Vier Möglichkeiten, Ihre Unternehmensdaten königlich zu leaken

Ein paar Geschichten darüber, wie einfach es ist, versehentlich sensible Informationen an die Öffentlichkeit zu leaken.

Wenn Sie Bilder von Konzertkarten auf Instagram posten, ohne dabei den Strichcode zu verbergen, könnte anstelle von Ihnen jemand anderes Ihre Lieblingsband zu sehen bekommen. Dasselbe kann auch passieren, wenn Sie den Strichcode mit dem falschen Tool retuschieren.

Abgesehen davon ist es gar nicht so schwierig, den Strichcode richtig zu verbergen, bevor man mit den Tickets prahlt. Ganz anders verhält es sich, wenn man ein Foto online hochlädt, ohne dabei ein Ticket oder, sagen wir, ein Post-It mit versehentlich eingerahmten Passwörtern bemerkt zu haben. Hier gibt es mehrere Fälle, in denen Leute vertrauliche Daten online veröffentlicht haben, ohne sich dessen bewusst zu sein.

1. Das Posten von Fotos mit Passwörtern im Hintergrund

Fotos und Videos, die in Büros und anderen Einrichtungen aufgenommen wurden, enthüllen Passwörter und Geheimnisse viel öfter, als man vielleicht denkt. Wenn man Schnappschüsse von Kollegen macht, achten nur wenige Leute auf den Hintergrund, das Ergebnis kann peinlich bis hin zu gefährlich sein.

Faux-Pas beim Militär

Im Jahr 2012 ist die britische Royal Air Force in ein großes Fettnäpfchen getreten. Zusammen mit einer Fotoreportage über Prinz William, der damals in einer RAF-Einheit (Luftwaffe) diente, wurden die Login-Daten für den MilFLIP (militärischer Luftraumnutzungsplan) veröffentlicht. Ein Benutzername und ein Passwort auf einem Blatt Papier schmückten die Wand hinter dem Herzog von Cambridge.

Kurz nach ihrer Veröffentlichung auf der offiziellen Website der königlichen Familie wurden die Bilder durch retuschierte Versionen ersetzt, und die Anmeldedaten wurden geändert. Ob sie wieder an die Wand geheftet wurden, ist unbekannt.

MilFLIP-Zugangsdaten als Deko.

MilFLIP-Zugangsdaten als Deko. Quelle

Der Prinz-William-Vorfall ist kaum ein Einzelfall. Auch weniger bekannte Militärangehörige tauschen online Geheimnisse aus, sowohl mit als auch ohne die Hilfe der Presse. So veröffentlichte beispielsweise ein Offizier ein Selfie auf einem sozialen Netzwerk, während im Hintergrund die Arbeitsdisplays geheime Informationen zeigten. Der Soldat kam mit einer „Umerziehung und Ausbildung“ glimpflich davon.

Live Leak

Im Jahr 2015 fiel der französische Fernsehsender TV5Monde einem Cyberangriff zum Opfer. Unbekannte Personen hackten und verunstalteten die Website und die Facebook-Seite der Organisation und unterbrachen die Übertragung für mehrere Stunden.

Nachfolgende Ereignisse verwandelten die Geschichte in eine Komödie. Ein Mitarbeiter von TV5Monde gab Reportern ein Live-Interview über den Angriff – und das mit den Passwörtern für die Social-Media-Konten des Unternehmens im Hintergrund. Auf den Bildern ist der Text schwer zu lesen, aber Enthusiasten konnten das Passwort für das YouTube-Konto von TV5Monde schnell entziffern.

Zufälligerweise war es auch ein weiteres Beispiel dafür, wie man kein Passwort erstellen sollte: Die fragliche magische Wörterkombination stellte sich als „lemotdepassedeyoutube“ heraus, was wörtlich übrsetzt „youtubepasswort“ heißt. Glücklicherweise blieben YouTube und andere Konten des Unternehmens unversehrt. Die Passwort-Hintergrundgeschichte gibt jedoch einige Denkanstöße für den ersten Cyberangriff.

TV5Monde-Mitarbeiter gibt ein Interview mit Passwörtern im Hintergrund. Quelle

TV5Monde-Mitarbeiter gibt ein Interview mit Passwörtern im Hintergrund. Quelle

Ein ähnlicher Vorfall ereignete sich kurz vor dem Super Bowl XLVIII im Jahr 2014, als sich die internen WLAN-Anmeldedaten des Stadions in die Linse eines TV-Kameramannes einschlichen. Um Salz in die Wunde zu streuen, kam das Material direkt aus der Kommandozentrale, die für die Sicherheit der Veranstaltung verantwortlich ist.

Wlan-Anmeldeinformationen, die auf einem Bildschirm in der Kommandozentrale des Stadions angezeigt werden.

Wlan-Anmeldeinformationen, die auf einem Bildschirm in der Kommandozentrale des Stadions angezeigt werden. Quelle

2. Die Verwendung von Fitness-Trackern

Geräte, die man zur Überwachung des Gesundheitszustandes verwendet, könnten sehr wohl jemand anderem ermöglichen, Sie zu überwachen und sogar vertrauliche Daten wie den PIN-Code einer Kreditkarte aus Ihren Handbewegungen zu erbeuten. Das letztere Szenario ist jedoch ein wenig unrealistisch.

Aber Datenleaks über den Standort geheimer Einrichtungen sind leider Realität. So markiert beispielsweise die Fitness-App Strava, die von mehr als 10 Millionen Nutzern genutzt wird, die Joggingstrecken der Nutzer auf einer öffentlich-zugänglichen Karte. Sie hat auch geheime Militärstützpunkte   enthüllt.

