Microsofts soziales Karriere-Netzwerk LinkedIn ist ja bei Firmen und Arbeitnehmern zum Knüpfen von Kontakten und auch zur "Suche nach Talenten" recht beliebt. Sicherheitsanbieter Trend Micro kommt aber in einer Untersuchung zum Schluss, dass von dieser Plattform durch gefälschte Profile neue Cyberrisiken ausgehen. Unternehmen und Nutzer werden zur besonderen Vorsicht aufgerufen, um nicht Opfer von Datenklau zu werden.
Anzeige
LinkedIn hat seinen Sitz in Sunnyvale, Kalifornien, USA, und ist ein soziales Netzwerk zur Pflege bestehender Geschäftskontakte und zum Knüpfen von neuen geschäftlichen Verbindungen. LinkedIn ist in 26 Sprachen verfügbar und hat über 930 Millionen Anwender in 200 Ländern und Regionen, so die Wikipedia. Besitzer ist inzwischen die Firma Microsoft, die die Plattform 2016 für einige Milliarden US-Dollar übernahm (siehe Microsoft kauft LinkedIn …).
Einen Bogen um LinkedIn gemacht
Persönlich bin ich nicht auf LinkedIn vertreten, und dies hat verschiedene Gründe. Erstens muss ich nicht Karriere im Business-Bereich machen. Zweitens hatte mich die Ankündigung Microsofts, die Plattform zu übernehmen, bereits 2016 davon abgehalten, irgend etwas mit dieser Plattform zu machen.
Hat leider nicht verhindert, dass meine E-Mail-Adresse über das Konglomerat Microsoft, LinkedIn, Lynda.com bei einem Datenleck dabei war. Hintergrund ist, dass der Anbieter Lynda.com im Rahmen eines Aufkaufs von video2brain an die E-Mail-Adressen der dort aktiven Videotrainer geriet. Folglich war ich auch unter der Gruppe Betroffener, die Ende 2016 über diesen Datenschutzvorfall informiert wurden (siehe LinkedIn: Hack bei Lynda.com, ca. 55.000 Konten betroffen). Ab diesem Moment war LinkedIn für mich persönlich endgültig verbrannt.
Spätere Datenschutzvorfälle und Änderung der Datenschutzregeln (siehe Links am Artikelende) haben mich in dieser Haltung bestärkt. Eine Kontaktaufnahme eines Leser im Frühjahr 2022, der über einen "Doppelgänger" im LinkedIn-Profil klagte und dies auf die Verwendung des Microsoft Instant Messenger und dessen Schwächen zurückführte, habe ich hier im Blog nicht thematisiert. Das Thema kann Einzelfall sein und war von mir als Außenstehender nicht verifizierbar.
Fake-Profile als Risiko
Die Tage bin ich über nachfolgenden Tweet auf die Information gestoßen, dass laut Trend Micro gefälschte Profile auf LinkedIn immer mehr zu einem Problem werden. Cyber-Kriminelle und staatliche Akteure versuchten auf dem Karrierenetzwerk nach den Daten "unbedarfter Nutzer" zu fischen.
Anzeige
Angebliche Headhunter kontaktieren LinkedIn-Nutzer mit interessant klingenden Stellenanzeigen. Das könnte Nutzer verleiten, einen Lebenslauf oder weitere Bewerbungsunterlagen an die anfragende Stelle zu schicken. Cyber-Spezialist Trend Micro hat das Kontaktnetzwerk in einer Studie untersucht und festgestellt, dass Fake-Profile, die es nur auf das Abfischen solcher Daten abgesehen haben, um Daten zu stehlen, mittlerweile immer gehäufter aufträten.
Richard Werner, "Business Consultant" bei Trend Micro, wird so zitiert, dass beispielsweise die nordkoreanische 'Advanced Persistent Threat' (APT)-Gruppe 'Lazarus' im September 2022 auf 'macOS'-Nutzer, die nach Jobs in der Krypto-Währungsbranche suchten, Jagd machte. Die so erbeuteten Daten seien von Lazarus an andere andere Cyber-Kriminelle verkauft worden.
LinkedIn versucht mit neuen Sicherheitsfunktionen dagegen zu halten, aber das Netzwerk ist komplex und die Nutzer müssen selbst wachsam sein, um kein Opfer von Datendiebstahl zu werden. Richard Werner von Trend Micro gibt im Artikel Datendiebstahl auf LinkedIn: So schützen sich Unternehmen und User in seinem Kommentar konkrete Handlungsanweisungen zum Schutz vor Datendiebstahl.
