TechNet Blog Deutschland

News für IT-Pros & Neues aus dem TechNet-Team

Facebook: Teufelszeug für Unternehmen?

Facebook: Teufelszeug für Unternehmen?

  • Comments 1
  • Likes

Die Liste der Betrugsversuche, die innerhalb Facebooks stattfinden, wird jeden Tag länger. Das ist keine Übertreibung, angesichts mindestens einer neuen Masche, die von Webseiten wie facecrooks.com, mimikama.at oder auf der Sophos-Facebook-Fanseite tagtäglich beschrieben wird. Auch hier im Blog haben wir erst kürzlich vor einer Betrugsart gewarnt. De facto war es auch die Information, die ich im letzten Blog-Beitrag verarbeitet habe, die mich zu diesem längeren Text motiviert hat.

 

Wichtig aus Sicht von IT-Sicherheitsexperten ist es zu wissen, dass Web-Betrüger oftmals nicht darauf aus sind, ihre Opfer direkt abzuzocken oder ihnen Daten zu entlocken. Stattdessen zeigen die in den Spam-Nachrichten und Pinnwandeinträgen angepriesenen Links auf Malware-verseuchte Websites, die in bester Drive-by-Manier den PC der Opfer infizieren wollen - und somit eine direkte Gefahr für das Unternehmensnetzwerk sind.

 

Für IT-Sicherheitsverantwortliche in Unternehmen stellt sich angesichts dieser Flut die Frage, ob Soziale Netzwerke wie Facebook oder Twitter – auch beim Kurznachrichtendienst gibt es regelmäßig groß angelegte Angriffe – die Gefahr für die Sicherheit des Unternehmensnetzes nicht über Gebühr erhöhen. Denn klassische Firewalls sind nutzlos beim Kampf gegen Bedrohungen, die über Port 80 oder Port 443 herein kommen. Erst die so genannten Next Generation Firewalls sollen das Problem lösen können. Und auch Virenscanner bleiben angesichts der sich immer stärker diversifizierenden Malwarevarianten regelmäßig zweiter Sieger.

 

Was also tun? Den Zugriff auf Facebook & Co. per Firewallregel komplett blockieren? Nur wenigen Mitarbeitern, die beispielsweise zur Kundenpflege oder aus Marketinggründen beruflich auf den Plattformen sein müssen, den Aufruf erlauben und dafür komplizierte Lösungen mit virtuellen Maschinen oder PCs in der DMZ schaffen?

 

Mein Rat ist: Nichts von alldem. Nicht nur für die Generation Y, also die Mitarbeitergeneration, die mit dem Internet aufgewachsen ist, gehört insbesondere Facebook zum festen Repertoire der privaten und auch beruflichen Kommunikationswege. Diese Kollegen wären sehr sicher kräftig demotiviert, würde man ihnen von heute auf morgen dem Zugriff verweigern. Natürlich ist das ein menschelnde Argument. Aber nicht zuletzt in wirtschaftlich stabilen Zeiten müssen sich Arbeitgeber unter anderem durch solche „weichen“ Faktoren attraktiv machen für bestehende und potentielle Mitarbeiter.

 

Besser als Sperren und Verbote sind meiner Meinung nach Informationen: Über die möglichen Arten der Betrugsversuche, über die eventuell hilflosen Schutzmaßnehmen (Virenscanner / Firewall),  über die Folgen einer Malwareinfektion und natürlich über angepasste Verhaltensregeln. Letztere lassen sich – stark vereinfacht – in einer Binsenweisheit zusammenfassen: Was zu schön scheint, um wahr zu sein, ist auch nicht wahr.

 

Vermeintlich skandalöse Videos, Gratis-iPads, Nacktbilder, Einladungen zu VIP-Partys, geheime Einblicke in fremder Menschen Facebook-Profil, Informationen darüber, wer das eigene Profil besucht oder einen aus der Freundesliste entfernt hat – all das läuft unter „zu schön um wahr zu sein“.

 

Wenn ein Anwender dem Drang widersteht, auf einen derart angepriesenen Link zu klicken, dann ist das Spiel für den Angreifer verloren. Denn noch sind keine Angriffe aufgetaucht, die ohne aktives Zutun in Form eines Klicks auskommen.

 

Unternehmen tun gut daran, ihren Mitarbeitern umfassende Informationen über die Taktiken der Angreifer zukommen zu lassen. In Form von Newslettern, Dokumenten im Intranet oder Vorträgen. Investitionen in den Wissensschatz der Belegschaft sind in diesem Fall sinniger als immer neue technische Schutzmechanismen – die dann doch nur von der nächsten Welle der Angriffe überrollt werden. Einmal informierte und somit alarmierte Mitarbeiter ziehen die Online-Kriminellen hingegen längst nicht so leicht über den Tisch.

 

 

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

 

Comments
  • sehr schöner Lösungsvorschlag, werde ich so anwenden. Danke! Kommunikation ist immer gut.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment