{"id":24606,"date":"2020-07-03T13:38:47","date_gmt":"2020-07-03T11:38:47","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=24606"},"modified":"2020-10-01T14:00:46","modified_gmt":"2020-10-01T12:00:46","slug":"unusual-ways-to-leak-info","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/unusual-ways-to-leak-info\/24606\/","title":{"rendered":"Vier M\u00f6glichkeiten, Ihre Unternehmensdaten k\u00f6niglich zu leaken"},"content":{"rendered":"

Wenn Sie Bilder von Konzertkarten auf Instagram posten, ohne dabei den Strichcode zu verbergen, k\u00f6nnte anstelle von Ihnen jemand anderes Ihre Lieblingsband zu sehen bekommen<\/a>. Dasselbe kann auch passieren, wenn Sie den Strichcode mit dem falschen Tool retuschieren<\/a>.<\/p>\n

Abgesehen davon ist es gar nicht so schwierig, den Strichcode richtig zu verbergen, bevor man mit den Tickets prahlt. Ganz anders verh\u00e4lt es sich, wenn man ein Foto online hochl\u00e4dt, ohne dabei ein Ticket oder, sagen wir, ein Post-It mit versehentlich eingerahmten Passw\u00f6rtern bemerkt zu haben. Hier gibt es mehrere F\u00e4lle, in denen Leute vertrauliche Daten online ver\u00f6ffentlicht haben, ohne sich dessen bewusst zu sein.<\/p>\n

1. Das Posten von Fotos mit Passw\u00f6rtern im Hintergrund<\/h2>\n

Fotos und Videos, die in B\u00fcros und anderen Einrichtungen aufgenommen wurden, enth\u00fcllen Passw\u00f6rter und Geheimnisse viel \u00f6fter, als man vielleicht denkt. Wenn man Schnappsch\u00fcsse von Kollegen macht, achten nur wenige Leute auf den Hintergrund, das Ergebnis kann peinlich bis hin zu gef\u00e4hrlich sein.<\/p>\n\n

Faux-Pas beim Milit\u00e4r<\/h3>\n

Im Jahr 2012 ist die britische Royal Air Force in ein gro\u00dfes Fettn\u00e4pfchen getreten<\/a>. Zusammen mit einer Fotoreportage \u00fcber Prinz William, der damals in einer RAF-Einheit (Luftwaffe) diente, wurden die Login-Daten f\u00fcr den MilFLIP (milit\u00e4rischer Luftraumnutzungsplan) ver\u00f6ffentlicht. Ein Benutzername und ein Passwort auf einem Blatt Papier schm\u00fcckten die Wand hinter dem Herzog von Cambridge.<\/p>\n

Kurz nach ihrer Ver\u00f6ffentlichung auf der offiziellen Website der k\u00f6niglichen Familie wurden die Bilder durch retuschierte Versionen ersetzt, und die Anmeldedaten wurden ge\u00e4ndert. Ob sie wieder an die Wand geheftet wurden, ist unbekannt.<\/p>\n

\"MilFLIP-Zugangsdaten

MilFLIP-Zugangsdaten als Deko. Quelle<\/a><\/strong><\/p><\/div>\n

Der Prinz-William-Vorfall ist kaum ein Einzelfall. Auch weniger bekannte Milit\u00e4rangeh\u00f6rige tauschen online Geheimnisse aus, sowohl mit als auch ohne die Hilfe der Presse. So ver\u00f6ffentlichte beispielsweise ein Offizier ein Selfie auf einem sozialen Netzwerk<\/a>, w\u00e4hrend im Hintergrund die Arbeitsdisplays geheime Informationen zeigten. Der Soldat kam mit einer \u201eUmerziehung und Ausbildung\u201c glimpflich davon.<\/p>\n

Live Leak<\/h3>\n

Im Jahr 2015 fiel der franz\u00f6sische Fernsehsender TV5Monde einem Cyberangriff zum Opfer. Unbekannte Personen hackten und verunstalteten die Website und die Facebook-Seite der Organisation<\/a>\u00a0und unterbrachen die \u00dcbertragung f\u00fcr mehrere Stunden.<\/p>\n

Nachfolgende Ereignisse verwandelten die Geschichte in eine Kom\u00f6die. Ein Mitarbeiter von TV5Monde gab Reportern ein Live-Interview \u00fcber den Angriff \u2013 und das mit den Passw\u00f6rtern f\u00fcr die Social-Media-Konten des Unternehmens im Hintergrund<\/a>. Auf den Bildern ist der Text schwer zu lesen, aber Enthusiasten konnten das Passwort f\u00fcr das YouTube-Konto von TV5Monde schnell entziffern.<\/p>\n

Zuf\u00e4lligerweise war es auch ein weiteres Beispiel daf\u00fcr, wie man kein Passwort erstellen sollte: Die fragliche magische W\u00f6rterkombination stellte sich als \u201elemotdepassedeyoutube\u201c heraus, was w\u00f6rtlich \u00fcbrsetzt \u201eyoutubepasswort\u201c hei\u00dft. Gl\u00fccklicherweise blieben YouTube und andere Konten des Unternehmens unversehrt. Die Passwort-Hintergrundgeschichte gibt jedoch einige Denkanst\u00f6\u00dfe f\u00fcr den ersten Cyberangriff.<\/p>\n

\"TV5Monde-Mitarbeiter

TV5Monde-Mitarbeiter gibt ein Interview mit Passw\u00f6rtern im Hintergrund. Quelle<\/a><\/strong><\/p><\/div>\n