Obwohl die App so konfiguriert werden kann, dass sie Routen vor neugierigen Blicken verbirgt, sind offenbar nicht alle Benutzer in Uniform in solchen technischen Dingen versiert.

Soldatenbewegungen auf einem US-Militärstützpunkt in Afghanistan anhand der Strava-Karte.

Soldatenbewegungen auf einem US-Militärstützpunkt in Afghanistan anhand der Strava-Karte. Quelle

Unter Berufung auf die mögliche Gefahr neuer Leaks erließ das Pentagon 2018 schlicht und einfach ein Verbot solcher Fitnesstracker. Sicher, für diejenigen, die ihre Tage nicht zufällig auf US-Militärstützpunkten verbringen, könnte dieser Ansatz übertrieben klingen. Trotzdem empfehlen wir Ihnen, sich die Zeit zu nehmen, die Privatsphäre-Einstellungen in Ihrer Fitness-App zu konfigurieren.

3. Übertragung von Metadaten

Man vergisst leicht (oder man weiß es gar nicht), dass Geheimnisse in den Dateninformationen, den sogenannten Metadaten verborgen sein können. Insbesondere Fotos enthalten oft die Koordinaten des Ortes, an dem sie aufgenommen wurden.

Im Jahr 2007 stellten US-Soldaten (hier scheint sich ein Muster zu entwickeln) Fotos von Hubschraubern online, die auf einem Stützpunkt im Irak ankamen. Die Metadaten der Bilder enthielten die genauen Koordinaten des Ortes. Einer Version der Ereignisse zufolge wurden die Informationen anschließend bei einem feindlichen Angriff verwendet, der die Vereinigten Staaten vier Hubschrauber kostete.

4. Die zu offenherzige Nutzung sozialer Netzwerke

Indem man sich einfach die Freundesliste einer Person anschaut, kann man einige Geheimnisse lüften. Wenn zum Beispiel ein Verkäufer aus einer bestimmten Region plötzlich in der Freundesliste eines Unternehmensleiters auftaucht, können Konkurrenten daraus schließen, dass die Organisation nach neuen Märkten sucht, und dabei versucht, ihr den Rang abzulaufen.

Im Jahr 2011 führte die Computerworld-Journalistin Sharon Machlis ein Experiment durch, um Informationen aus LinkedIn zu sammeln. In nur 20 Minuten fand sie die Anzahl der Moderatoren der Online-Foren von Apple, den Aufbau der HR-Infrastruktur des Unternehmens und vieles mehr heraus.

Wie die Autorin zugibt, hat sie so etwas wie ein Geschäftsgeheimnis nicht lüften können, aber Apple ist stolz darauf, den Datenschutz ernster zu nehmen als andere Unternehmen. In der Zwischenzeit konnte jeder die Aufgaben des HP-Vizepräsidenten, der wiederum bei LinkedIn aufgeführt ist, einsehen. So z.B.  an welchen Cloud-Diensten das Unternehmen arbeitete.

Wie man versehentliche Leaks von Daten vermeidet

Mitarbeiter können unwissentlich viel über Ihr Unternehmen teilen. Um zu verhindern, dass Ihre Geheimnisse öffentlich bekannt werden, legen Sie strenge Regeln für die Veröffentlichung von Informationen im Internet fest und informieren Sie all Ihre Mitarbeiter:

  • Wenn Sie Fotos und Videos für die Veröffentlichung in sozialen Netzwerken aufnehmen, achten Sie darauf, dass keine sensiblen Daten aufgenommen werden. Dasselbe gilt, wenn jemand Sie oder Ihr Büro fotografiert oder filmt. Journalisten ist das egal, aber es könnte Ihnen schaden, wenn Ihre Passwörter im Internet herumschwirren. Machen Sie Ihre Schnappschüsse an speziell dafür vorgesehenen Orten. Wenn es keinen solchen Ort gibt, sollten Sie zumindest vorher die Wände und Schreibtische auf sensible Daten überprüfen.
  • Achten Sie auch darauf, was andere bei Videoanrufen und Telefonkonferenzen hinter Ihnen sehen können, selbst wenn Sie mit Kollegen oder Partnern sprechen.
  • Verbergen Sie sensible persönliche und geschäftliche Kontakte in sozialen Netzwerken. Denken Sie daran, dass Konkurrenten, Betrüger und Kriminelle diese gegen Sie verwenden können.
  • Bevor Sie eine Datei veröffentlichen, löschen Sie ihre Metadaten. Auf einem Windows-Computer können Sie dies in den Eigenschaften tun. Für Smartphones gibt es spezielle Anwendungen. Ihre Leser müssen nicht wissen, wo ein Foto aufgenommen wurde oder auf wessen Computer ein Dokument erstellt wurde.
  • Überlegen Sie sich gut, bevor Sie mit Arbeitserfolgen prahlen. Arbeitserfolge könnten tatsächlich Geschäftsgeheimnisse sein. Zumindest ist es wahrscheinlich nicht klug, seine Triumphe bis ins kleinste Detail der Öffentlichkeit zugänglich zu machen.

Mitarbeiter sollten sich sehr bewusst sein, welche Informationen vertraulich sind, und wissen, wie sie damit umgehen müssen. Unsere automatisierte Plattform für Sicherheitsbewusstsein bietet einen Kurs zu diesem Thema an.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.