- Für Nutzer gilt, keine sensiblen oder personenbezogenen Daten (E-Mails, Telefonnummern, Adressen) öffentlich im Profil teilen oder an unbekannte Quellen übermitteln und sich über die Social-Media-Richtlinien des Arbeitgebers informieren. Datensparsamkeit ist die Devise.
- Unternehmen müssen Angestellte durch klare Regeln für den Auftritt in sozialen Medien schützen und diese im Rahmen eines Konten-, Profil-, Compliance-, Verifizierungs- und Vorfallsmanagements in der Belegschaft auch verankern.
Auch eine Multifaktor-Authentifizierung (MFA) für alle Konten gehören zur Best Practice, um die privaten und geschäftlichen Online-Konten für Angriffen zu schützen.
Zwar habe das Soziale Netzwerk daraufhin neue Sicherheitsfunktionen hinzugefügt, dennoch sei es für „LinkedIn" aufgrund der Komplexität der Plattform nach wie vor schwierig, jeden Nutzer ausreichend vor Bedrohungen zu schützen. „Es liegt also am Einzelnen, die eigenen Daten vor unbefugtem Zugriff zu bewahren", betont Werner. Die Quelle für die oben verlinkten zwei deutschsprachigen Artikel zum Thema dürfte der Ende März 2023 erschienene englischsprachige Trend Micro-Beitrag A Growing Goldmine: Your LinkedIn Data Abused For Cybercrime sein, wo sich weitere Details nachlesen lassen.
Ähnliche Artikel:
Microsoft kauft LinkedIn …
Linkedin-Deal: MS will Outlook für andere Anbieter öffnen
LinkedIn: Hack bei Lynda.com, ca. 55.000 Konten betroffen
Autsch: LinkedIn ändert Datenschutzregeln, Profile sollen mit Drittanbietern geteilt werden
LinkedIn Werbung an 18 Millionen fremde E-Mail-Empfänger
Linkedin zieht auf Azure um
Anzeige
Naja, die Gefahr von Fake Profilen besteht ja irgendwie mehr oder weniger überall. Klar kann man sich da jetzt exemplarisch LinkedIn rauspicken, weil Microsoft ja irgendwie eh immer böse ist. Persönlich würde ich vermuten, das Risiko besteht bei Xing in ähnlicher Weise auch.
Klar kann man sich, wie Du, alles schön reden und alles auf "Microsoft ist immer böse", oder "andere social networks bieten die Risiken auch" kaprizieren. Habe ich keine Probleme mit. Aber TM hat sich in seiner Untersuchung nun mal nicht Xing oder Facebook oder Twitter herausgesucht, sondern LinkedIn.
Die Botschaft ist zudem: Wenn ihr LinkedIn nutzt – die sind gegenüber Xing schlicht das größere Karrierenetzwerk und wird nach meinen Beobachtungen auch international breiter genutzt – dann ergreift schlicht Maßnahmen zum Schutz eurer Mitarbeiter und haltet euch als Mitarbeiter auf der Seite "Vorsicht ist die Mutter der Porzellankiste" – kann und sollte man natürlich genau so bei Xing halten. Aber die Chancen und Risiken, auf internationale Kontakte sind bei LinkedIn nun mal höher.
Hmm… ich habe mir meinen Kommentar jetzt drei Mal durchgelesen. Aber schöngeredet??? (schönreden = etwas in positivem Licht darstellen, obwohl es tatsächlich nicht so ist.). Mit Sicherheit nicht. Im Gegenteil, das Risiko besteht an so vielen Stellen, da ist doch nix schöngeredet.
Ok, nehme ich das Schönreden weg – aber am Kern "TM schreibt über LinkedIN" ändert sich nix.
tja, ist ja auch irgendwie blöd wenn von einer Datenklau Plattform durch Dritte Daten geklaut werden, um damit Datenhandel zu treiben…ohne dass MS daran verdient – fast so gemein wie Cambridge Analytica bei Facebook (wobei die zumindest viel Geld für manipulative Werbung bei Facebook ausgegeben haben).
Ob die unzähligen Datenhändler mit Adressen in 'genehmen Staaten' bessere Motive für den Datenhandel haben, wage ich zu bezweifeln.