Als Tech-Blogger komme ich mir öfter vor wie die Person in der Fußgängerzone, die mit einem “DAS ENDE IST NAHE”-Schild Passanten dazu bringen will, ihre Wege zu ändern.

Und wie bei meinen Kollegen mit dem analogen Schild, tut sich insgesamt nur wenig. Wir hören seit Jahren von den Datenskandalen aus Facebook. Nur: Der Facebook-Aktie geht es prächtig. So wirklich scheint uns das Thema Privatsphäre und Datenschutz noch nicht zu beschäftigen. Zumindest nicht mehr als “ich weiß, ich sollte mich damit beschäftigen”. Es ist einfach zu weit weg. Sowohl zeitlich, als auch in unserem mentalen Modell der Welt. Da sitzen irgendwo (San Francisco) Firmenkonglomerate, die Milliarden damit verdienen, was uns Menschen zu Menschen macht: Sozialer Interaktion.

Dass fast alle unserer Post und Messages irgendwo auf ihre Verwertbarkeit zum Werbe-Targeting analysiert werden? Merken wir erst, wenn uns die Sneakers, die wir uns auf
Amazon angesehen haben, monatelang verfolgen. Ich glaube ausgemacht zu haben, warum hier nur schleppend eine Wandlung des Bewusstseins stattfindet:
Die Artikel und Blogposts zu dem Thema sind unpersönlich. Nun, lassen Sie mich ein bisschen persönlich werden.

E-Card Urlaub

Für den Hashtag “ecardurlaub” gibt es auf Instagram um die 15 Beiträge. Zugegeben, die meisten Personen scheinen tatsächlich krank oder verletzt zu sein, es sind aber auch ein paar Fotos dabei, die mir nicht nach Krankenstand aussehen. Hier ein kurzer Guide, wie man das Leben einer solchen Person mehr oder weniger
ruinieren kann:

1. Echten Namen suchen
2. Arbeitgeber ergooglen (wenn er nicht schon im Facebook-Profil unter “arbeitet bei” steht)
3. Anruf / E-Mail zum Chef
Das mache ich natürlich nicht. Ich habe Besseres zu tun. Mir geht es hier nur darum, die Macht der Information aufzuzeigen.
Anderes Beispiel:

Location

Ich sitze in einem Restaurant, und starte ein Experiment. Am Nebentisch sitzen ein paar dieser Millennials, und fotografieren ihr Essen (Was Millennials eben so tun).
Wie lange brauche ich, um ihre Namen herauszufinden?
Die Antwort hat mich selbst erschreckt: Unter 1 Minute.
Ich öffne Instagram, gebe den Namen des Lokals ein. Das gerade am Nebentisch geschossene Foto ist bereits online. Natürlich ist auch das Restaurant direkt verlinkt – man
will ja zeigen, wo man is(s)t. Und: man will zeigen, mit wem man unterwegs ist. Daher sind auch direkt 3 andere Accounts verlinkt. 1 Post gibt mir 4 Namen der Personen am Nebentisch. Ich habe dann davon abgesehen, die Gruppe mit ihren Vornamen anzusprechen.

Corporate Stalking

Man kann diese Aktion natürlich als ziemlich unheimlich einstufen. Tatsächlich habe ich aber kein Interesse am Privatleben dieser Personen. Mir geht es darum, Folgendes
herauszufinden: Was ist möglich? Professionelles Interesse sozusagen. In unserer heutigen Arbeitswelt vermischen sich Privatleben und Arbeit immer mehr. Es wird auch am Arbeitsplatz geteilt, was das Zeug hält. Eine junge Person landet ihren Traumjob. Natürlich müssen das die Freunde (und in weiterer Folge die ganze Welt) erfahren. Das Foto vom neuen Schreibtisch enthält auch direkt eigentlich interne Dokumente.

Um jetzt keine Panik zu machen: Nicht jedes Foto dieser Art öffnet direkt eine Tür für einen Hacker. Damit wirklich “etwas passiert” braucht es auch eine dementsprechend motivierte Person,
die diese Information ausnutzt. Zum Glück.

“So interessant sind wir nicht”

  • 43% der Hacking-Angriffe zielen auf KMUs ab (Quelle: Symantec)
  • 91% aller Cyberattacken auf Unternehmen starten mit einer (möglichst personalisierten) EMail (Quelle: cofense.com, 2016)

Müsste ich ein beliebiges Unternehmen angreifen, würde ich im ersten Schritt eine Liste aller Bediensteten anlegen. Die finde ich entweder auf der Webseite, spätestens wenn ich auf LinkedIn nach “arbeitet bei” suche.
Dann suche ich mir ein paar “Opfer” aus:

  • Personen, die sehr viel in den sozialen Medien teilen
  • Technisch eventuell nicht affin sind
  • Ansonsten interessante Informationen bieten könnten

Diese 30 Minuten geben mir eigentlich schon alles, was ich für einen erfolgreichen Angriff brauche. Im Beispiel der Millennials im Restaurant würde wahrscheinlich folgende Nachricht schon
ausreichen, um die Person auf einen schädlichen Link klicken zu lassen:
“Hi, wir sind das Team von XY. Wir haben gesehen, dass du uns auf Instagram geteilt hast. Daher haben wir beschlossen, dich und deine Freunde auf einen Milkshake einzuladen.
Melde dich bitte einfach unter (schädlicher Link).”

Paranoia oder Kontrollverlust?

Solche Geschichten verursachen bei meinen Lesern meist einen kleinen Anflug von Paranoia. Auch für Unternehmen ist der Umgang mit diesen Fakten kein leichter: Soll man Social Media verbieten? Oder den Kontrollverlust bis zu einem gewissen Grad akzeptieren?
Ich persönlich finde:
Der Kontrollverlust hat bereits stattgefunden. Es ist nur mehr eine Frage, wie wir als Unternehmen damit umgehen wollen. Und hier sind wir aber keinesfalls hoffnungslos ausgeliefert:

Keine Superhelden

Im Falle des Falles werden wir nicht zu Superhelden, sondern wir fallen auf das niedrigste Level unseres Trainings zurück. Was auf den ersten Blick negativ klingt, wird bei genauerer Betrachtung zu einem großen Hebel: Im Falle von Social Media und Cyberangriffen gilt es, das “niedrigste Trainingslevel” der Organisation anzuheben und nicht darum, die Belegschaft zu
Cyber-Verteidigern zu machen. Dieses niedrigste Level des Trainings ist schon mit einfachen Methoden anzuheben. Sehr oft geht es im ersten Schritt einfach darum, dass Menschen überhaupt erfahren, dass die alltäglich geteilte Information gegen sie verwendet werden kann.

Den ersten Schritt zu diesem Erfahren können Sie in meiner Session am HR Inside Summit von 09. – 10. Oktober 2019 machen.
Im Workshop werden Sie selbst zum Angreifer – auf eine fiktive Person. Wie viel können Sie herausfinden?

Über den Autor

Martin Haunschmid (martinhaunschmid.com)

  • verbringt Stunden damit, einen einfachen Task zu automatisieren – Aus Prinzip!
  • kämpft für ein tieferes Verständnis von Zahlen. Like ist nicht gleich Like!
  • hat sich ein Tool geschrieben, um mehrere Twitter-Accounts zu kontrollieren.
  • schreibt eine Applikation, damit er die Nachrichten effektiver konsumieren kann.
  • hält liebend gerne Vorträge. Über Zensur, Hacking, Social Media und Zahlen.
  • ist im Internet aufgewachsen. Inklusive Memes, Gaming und Trollen.