LinkedIn-Profile und Organigramme: Wenn Transparenz nach hinten losgeht - OSINT
Für Unternehmen wird es immer wichtiger, online präsent zu sein und Informationen über sich und ihre Mitarbeiter zu teilen. Doch genau diese öffentlich zugänglichen Daten werden von Angreifern für Social-Engineering-Attacken missbraucht werden. In diesem Beitrag beleuchten wir, wie die Veröffentlichung von Mitarbeiterdaten, detaillierten Organigrammen und privaten Informationen auf Business-Netzwerken Unternehmen angreifbar macht und was dagegen getan werden kann.
Was ist OSINT und warum wird es von Angreifern genutzt?
OSINT steht für Open Source INTelligence und bezeichnet die Sammlung und Analyse von Informationen aus öffentlich zugänglichen Quellen. Dazu zählen soziale Medien, Unternehmenswebsites, Nachrichtenartikel, Jobbörsen, Foren und vieles mehr. Angreifer nutzen OSINT, um möglichst viele Daten über ihr Ziel zu sammeln und dann mit Hilfe von Social-Engineering-Techniken wie Phishing, Pretexting oder Tailgating Zugriff auf vertrauliche Informationen oder Systeme zu erlangen. Die Menge an öffentlich verfügbaren Daten wächst ständig, und Angreifer werden immer raffinierter darin, diese Informationen für ihre Zwecke zu nutzen. Mit modernen Tools und Techniken wie Web Scraping, Datenanalyse und maschinellem Lernen können sie riesige Datenmengen durchforsten und aussagekräftige Profile ihrer Zielpersonen erstellen.
Gefahr 1: Veröffentlichung von Mitarbeiterdaten im Internet
Viele Unternehmen stellen gerne Informationen über ihre Mitarbeiter online, um Vertrauen und Nähe zu Kunden zu schaffen. Dabei werden oft Namen, Positionen, Fotos und Kontaktdaten veröffentlicht. Für Angreifer sind diese Daten ein Geschenk: Sie können gezielt nach Personen mit Zugang zu sensiblen Informationen suchen und diese dann mit personalisierten Phishing-Mails oder Anrufen attackieren. In einem Fall erhielt ein Buchhalter eine E-Mail, die angeblich von seinem Chef stammte und eine dringende Überweisung anforderte - tatsächlich kam sie von einem Angreifer, der zuvor die Mitarbeiterdaten des Unternehmens durchforstet hatte. In einem anderen Fall sammelte ein Angreifer Informationen über die IT-Administratoren eines Unternehmens und rief dann einen von ihnen an, wobei er sich als Mitarbeiter der IT-Sicherheitsabteilung ausgab. Mit diesem Pretexting gelang es ihm, Zugangsdetails zu erhalten und ins Netzwerk einzudringen. Besonders gefährdet sind Unternehmen, die Fotos und persönliche Informationen wie Geburtstage oder Hobbys ihrer Mitarbeiter veröffentlichen. Diese Details können Angreifer nutzen, um Passwörter zu erraten oder Vertrauen aufzubauen.
Gefahr 2: Zu detaillierte Organigramme
Organigramme sollen Kunden und Partnern einen Überblick über die Struktur und Zuständigkeiten im Unternehmen geben. Doch wenn sie zu viele Details enthalten, können Angreifer leicht Schwachstellen identifizieren. Anhand der Hierarchien lassen sich gezielt Personen mit Zugriff auf wertvolle Daten heraussuchen. In einem bekannten Fall verschaffte sich ein Angreifer Zugang zum E-Mail-Konto eines CEO, indem er sich mit Informationen aus einem öffentlichen Organigramm als IT-Mitarbeiter ausgab und so das Passwort zurücksetzen ließ. In einem anderen Fall nutzte ein Angreifer ein Organigramm, um die Assistentin eines Managers zu identifizieren. Er rief sie an, gab sich als Mitarbeiter der Personalabteilung aus und überzeugte sie, vertrauliche Daten preiszugeben. Besonders problematisch sind Organigramme, die vollständige Namen, Positionen, Abteilungen und Verantwortlichkeiten auflisten. Je mehr Informationen enthalten sind, desto leichter fällt es Angreifern, sich als legitime Mitarbeiter auszugeben oder gezielt Phishing-Mails zu gestalten.
Gefahr 3: Zu viele private Infos auf Business-Netzwerken
Plattformen wie LinkedIn oder Xing sind bei Fach- und Führungskräften beliebt, um sich zu vernetzen und zu präsentieren. Doch viele Nutzer teilen dort auch private Informationen wie Hobbys, Familienstand oder Urlaubspläne. Für Angreifer sind diese Daten eine Goldgrube, um Vertrauen aufzubauen und personalisierte Phishing-Nachrichten zu erstellen. So erhielt eine Managerin eine LinkedIn-Nachricht von einem angeblichen Headhunter, der in Wahrheit ein Angreifer war und sich mit Infos aus ihrem Profil Zugang zu vertraulichen Daten erschlich. In einem anderen Fall sammelte ein Angreifer Informationen über die Hobbys und Interessen von Mitarbeitern eines Unternehmens und erstellte dann passgenaue Phishing-Mails, die vorgaben, von einem Fachmagazin oder einer Interessengruppe zu stammen. Besonders riskant ist es, wenn Mitarbeiter auf Business-Plattformen auch private Kontakte knüpfen und persönliche Informationen mit einem großen, nicht kontrollierbaren Netzwerk teilen. Angreifer können so leicht an Insider-Informationen gelangen und diese für gezielte Attacken nutzen.
Wie können sich Unternehmen vor OSINT-basiertem Social Engineering schützen?
