Datendiebstahl auf LinkedIn: Trend Micro gibt Unternehmen und Anwender Sicherheitstipps

Richard Werner von Trend Micro warnt davor, vermeintlichen Headhuntern den Lebenslauf vorschnell zuzusenden

[datensicherheit.de, 06.07.2023] „Fast jeder, der sich auf der Suche nach einer neuen Stelle befindet, kennt wohl diese Situation: Man wird auf ,LinkedIn’ von einem Headhunter angeschrieben und das Stellenangebot klingt interessant“, so Richard Werner, „Business Consultant“ bei Trend Micro, einleitend in seiner aktuellen Stellungnahme. Er führt weiter aus: „So ist man schnell verleitet, ohne größere Überlegung den Lebenslauf dem vermeintlichen Headhunter zuzusenden.“ Immerhin sei ja bei der Jobsuche Schnelligkeit geboten. Werner warnt: „Doch Vorsicht!“ Der japanische Cyber-Sicherheitsanbieter Trend Micro habe das Business-Netzwerk untersucht und in seiner neuen Studie festgestellt, dass gefälschte Profile, welche versuchten, Daten zu stehlen, mittlerweile immer gehäufter aufträten.

Foto: Trend Micro

Richard Werner empfiehlt Unternehmen und Nutzern zu kooperieren und standardmäßig Best Practices anzuwenden

Laut Trend Micro liegt es am Einzelnen, eigene Daten vor unbefugtem Zugriff zu bewahren

Gefälschte Profile, die nach Daten unbedarfter Nutzer fischten, werden demnach bei „LinkedIn“ zu einer immer größeren Bedrohung. Werner berichtet: „So zielte beispielsweise die nordkoreanische ,Advanced Persistent Threat’ (APT)-Gruppe ,Lazarus’ im September 2022 auf ,macOS’-Nutzer, die nach Jobs in der Krypto-Währungsbranche suchten.“ Die dabei gesammelten Daten seien von den Angreifer an andere Cyber-Kriminelle verkauft worden.

Zwar habe das Soziale Netzwerk daraufhin neue Sicherheitsfunktionen hinzugefügt, dennoch sei es für „LinkedIn“ aufgrund der Komplexität der Plattform nach wie vor schwierig, jeden Nutzer ausreichend vor Bedrohungen zu schützen. „Es liegt also am Einzelnen, die eigenen Daten vor unbefugtem Zugriff zu bewahren“, betont Werner.

Trend Micro rät Nutzern, was sie gegen Datendiebstahl tun könne:

1. Regel: „Vermeiden Sie es unter allen Umständen, sensible Daten oder personenbezogene Daten wie E-Mails, Telefonnummern oder Adressen für alle öffentlich einsehbar zu posten – etwa über die Zusammenfassung des Benutzerprofils.“ Zudem sei es ratsam, die Sichtbarkeit anzupassen, bevor Beiträge geteilt werden: „Klären Sie vorab, welche Beiträge von ,Followern’, Verbindungen und Nicht-Verbindungen gesehen werden sollten.“

2. Regel: „Eine weitere Pflicht für Nutzer ist es, sich genau über die Social-Media-Richtlinien ihres Arbeitgebers zu informieren und welche Konsequenzen etwaige Verstöße haben.“ Zu solchen Richtlinien gehörten etwa Maßnahmen zur Einhaltung von Gesetzen und „Compliance“-Regelungen, sowie die aktuellen Pläne für den Schutz der Privatsphäre und das Management von Sicherheitszwischenfällen.

3. Regel: „Weiterhin sollten Nutzer nur solche Informationen weitergeben, mit deren Veröffentlichung im Internet sie auch tatsächlich einverstanden sind.“ Um dies sicherzustellen, könnten Nutzer die Benutzerprofile und Datenschutzeinstellungen jederzeit anpassen, um die Menge der öffentlich zugänglichen Informationen zu begrenzen.

Trend Micro erläutert Pflichten der Unternehmen:

1. Pflicht: „Auch Unternehmen stehen in der Verpflichtung, die Daten ihrer Angestellten zu schützen.“ Ratsam sei es zuallererst, klare Richtlinien für den Auftritt in Sozialen Medien zu entwickeln und zu implementieren. Zudem sollte festgelegt werden, welche Unternehmensinformationen und/oder -daten öffentlich gepostet werden dürfen. Diese Richtlinien könnten je nach Stellung variieren, „da die Mitarbeiter Informationen mit unterschiedlicher Wichtigkeit und Sensibilität für das Unternehmen bearbeiten“. Höhere Stellungen im Unternehmen erforderten restriktivere Richtlinien aufgrund des weitreichenderen Zugriffs auf Informationen. Die zu implementierenden Richtlinien müssten dabei klar regeln, welche Grenzen, Datenklassifizierungen und rechtliche Anforderungen es jeweils für die Betroffenen gibt.

2. Pflicht: „Weiterhin ist es wichtig, regelmäßig Szenarien für Konten-, Profil-, ,Compliance’-, Verifizierungs- und Vorfallsmanagement zu wiederholen, damit Mitarbeiter wissen, was im Notfall zu tun ist.“ Werner rät, eine Kontaktperson festzulegen, an welche sich die Mitarbeiter wenden können, wenn sie gefälschte Konten finden, „die sich als legitime Mitarbeiter oder Unternehmensrollen ausgeben“.

3. Pflicht: „Zudem sollte die Multifaktor-Authentifizierung (MFA) für alle geschäftlichen und privaten Konten als Standard eingesetzt werden.“ Eine gute Passwort-Verwaltungssoftware helfe ebenfalls, um Datendiebstahl vorzubeugen. Dabei sei es natürlich wichtig, niemals dasselbe Passwort für unterschiedliche Kanäle und Anwendungen zu benutzen.

„Wenn Unternehmen und User zusammenarbeiten und sich an die standardmäßigen ,Best Practices‘ halten, um den eigenen Datenschutz zu garantieren, dann angeln Cyber-Kriminelle nur ins Leere“, so Werner zum Abschluss. So könnten die Angestellten ihre Zeit auf „LinkedIn“ tatsächlich produktiv nutzen, ohne befürchten zu müssen, dass morgen private oder Unternehmensdaten im sogenannten Darknet verkauft werden.

Weitere Informationen zum Thema:

TREND MICRO, Veronica Chierzi & Mayra Rosario Fuentes, 28.03.2023
A Growing Goldmine: Your LinkedIn Data Abused For Cybercrime