Schlagwort: sicherheit

Tipps von den Profis, wie Sie sich gegen Social Engineering schützen können

Was ist Social Engineering?

Social Engineering nennt man zwischenmenschliche Beeinflussungen mit dem Ziel, unberechtigt an Daten oder Dinge zu gelangen. Social Engineers spionieren das persönliche Umfeld ihres Opfers aus, täuschen falsche Identitäten vor oder nutzen Verhaltensweisen wie Autoritätshörigkeit aus, um Dinge wie geheime Informationen oder unbezahlte Dienstleistungen zu erlangen. Meist dient Social Engineering dem Eindringen in ein fremdes Computersystem, um vertrauliche Daten einzusehen; man spricht dann auch von Social Hacking.

Auch wenn vielen der Begriff Social Engineering unbekannt ist, so kennen doch die meisten eine Form davon: das Phishing.

Beispiel für Social Engineering

Ein sehr prominenter Fall ereignete sich in der letzten Zeit bei Twitter. Hier gelang es einem Unbefugten, mithilfe von einfachen, aber sehr intelligenten Tricks auf sensibelste Unternehmensdaten zuzugreifen. TechCrunch hat den Ablauf genau rekonstruiert. Der Beitrag ist zwar recht lang, lohnt aus meiner Sicht die Zeit der Lektüre aber.

Was kann man tun?

Was beim Thema Sicherheit und Social Engineering aus der Sicht von Unternehmen wissenswert ist und worauf Sie konkret achten sollten, erklären Dan Cornell und John Dickson von der Denim Group:

Denim Group is an “IT consultancy specializing in custom software development, systems integration and application security” according to its Web site, but Cornell and Dickson had a few specific suggestions that could help even the smallest businesses.

Video (14 min.):

 

Bildquelle: NIOSH – Nat Inst for Occupational Safety & Health (CC-Lizenz)

Datenkontrolle: Reflexartige Facebook-Schelte wird dem Thema nicht gerecht

Die jüngsten Änderungen der AGB von Facebook sorgen für viele hitzige Diskussionen. Ich teile die grundsätzlichen Anliegen vieler Kritiker. Allerdings sind die Dinge wie immer kompliziert. Auf der einen Seite wollen die Nutzer von Diensten wie Facebook maximalen Funktionsumfang und Service. Auf der anderen Seite wollen sie auch die volle Kontrolle über ihre Daten. Beides gemeinsam zu realisieren, stellt allein technisch zumindest eine Herausforderung und oft auch eine Unmöglichkeit dar. Zudem hinkt gerade aufgrund der Qualität und des Funktionsumfangs von Facebook der Vergleich bei Spiegel Online mit anderen Social Networks etwas. Mark Zuckerberg hat mit einem Blog-Beitrag auf die Kritik reagiert und formuliert durchaus Nachvollziehbares:

Mark Zuckerberg: On Facebook, People Own and Control Their Information

One of the questions about our new terms of use is whether Facebook can use this information forever. When a person shares something like a message with a friend, two copies of that information are created—one in the person’s sent messages box and the other in their friend’s inbox. Even if the person deactivates their account, their friend still has a copy of that message. We think this is the right way for Facebook to work, and it is consistent with how other services like email work. One of the reasons we updated our terms was to make this more clear.

In der US-Blogosphäre finden sich etliche Blog-Posts, die die Dinge etwas differenzierter darstellen als nur zu sagen „Facebook ist böse“:

Chris Brogan: Wake Up to How You Share on the Web

But think about it: every service you use on the web owns your data to some degree. Read the TOS for Google Docs. Read the terms at most sites. If you’re freaked out by Facebook, go back and take a serious look at ALL the places you’re using on the web and ask yourself what the impact of them owning your stuff really is. It’s not what you think. It’s either worse or a non-issue, depending on how you see things.

Robert Scoble: User data ownership on Facebook and why it doesn’t matter

If you are uploading your content to, and participating online with, you are giving a HUGE amount of ownership to services that, well, you really don’t control. (…) I dealt with it by having Fast Company own its own servers and content. It’s a real pain, too, takes me a lot longer to upload my videos to FastCompany.tv than it does to upload them to TubeMogul. But then we have control and we know when ads will be put on top of our content, etc.

Zwar keine Lösungen, aber einige berechtigte Fragen bietet TechCrunch:

Erick Schonfeld: Zuckerberg On Who Owns User Data On Facebook: It’s Complicated

If I upload a picture which I later regret uploading, why shouldn’t I be able to erase it from Facebook forever, even if some of my friends have already seen it? And should there be different rules for different media? Most people consider the messages in their inbox to be theirs, even if the sender wishes they’d never sent it? And as this data is shared beyond Facebook across the Web, who controls what becomes even harder to determine. Like Zuckerberg says, it’s complicated.

Viele, die sich zurzeit aufregen und Facebook quasi reflexartig verdammen, machen es sich etwas zu einfach. Jedem Nutzer solcher Plattformen müssen die Konsequenzen seines Tuns klar sein. Ich kann nicht meinen Email-Verkehr über Soziale Netzwerke wie Facebook oder StudiVZ abwickeln und mir hinterher die Augen reiben, wenn diese Firmen versuchen, mit meinen Daten auf irgendeine Weise Geld zu verdienen. Es sind ja keine Non-Profit-Organisationen und deren Investoren sind es auch nicht. Zudem dürfte jedem bekannt sein, dass die Geschäftsmodelle der Social Networks schon in Boom-Zeiten keine übergroßen Erträge lieferten.

Wer seine Daten sicher kontrollieren können möchte, darf sie überhaupt nicht ins Internet stellen. Er darf sie nicht einmal auf einen Computer laden, der mit dem Internet verbunden ist. Wenn man seine Daten ins Internet stellt und sie dennoch weitgehend kontrollieren können möchte, sollte man zumindest eigenen Webspace nutzen, so wie ich es mit diesem Blog tue.

Nicht vergessen werden sollte bei der Diskussion, dass das Problem gar nicht immer der böse Kapitalist sein muss, der mit den eigenen Daten Schindluder treibt. Ebenso schlimm dürfte es für viele Nutzer sein, wenn ihre Daten schlicht verloren gehen. Dies ist ja in jüngster Zeit bspw. bei Ma.gnolia passiert. Dann gibt es noch ungewollte Datenlecks usw. usf.

OpenID kritisch beleuchtet

Neulich habe ich beschrieben, welch wichtige Rolle das Prinzip OpenID im künftigen Internet voraussichtlich spielen wird. Dazu passt, dass dieser Tage große Internet-Firmen wie Google und Microsoft OpenID-Provider geworden sind.

Zu OpenID gibt es aber auch berechtigte kritische Stimmen. Vor allem die heutige Ausgestaltung von OpenID-Verfahren ist aus Nutzersicht in vielen Punkten noch verbesserungswürdig. Letztlich befinden wir uns aber auch erst am Beginn einer wichtigen Entwicklung.

Die Hintergründe von OpenID gut beleuchtet hat vor ein paar Tagen Markus Spath von netzwertig:
> OpenID: Auch Microsoft wird Provider, aber nicht Consumer

Kritische Stimmen sind natürlich nicht neu. Beim Elektrischen Reporter bspw. wurden Online-Identitätssysteme schon vor längerer Zeit sehr differenziert betrachtet:
> Dick Hardt über die Vorteile von Online-Identitätssystemen
> Ralf Bendrath über die Risiken von Online-Identitätssystemen