Ashley Madison Reaktionsplan: Sind Sie vorbereitet?

Ganz unabhängig davon, wie Sie zu dem Seitensprungportal Ashley Madison stehen – das Datenleck, das vor einigen Wochen bekannt wurde, stellt für Unternehmen und die Cybersicherheit generell eine erhöhte Bedrohung dar. Hauptgrund ist, dass eine große Menge der gestohlenen Daten vorletzte Woche im Internet veröffentlicht wurde und angesichts des Slogans „Das Leben ist kurz. Gönn‘ Dir eine Affäre“ kann man davon ausgehen, dass es sich hier um hochsensible Informationen handelt. Bezüglich der IT-Sicherheit sollte man gleich an mehreren Fronten aktiv werden. In diesem Artikel nenne ich vier Aktionspunkte, die jedes Unternehmen berücksichtigen sollte. Zunächst möchte ich allerdings darauf eingehen, weshalb ein Reaktionsplan überhaupt nötig ist.

Was Unternehmen wissen müssen

Derzeit müssen sich insgesamt ca. 30 Millionen Menschen – meist männlich und in den USA lebend – mit der Tatsache auseinandersetzen, dass eventuell sensible Informationen über sie im Internet veröffentlicht wurden. Verantwortlich sind die Kriminellen, die diese Daten zuvor von dem kanadischen Unternehmen Avid Life Media (ALM) gestohlen hatten. ALM betreibt eine Vielzahl an „Dating-Seiten“, einschließlich AshleyMadison.com. Vielleicht arbeitet auch in Ihrem Unternehmen jemand, dessen Name in diesen Dateien auftaucht, doch die Bloßstellung selbst ist nicht der einzige Aspekt, durch den Ihr Unternehmen beeinflusst werden könnte. Im Folgenden nenne ich die Hauptbedrohungen, die meiner Meinung nach zurzeit bestehen:

  • Phishing: Erhöhtes Interesse an allen Einzelheiten rund um den Fall Ashley Madison und die veröffentlichten Daten bieten einen Idealen Köder für Phishing-Kampagnen via E-Mail oder SMS. Mit dem Versprechen, an entsprechende Informationen zu gelangen, sollen Nutzer dazu verführt werden, auf einen Link oder einen Anhang zu klicken. Anstatt die Neugierde der Person zu befriedigen, lauert dann allerdings ein schädlicher Code, der das System infiziert. Zu den Opfern solcher Angriffe gehören weniger die Leute, die AshleyMadison.com besucht haben, sondern vielmehr jeder, der gern wissen möchte, wer diese Onlineplattform genutzt hat (z.B. misstrauische Partner, Freunde, Familienangehörige, Kollegen, staatliche Organisation usw.).
  • Erpressung: Entsprechende Fälle sind bereits bekannt. Nutzern des Portals wurde damit gedroht, ihre Verbindung zu Ashley Madison öffentlich zu machen, wenn sie nicht bereit wären, für das Stillschweigen Geld zu bezahlen. Laut meiner Rechnung könnte jeder fünfte Mann zwischen 20 und 74 Jahren in den USA mit dem Portal in Verbindung gebracht* (man darf nicht vergessen, dass ALM offenbar alle Daten behalten hat, selbst wenn sich ein Nutzer abgemeldet hat) und somit potenzielles Opfer einer solchen Erpressung werden.
  • Betrüge: Es gibt einige skrupellose „Unternehmer“, die versuchen werden, die derzeitige Situation auszunutzen, um Geld zu machen. Das Angebot, die Informationen einer Person aus den Daten von Ashley Madison zu löschen, kann getrost abgelehnt werden. Denn das ist nicht möglich. Auch anderen Versprechungen, z.B. den Zugang zu den Informationen gegen eine gewisse Gebühr, sollte man besser nicht trauen.
  • Personalverlust: Eventuell fühlt sich manch ein Betroffener verpflichten, seinen Job zu kündigen, wenn seine Verbindung zu Ashley Madison öffentlich wird. Je nach Position, könnte das ernsthafte Auswirkungen auf die Produktivität, die Stimmung, das Wissen usw. im Unternehmen haben. Darüber hinaus könnte es natürlich auch passieren, dass Betroffene so sehr unter der Situation und den Konsequenzen leiden, dass sie Suizidgedanken entwickeln. Leider gibt es bereits Fälle, bei denen dieser Zusammenhang untersucht wird.

Was wurde preisgegeben?

Bevor wir uns mit den konkreten Aktionspunkten auseinandersetzen, möchte ich Klarheit über die derzeitige Situation schaffen. Mittlerweile sind die gestohlenen Daten für jeden zugänglich, der sich mit MySQL und Excel auskennt. Doch auch das Herunterladen entsprechender Dokumente birgt ein Risiko, denn wie bereits erwähnt kann man davon ausgehen, dass es hier auch einige gefälschte Angebote gibt, die weniger Informationen, sondern vielmehr schädlichen Code bereitstellen. Zu den veröffentlichten Informationen gehören Datensätze über die erstellten Benutzer-Accounts sowie über Kreditkartentransaktionen für den Kauf verschiedener Funktionen. Beim Umgang mit dieser Situation möchte ich jeden darum bitten, die folgenden Punkte zu berücksichtigen:

