Best Practices für die Social Media-Sicherheit

von Trend Micro Research

Die sozialen Medien sind zu einem integralen Bestandteil des Lebens der Menschen geworden, da sie ein primärer Kanal sind, über den wir Informationen erhalten und mit anderen interagieren. Die Pandemie hat diesen Trend noch verstärkt, und die Menge der Informationen, die Menschen teilen, hat gewaltig zugenommen. Umso wichtiger ist es, die Sicherheit der eigenen Konten nicht aus den Augen zu verlieren und den Missbrauch zu verhindern. Einige Best Practices im Umgang mit den eigenen Daten kann dieses Risiko minimieren.

Denken Sie nach, bevor Sie etwas teilen

Was in sozialen Medien gepostet wird, sehen nicht unbedingt nur die Freunde und die Familie, mit denen Sie direkt verbunden sind. Je nach Ihren Kontoeinstellungen kann jeder und jede die von Ihnen veröffentlichten Posts sehen. Und das beschränkt sich nicht nur auf das, was Sie posten, sondern gilt auch für die Posts oder Fotos, in denen Sie getaggt sind, für die Gruppen, in denen Sie Mitglied sind oder den Interessen, denen Sie folgen.

Cyberkriminelle nutzen häufig öffentlich zugängliche Social-Media-Informationen, um ihre Angriffe besser auf die Opfer zuzuschneiden. Dieser Prozess, ein Aspekt von Open Source Intelligence (OSINT), gestattet es ihnen, bestimmte Personen ins Visier zu nehmen oder für einen Angriff ein Profil für größere Gruppen von Personen zu erstellen. Die These, „Ich bin nicht interessant, mir passiert das nicht!“, ist sehr gefährlich, wenn es um die Sicherheit in sozialen Medien geht.

Jeder Mitarbeiter kann als Einstiegspunkt für einen Angriff auf Unternehmensebene genutzt werden. Ihr Profil verrät viel über Sie und könnte Anlass für eine gezielte Phishing-Mail, einen Vishing-Anruf oder eine SMS sein und zu einer Kompromittierung des Unternehmensnetzwerks führen.

Zu den häufigen Missgriffen beim Teilen in sozialen Medien gehören folgende:

  • Fotos vom Arbeitsplatz, die Details über Ihren Arbeitgeber preisgeben: so etwa Fotos vom ersten Arbeitstag mit einer ID-Badge, sodass ein Angreifer seine eigene Badge erstellt, um Ihren Arbeitsplatz unbemerkt zu betreten. Passwörter oder Kontodetails auf Haftnotizen oder auf Bildschirmen sind möglicherweise auch auf einem Foto zu sehen. Sogar die Art des Laptops, des Mail-Clients, des Browsers oder des Telefonsystems, das Sie verwenden, könnte zu einem informierten und überzeugenden Phishing-Angriff führen.
  • Persönliche Posts können zu professionellen Angriffen führen: Ein Foto des neuen Autos vor Ihrem Haus verrät vielleicht Ihre Adresse und mehr. Kreditkarten, Führerscheine, Reisepässe und andere persönliche Identifikationsmerkmale sind unter Umständen im Hintergrund (oder im Vordergrund) von Bildern in sozialen Medien zu finden. All diese persönlichen Informationen (PII) geben Ihre Identität preis und können dazu verwendet werden, sich gegenüber Ihrem Arbeitgeber als Sie auszugeben, um ein Unternehmen anzugreifen.
  • Jedes Foto mit aktivierter Geolokalisierung lässt Kriminelle wissen dass Sie nicht in der Stadt sind und zu Hause sind. Und Fotos können leicht rückwärts durchsucht werden, um zusätzliche Informationen herauszufinden.
  • Eine Telefonnummer und eine E-Mail-Adresse, die mit Ihren Social-Media-Konten verknüpft sind, können für das Konto erforderlich sein oder aus Sicherheitsgründen angefordert werden, aber überprüfen Sie die Einstellungen, um sicherzustellen, dass diese Sie oder das Konto nicht angreifbar machen.

Pflegen Sie die Konten sorgfältig

Die Sicherung von Konten beginnt mit einem starken Passwort. Da sich die Software zum Knacken von Passwörtern jedoch ständig weiterentwickelt, reicht das, was früher als starkes Passwort galt, möglicherweise nicht mehr aus.

Passphrasen sind viel sicherer als Passwörter – je komplexer und ungewöhnlicher, desto schwieriger ist es, sie zu knacken. Sie bestehen aus einem Satz, der eine Mischung aus Buchstaben, Zahlen und Sonderzeichen enthält. Tipp: Ein sicherer Passwort-Manager hilft bei der Verwaltung der schwierig zu merkenden Passphrasen.

Wichtig ist auch, gut zu überlegen, welche Mails Sie mit Ihren sozialen Medien verknüpfen. Unternehmen sollten eine Richtlinie einführen, die die Verwendung von Firmen-Mails mit Social-Media-Konten verbietet. Dadurch wird das Risiko verringert, dass Angreifer über kompromittierte Social-Media-Konten Zugang zu Unternehmensnetzwerken erlangen. Am besten ist es, eine spezielle Mail-Adresse für Social-Media-Konten zu verwenden, um die wertvollen Informationen einzuschränken, die einem Angreifer zur Verfügung stehen, falls Ihr Konto kompromittiert wird.