Ein \u00e4hnlicher Vorfall ereignete sich kurz vor dem Super Bowl XLVIII im Jahr 2014, als sich die internen WLAN-Anmeldedaten des Stadions<\/a> in die Linse eines TV-Kameramannes einschlichen. Um Salz in die Wunde zu streuen, kam das Material direkt aus der Kommandozentrale, die f\u00fcr die Sicherheit der Veranstaltung verantwortlich ist.<\/p>\n

\"Wlan-Anmeldeinformationen,

Wlan-Anmeldeinformationen, die auf einem Bildschirm in der Kommandozentrale des Stadions angezeigt werden. Quelle<\/a><\/strong><\/p><\/div>\n

2. Die Verwendung von Fitness-Trackern<\/h2>\n

Ger\u00e4te, die man zur \u00dcberwachung des Gesundheitszustandes verwendet, k\u00f6nnten sehr wohl jemand anderem erm\u00f6glichen, Sie<\/em> zu \u00fcberwachen<\/a> und sogar vertrauliche Daten<\/a> wie den PIN-Code einer Kreditkarte aus Ihren Handbewegungen zu erbeuten. Das letztere Szenario ist jedoch ein wenig unrealistisch.<\/p>\n

Aber Datenleaks \u00fcber den Standort geheimer Einrichtungen sind leider Realit\u00e4t. So markiert beispielsweise die Fitness-App Strava, die von mehr als 10 Millionen Nutzern genutzt wird, die Joggingstrecken der Nutzer auf einer \u00f6ffentlich-zug\u00e4nglichen Karte<\/a>. Sie hat auch geheime Milit\u00e4rst\u00fctzpunkte <\/a>\u00a0\u00a0enth\u00fcllt.<\/p>\n

Obwohl die App so konfiguriert werden kann, dass sie Routen vor neugierigen Blicken verbirgt, sind offenbar nicht alle Benutzer in Uniform in solchen technischen Dingen versiert.<\/p>\n

\"Soldatenbewegungen

Soldatenbewegungen auf einem US-Milit\u00e4rst\u00fctzpunkt in Afghanistan anhand der Strava-Karte. Quelle<\/a><\/strong><\/p><\/div>\n

Unter Berufung auf die m\u00f6gliche Gefahr neuer Leaks erlie\u00df das Pentagon 2018 schlicht und einfach ein Verbot solcher Fitnesstracker<\/a>. Sicher, f\u00fcr diejenigen, die ihre Tage nicht zuf\u00e4llig auf US-Milit\u00e4rst\u00fctzpunkten verbringen, k\u00f6nnte dieser Ansatz \u00fcbertrieben klingen. Trotzdem empfehlen wir Ihnen, sich die Zeit zu nehmen, die Privatsph\u00e4re-Einstellungen in Ihrer Fitness-App zu konfigurieren.<\/p>\n

3. \u00dcbertragung von Metadaten<\/h2>\n

Man vergisst leicht (oder man wei\u00df es gar nicht), dass Geheimnisse in den Dateninformationen, den sogenannten Metadaten<\/a> verborgen sein k\u00f6nnen. Insbesondere Fotos enthalten oft die Koordinaten des Ortes<\/a>, an dem sie aufgenommen wurden.<\/p>\n

Im Jahr 2007 stellten US-Soldaten (hier scheint sich ein Muster zu entwickeln) Fotos von Hubschraubern<\/a> online, die auf einem St\u00fctzpunkt im Irak ankamen. Die Metadaten der Bilder enthielten die genauen Koordinaten des Ortes. Einer Version der Ereignisse zufolge wurden die Informationen anschlie\u00dfend bei einem feindlichen Angriff verwendet, der die Vereinigten Staaten vier Hubschrauber kostete.<\/p>\n

4. Die zu offenherzige Nutzung sozialer Netzwerke<\/h2>\n

Indem man sich einfach die Freundesliste einer Person anschaut, kann man einige Geheimnisse l\u00fcften. Wenn zum Beispiel ein Verk\u00e4ufer aus einer bestimmten Region pl\u00f6tzlich in der Freundesliste<\/a> eines Unternehmensleiters auftaucht, k\u00f6nnen Konkurrenten daraus schlie\u00dfen, dass die Organisation nach neuen M\u00e4rkten sucht, und dabei versucht, ihr den Rang abzulaufen.<\/p>\n

Im Jahr 2011 f\u00fchrte die Computerworld<\/em>-Journalistin Sharon Machlis ein Experiment<\/a> durch, um Informationen aus LinkedIn zu sammeln. In nur 20 Minuten fand sie die Anzahl der Moderatoren der Online-Foren von Apple, den Aufbau der HR-Infrastruktur des Unternehmens und vieles mehr heraus.<\/p>\n

Wie die Autorin zugibt, hat sie so etwas wie ein Gesch\u00e4ftsgeheimnis nicht l\u00fcften k\u00f6nnen, aber Apple ist stolz darauf, den Datenschutz ernster zu nehmen als andere Unternehmen. In der Zwischenzeit konnte jeder die Aufgaben des HP-Vizepr\u00e4sidenten, der wiederum bei LinkedIn aufgef\u00fchrt ist, einsehen. So z.B. \u00a0an welchen Cloud-Diensten das Unternehmen arbeitete.<\/a><\/p>\n

Wie man versehentliche Leaks von Daten vermeidet<\/h2>\n

Mitarbeiter k\u00f6nnen unwissentlich viel \u00fcber Ihr Unternehmen teilen. Um zu verhindern, dass Ihre Geheimnisse \u00f6ffentlich bekannt werden, legen Sie strenge Regeln f\u00fcr die Ver\u00f6ffentlichung von Informationen im Internet fest und informieren Sie all Ihre Mitarbeiter:<\/p>\n