die Anmeldeinformationen in der App gespeichert und meist nicht regelmäßig geändert werden. Somit könnten die Angreifer durchaus bereits Zugriff haben und in der Lage sein, unbemerkt alle Informationen zu stehlen, während die Nutzer ihre Konten weiter verwenden.

Bild: ForeScout Technologies

Markus Auer: Richtlinien für Passwörter müssen durchgesetzt werden

Unternehmen brauchen Werkzeuge, um Richtlinien, wie etwa die Änderung von Passwörtern, über ihre Netzwerke durchzusetzen. Auch müssen sie fähig sein, die mit ihren Netzen verbundenen Geräte zu sehen und zu verwalten. BYOD und die Nutzung unternehmensfremder Anwendungen auf mobilen Endgeräten verändern die Anforderungen an die Sicherheitsarchitekturen. Die Sicherheitsmaßnahmen müssen sich von statischen hin zu flexibleren, benutzerfreundlichen Mechanismen entwickeln.

Vier Jahre scheinen eine enorm lange Zeit zu sein, doch Untersuchungen zufolge geht die häufigste Infektion in Deutschland auf Conficker zurück – eine noch ältere Malware. [3]  Es mangelt also an der Fähigkeit, bekannte Sicherheitsangriffe zu erkennen und zu stoppen.

Angreifer nutzen üblicherweise anfällige Endgeräte aus, um sich in Firmennetze einzuhacken, und können sich dann in den flachen Netzen leicht umherbewegen, um wertvolle Daten von dem Endpunkt zu stehlen, auf den sie es abgesehen haben.

Um dieses Problem zu lösen, schlägt Gartner ein adaptives Sicherheitsmodell vor, bei dem Sicherheitsverletzungen jederzeit durch richtlinienbasierte, automatisierte Reaktionen auf Anfälligkeiten eingedämmt werden können [4] – nicht nur vor einem Ereignis, sondern auch während eines Angriffs und danach. Unternehmen brauchen Sichtbarkeit und Transparenz über alles, was mit ihrem Netzwerk verbunden ist, und müssen mithilfe automatisierter Richtlinien unverzüglich auf Anomalien reagieren können.

Weitere Informationen zum Thema:

[1] Tageschau 2016: „Nach Hackerangriff bei LinkedIn“
[2] Tagesschau 2016: Vermeintlicher Datenklau bei Twitter
[3] Check Point 2016: „Check Point Research Reveals Threat of Mobile Malware“
[4] Gartner 2015 „Designing an Adaptive Security Architecture for Protection From Advanced Attacks“ Gartner

[datensicherheit.de, 16.08.2011] TREND MICRO macht auf Änderungen bei den Standard-Einstellungen in dem insbesondere im Geschäftsleben beliebten Sozialen Netzwerk LinkedIn aufmerksam. Die neue Voreinstellung führe dazu, dass die persönlichen Daten der Mitglieder inklusive ihrer Bilder an Dritte zur Verwendung weitergegeben werden dürften. Wer nicht will, dass sein Foto auf der nächsten Produktwerbung erscheint, sollte laut TREND MICRO folgende Änderungen vornehmen:
Nach dem Einloggen in das Netzwerk erscheint rechts oben der eigene Name. Wer mit der Maus darauf hält, bekommt ein Drop-down-Menü mit dem Eintrag „Settings“ („Einstellungen“) zu sehen. Einmal anklicken und die Oberfläche mit den Einstellungen öffnet sich. Nach dem Anklicken auf „Account“ („Konto“) links unten erscheinen etwa in der Bildschirmmitte unter der Überschrift „Privacy Controls“ („PRIVATSPHÄRE-STEUERELEMENTE“) zwei Links mit den Bezeichnungen „Manage Social Advertising“ („Soziale Werbung verwalten“) und „Turn on/off enhanced advertising“ („Aktivieren/Deaktivieren Sie die verbesserte Werbung“). Beim Anklicken des ersten Links öffnet sich ein Fenster mit Angaben zur Verwendung persönlicher Informationen von LinkedIn-Mitgliedern im Rahmen von Werbung Dritter. Gleichzeitig ist die Zustimmung dazu voreingestellt – ein Klick auf das Kästchen mit dem Haken und die Zustimmung ist entfernt; Speichern nicht vergessen! Nach Anklicken des zweiten Links wird der Anwender darüber informiert, dass LinkedIn sich im Standard das Recht gibt, Werbung von Partnern auf den Profilseiten der Mitglieder anzuzeigen, die nach Analyse der Mitgliederinformationen auf das jeweilige Profil zu passen scheint – wer solche Werbung nicht erhalten möchte, muss den Zustimmungshaken ebenfalls entfernen und diese Änderung speichern.
Nutzer Sozialer Netzwerken sollten ihre Profileinstellungen regelmäßig überprüfen und eher zu restriktiv mit der Weitergabe ihrer persönlichen Informationen umgehen. Zudem sollten sie stets sorgsam überlegen, welche Informationen sie in Soziale Netzwerke überhaupt einstellen.

Weitere Informationen zum Thema:

TREND MICRO, 11.08.2011
CounterMeasures / LinkedIn? OptOut!