Einige zusätzliche Best Practices sind die folgenden:

  • Verwenden Sie für jedes Konto ein anderes Passwort. Wenn ein Konto kompromittiert wird, müssen andere Konten nicht das gleiche Schicksal erleiden.
  • Nutzen Sie eine Multifaktor-Authentifizierung (MFA) als zusätzliche Sicherheitsebene.
  • Halten Sie Apps auf dem neuesten Stand. Wie bei jeder Software ist es wichtig, sie zu aktualisieren, um sicherzustellen, dass Sie vor neu entdeckten Bedrohungen oder Sicherheitslücken geschützt sind.
  • Löschen Sie alle Konten, die Sie nicht mehr regelmäßig nutzen. Dadurch wird sichergestellt, dass sie nicht kompromittiert und für den Zugriff auf andere verknüpfte Konten, wie z. B. Ihre Mails, missbraucht werden können.

Halten Sie Unternehmenskonten sicher

Die meisten Unternehmen haben heute mehrere Social-Media-Konten, da dies eine direkte Verbindung für die Kommunikation mit Kunden darstellt. Ein Least-Privileged-Administrationsmodell, das üblicherweise in IT-Teams eingesetzt wird, kann auf den Social-Media-Zugang angewendet und zur Erhöhung der Sicherheit genutzt werden. Die Zahl der Mitarbeiter, die über die native Anwendung direkten Zugriff auf Social-Media-Konten haben, sollte möglichst gering gehalten werden.

Unternehmen können auch eine Social-Media-Managementplattform verwenden, um die Berechtigungen ihrer Benutzer weiter einzuschränken, und zwar auf genau das, was sie zur Erfüllung ihrer Aufgaben benötigen, und nicht mehr. Dieses Zugriffsmodell hilft dabei, die veröffentlichten Beiträge zu kontrollieren, die Qualität zu sichern und absichtliche Sabotage zu vermeiden – eine Win-Win-Situation.

Achtung vor Cyberpropaganda

Social Media Feeds enthalten eine Menge an Fake News und Fehlinformationen. Cyberpropaganda gibt es schon lange, und Social-Media-Plattformen sind perfekt geeignet für diese Art von schädlichen Aktivitäten. Das Teilen von Fehlinformationen auf sozialen Kanälen ist sogar zu einem Service geworden, der im Untergrund oder auf Graumärkten angeboten wird. Dies sollte man beim Surfen in sozialen Netzwerken immer im Hinterkopf behalten und die Quellen von Links sorgfältig prüfen, bevor man sie anklickt oder teilt.

Es gibt mehrere Möglichkeiten zu verifizieren, ob ein Beitrag echt ist:

  • Prüfen Sie nach, ob über eine Nachricht direkt auf seriösen Seiten berichtet wurde: Wenn es sich um echte Nachrichten handelt, können Sie darauf wetten, dass mehr als ein Medium darüber berichtet.
  • Sehen Sie sich den Link an: Sie können ähnliche Prinzipien anwenden wie beim Schutz vor Phishing. Werden Buchstaben in der URL durch ähnliche Zeichen ersetzt?
  • Prüfen Sie die Qualität: Gibt es echte Kommentare? Gibt es Rechtschreib- und Grammatikfehler? Ist die Website professionell gestaltet?
  • Hüten Sie sich vor Clickbait-Schlagzeilen, die hyperbolische Begriffe verwenden.

Beim Browsen durch die Feeds sozialer Medien denken Sie an das Konzept von Zero Trust: nichts von Natur aus vertrauen, auch wenn es von einer vertrauenswürdigen Person gepostet wurde. Sie können nie wissen, ob Ihr Freund oder eine andere Organisation ausgetrickst wurde und gefälschte Nachrichten geteilt hat, oder ob deren Konto kompromittiert wurde.

Sicherheit bei Audio-Apps

Ein neuer Trend sind die Social-Media-Apps, die nur aus Audio bestehen, wie ClubHouse und das kürzlich von Spotify gestartete Greenroom. Und wie alle anderen Social-Media-Plattformen ist auch hier mit bösartigen Aktivitäten zu rechnen. Hier sind einige bewährte Sicherheitspraktiken, die Sie bei diesen Plattformen anwenden sollten:

  • Sie wissen nie, wer die Aufnahme macht, also sagen Sie nur Dinge, die Sie auch öffentlich mitteilen würden.
  • Nur weil in der Biografie von jemandem steht, dass er es tatsächlich ist, heißt das noch lange nicht, dass dies auch stimmt. Vertrauen Sie jemandem nicht allein aufgrund seiner Biografie.
  • Minimieren Sie die Menge der Daten, die Sie teilen, indem Sie nur die absolut notwendigen Berechtigungen erteilen und Ihre Kontoeinstellungen aktiv verwalten.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.