  • Allein die Tatsache, dass der Name oder die E-Mail-Adresse einer Person in den Datenbankauszügen von Ashley Madison aufgeführt wird, sagt noch nichts über die Person selbst oder ihre moralische Einstellung aus.
  • Es wurden einige gefälschte Accounts im Namen realer Personen erstellt.
  • Es ist bekannt, dass einige gefälschte Accounts vom Unternehmen selbst erstellt wurden, um – vor allem weibliche – Mitglieder anzulocken.
  • Viele Nutzer hatten nur ein kurzfristiges Interesse an der Webseite, auch ihre Daten wurden gespeichert und zu keinem Zeitpunkt wieder gelöscht.
  • Manche Personen haben sich aus reiner Neugier registriert oder aber festgestellt, dass das Portal nichts für sie ist und sich wieder abgemeldet, ohne eine Affäre gehabt zu haben. Der Forderung, alle Daten zu löschen, ist ALM allerdings offenbar nie nachgekommen.
  • Zwar haben Besucher häufig gefälschte Account-Namen und nicht offensichtliche E-Mail-Adressen genutzt, allerdings sind anhand der Kreditkartentransaktionen einige echte Namen verfügbar.
  • Viele Leute gingen auf die Webseite ohne die Absicht, jemanden im klassischen Sinne zu betrügen (denken Sie an Singles, Geschiedene, Witwen, offene Ehen usw.).

Ungeachtet von persönlichen Ansichten oder der Firmenkultur ist der pragmatischste Weg, diese Situation innerhalb des Unternehmens anzugehen, vermutlich über Empathie und Verständnis, statt mit einer wertenden Moralisierung. Denn letztes kann zu einem Klima der Angst führen, das für die effiziente und effektive Lösung von Problemen nicht gerade förderlich ist.

Reaktionsplan: Aktionspunkte

Die folgenden Aktionspunkte sind auf die oben genannten Bedrohungen abgestimmt. Die Art der Implementierung hängt natürlich von der Größe, Struktur und Kultur des Unternehmens ab. Ich rate Ihnen allerdings, die Situation nicht einfach zu ignorieren, nur weil es für den ein oder anderen vielleicht unangenehm ist, darüber zu reden.

  1. Phishing: Ich empfehle Ihnen, eine E-Mail an alle Mitarbeiter zu schicken und sie darauf aufmerksam zu machen, dass sie bei Nachrichten, die einen Bezug zu Ashley Madison haben, vorsichtig sein müssen. Am besten sollten solche Nachrichten gar nicht erst geöffnet werden und das Anklicken von Links oder Anhängen ist eine ebenso schlechte Idee. Zwar verfügen Unternehmen im Idealfall über Spamfilter und andere Sicherheitsfunktionen (diese sollten stets auf dem aktuellen Stand sein), aber man sollte sich nicht ausschließlich auf diese technischen Schutzmechanismen verlassen. Zudem sind die privaten Geräte der Mitarbeiter oftmals nicht so gut abgesichert. Mithilfe des Aufrufs zur Vorsicht verringern Sie das Risiko, dass sich eine Infizierung von Heim-Accounts auf Arbeitssysteme überträgt.
  2. Erpressung: Stellen Sie sicher, dass all Ihre Mitarbeiter wissen, dass es einen Ansprechpartner im Unternehmen gibt, mit dem man im Vertrauen und ohne Wertung über einen Erpressungsversuch reden kann.
  3. Betrüge: Die Bereitstellung von Informationen darüber, welche Arten von Betrügen im Umlauf sind und wie man sie erkennt – ob nun im privaten oder beruflichen Umfeld – ist eine kostengünstige Maßnahme, mit der viele Probleme und mögliche finanzielle Schäden vermieden werden können. Hierbei sollten Sie vor allem auf die oben genannten Betrugsversuche aufmerksam machen und ebenfalls einen Ansprechpartner für eventuell aufkommende Fragen benennen.
  4. Personalverlust: Suizid ist ein ernstes Thema und eine gute Personalabteilung sollte über Prozesse und Ressourcen zur Suizidprävention verfügen. Sensibilisieren Sie zudem Manager und Vorgesetzte dafür, dass sie auf besorgniserregende Anzeichen bei Mitarbeitern achten und in Bezug auf den Fall um Ashley Madison mit Einfühlungsvermögen reagieren, statt mit erbitterter Ablehnung und Wertung.

Meiner Meinung nach sind diese vier Punkte die wichtigsten Handlungsorientierungen für Unternehmen. Vielleicht fallen Ihnen ja noch weitere ein – nutzen Sie in dem Fall gerne die Kommentarfunktion. Unabhängig davon, was man über die Webseite und das Geschäftsmodell von Ashley Madison hält, sollte man nicht vergessen, dass das eigentlich Schlimme an diesem Vorfall die unverantwortliche Handlung der Personen ist, die die Daten gestohlen und veröffentlicht haben. Denn dadurch haben sie sowohl für Unternehmen als auch für Privatpersonen eine nicht zu verachtende Bedrohung geschaffen, der wir vorsichtig, aber effektiv begegnen müssen.

 

*Glaubt man den Angaben von Ashley Madison besitzt das Portal, 37 Millionen „Nutzer”. Wenn wir davon ausgehen, dass 80 Prozent davon in den USA leben und wiederum 75 Prozent Männer sind, ergibt das 22,2 Millionen männliche amerikanische Nutzer. Berücksichtigt man nun die Daten über die Bevölkerungszahlen von 2010 sowie ein jährliches Wachstum bis 2015, ergibt sich, dass derzeit 105,8 Millionen Männer zwischen 20 und 74 Jahren in den USA leben. Davon sind 22,2 Million ca. 21 Prozent, also jeder Fünfte. Natürlich ist es möglich, dass meine Annahmen falsch sind oder die Angaben von Ashley Madison über ihre Nutzerzahlen nicht stimmen. Aber selbst, wenn nur jeder zehnte Mann in den USA betroffen ist, würde das bedeuten, dass es in einem Unternehmen mit 100 männlichen Mitarbeitern eine Handvoll von Betroffenen gibt.

Autor Stephen Cobb, ESET