Um sich zu schützen, sollten Unternehmen genau abwägen, welche Informationen sie wirklich veröffentlichen müssen. Mitarbeiterdaten sollten nur sparsam und mit Bedacht geteilt werden. Statt vollständiger Namen, Fotos und Kontaktdaten reichen oft Vornamen, Initialen oder Funktionsbeschreibungen aus. Auch bei Organigrammen gilt: Weniger ist mehr. Statt detaillierter Hierarchien mit Namen und Zuständigkeiten reicht oft eine grobe Übersicht der Abteilungen und Verantwortlichkeiten. Mitarbeiter sollten zudem geschult werden, in sozialen Medien und auf Business-Plattformen sorgsam mit privaten Informationen umzugehen. Regelmäßige Schulungen können Mitarbeiter generell für die Gefahren von Social Engineering sensibilisieren und den sicheren Umgang mit Firmendaten trainieren. Dazu gehört auch, bei ungewöhnlichen Anfragen misstrauisch zu sein und im Zweifelsfall lieber einmal zu viel nachzufragen. Technische Maßnahmen wie Zwei-Faktor-Authentifizierung, strikte Zugriffskontrolle und aktuelle Sicherheitssoftware sind ebenfalls unverzichtbar. Unternehmen sollten zudem regelmäßig prüfen, welche Informationen über sie und ihre Mitarbeiter online zu finden sind, und problematische Daten entfernen lassen. Und falls doch einmal etwas passiert, hilft ein vorbereiteter Incident-Response-Plan dabei, schnell und effektiv zu reagieren. Dazu gehören klare Meldewege, definierte Verantwortlichkeiten und vorbereitete Maßnahmen zur Eindämmung des Schadens.
Checkliste: Schutz vor Social-Engineering-Angriffen für Marketingabteilungen und Geschäftsführungen
1. Awareness-Schulungen durchführen
- Regelmäßige Schulungen für alle Mitarbeiter zum Thema Social Engineering
- Praktische Beispiele für Angriffstechniken aufzeigen
- Verhaltensregeln im Umgang mit sensiblen Daten vermitteln
- Konsequenzen erfolgreicher Angriffe verdeutlichen
2. Klare Sicherheitsrichtlinien etablieren
- Verbindliche Regeln für den Umgang mit vertraulichen Informationen festlegen
- Prozess für die Verifizierung von Identitäten externer Kontakte definieren
- Meldeprozess für verdächtige Vorfälle einführen
- Richtlinien regelmäßig aktualisieren und kommunizieren
3. Prinzip der minimalen Rechte anwenden
- Mitarbeitern nur Zugriff auf die für ihre Arbeit notwendigen Daten gewähren
- Berechtigungen regelmäßig überprüfen und anpassen
- Administratorrechte restriktiv vergeben
- Physischen Zugang zu sensiblen Bereichen einschränken
4. Sichere Authentifizierung einsetzen
- Starke, individuelle Passwörter für alle Accounts vorschreiben
- Zwei-Faktor-Authentifizierung für kritische Systeme und VPN-Verbindungen nutzen
- Biometrische Verfahren für Hochsicherheitsbereiche evaluieren
- Regelmäßige Passwort-Wechsel und Sperren von Standardaccounts durchsetzen
5. Technische Schutzmaßnahmen implementieren
- Aktuelle Antiviren- und Anti-Malware-Software auf allen Systemen einsetzen
- Spam- und Phishing-Filter für E-Mails aktivieren
- Sicherheits-Updates zeitnah einspielen
- Netzwerksegmentierung und Firewalls nutzen, um Angriffsfläche zu reduzieren
6. Incident-Response-Plan aufstellen
- Klare Zuständigkeiten und Meldewege für Sicherheitsvorfälle definieren
- Eskalationsstufen und Benachrichtigungsprozesse festlegen
- Kontaktdaten interner und externer Ansprechpartner (z.B. Behörden) bereithalten
- Regelmäßige Aktualisierung und Übungen des Plans einplanen
7. Sensibilisierung durch Phishing-Simulationen erhöhen
- Realistische Phishing-Kampagnen für Mitarbeiter durchführen
- Ergebnisse auswerten und für gezielte Schulungen nutzen
- Gamification-Elemente einbauen, um Motivation und Awareness zu steigern
- Erfolge messen und kommunizieren, um Bewusstsein zu schärfen
8. Sicherheitskultur im Unternehmen fördern
- Vorbildfunktion des Managements betonen
- Sicherheit als gemeinsame Aufgabe aller Mitarbeiter vermitteln
- Offene Kommunikation zu Sicherheitsthemen fördern
- Meldung von Sicherheitsvorfällen positiv hervorheben und belohnen
Unsere Zusammenfassung
OSINT und Social Engineering sind eine gefährliche Kombination für Unternehmen. Angreifer nutzen öffentlich verfügbare Informationen, um sich Zugang zu vertraulichen Daten und Systemen zu verschaffen. Unternehmen sollten daher sehr bewusst entscheiden, welche Informationen sie über sich und ihre Mitarbeiter preisgeben. Mit Schulungen, technischen Schutzmaßnahmen und einem Notfallplan können sie sich wappnen. Denn im Zeitalter von Big Data und künstlicher Intelligenz werden OSINT und Social Engineering weiter an Bedeutung gewinnen - und nur wer vorbereitet ist, kann sich effektiv schützen. Letztlich ist es eine Gratwanderung für Unternehmen: Einerseits wollen und müssen sie online präsent sein, um Kunden zu gewinnen und zu binden. Andererseits müssen sie dabei stets die Risiken im Blick haben und sensible Daten bestmöglich schützen. Mit der richtigen Strategie und Awareness lässt sich dieser Spagat meistern - zum Wohl des Unternehmens, seiner Mitarbeiter und seiner Kunden.
Bildnachweis