Wie Hacker über Facebook an Unternehmensdaten kommen

Jetzt startet der gezielte Angriff. Um den Rechner zu kompromittieren, reichen oftmals schon E-Mails, die scheinbar von einem Freund geschickt werden, mit ein paar netten Fotos der letzten Party am See im Anhang, die schädlichen Code enthalten. Denkbar seien auch Varianten der Erpressung und persönlichen Einflussnahme, die sich aus den öffentlichen Profilen ableiten lassen, so der IBM-Experte.

Viele Daten lassen sich zudem weiter verkaufen, etwa die von Bewerbern an Personalrekrutierungsfirmen. Pro Adresseintrag verlangen die Akteure bis zu 50 Dollar. „Wie viel Geld dürfte es wohl wert sein, wenn jemand die Adresse, den Familienstand und den nächsten längeren Urlaubstermin einer Person erfährt und damit auch weiß, wann das Haus garantiert nicht bewohnt ist?“, fragt Ollmann.

Kombiniertes Risiko mit klassischen Suchtechniken

Nehmen die Angreifer nun noch Suchmaschinen wie Google und Yahoo hinzu, ergibt sich ein noch kompletteres Bild, das sich durchaus auch für Zwecke der Wirtschafts- und Industriespionage nutzen lässt. So bringt schon die Eingabe @firmenname.de | @firmenname.com | @firmenname.net diverse E-Mail-Adressen hervor.

Bei Google-Groups lassen sich zudem Diskussionsbeiträge von Mitarbeiter finden, die dort häufig unter ihren beruflichen Kennungen agieren. Die oftmals technisch orientierten Expertenbeiträge und Anfragen sind ein offenes Buch, um die IT-Infrastruktur eines Unternehmens auszuloten. Auch der Trend zu personalisierten Suchmaschinen wie Wink.com oder Spock.com erhöht das Risiko. Schließlich sind dort bereits Angaben von mehr als 100 Millionen Menschen indiziert.

Oftmals braucht es aber gar nicht den großen Lauschangriff mit Hilfe von Social Engineering. Ollmann fand sogar heraus, wie ein Mitarbeiter XY in einem öffentlichen Blog-Eintrag den Code diskutierte, den er ein Jahr zuvor für sein Unternehmen geschrieben hatte. Er erläuterte außerdem in dem Tagebuch, dass der Code wahrscheinlich das Patent eines Mitbewerbers verletze.

Eine weitere Variante, um Benutzerdaten, die Personenhistorie oder unternehmensrelevante Informationen auszuforschen, sind technische Werkzeuge. Die nötige Spionagesoftware liefert etwa das Startup Rapleaf gleich mit. Das von dem amerikanischen Unternehmen entwickelte System liest per Webcrawler die Nutzerprofile von Social-Networking-Seiten aus.

Offiziell stellt das Unternehmen dies als ethische Suchvariante dar. So lässt sich auf Rapleaf.com die „Online Reputation“ eines Social-Community-Mitglieds mit Hilfe der Eingabe einer E-Mail-Adresse erkunden. Ob der Betreiber damit aber ausreichend Geld verdienen kann, ist eine andere Frage. Schließlich ließen sich derartige Datensätze auch an Vermarktungsfirmen weiter veräußern.