#Hackerangriff? So sichern wir die Zugangsdaten von Social-Media-Accounts

Unternehmen müssen sich absichern

In der Unternehmenskommunikation wird gerne mal geschludert. Da gilt es, auf die Schnelle zur mühsam vorbereiteten Pressemitteilung die gerade eintreffenden Reaktionen auf Facebook einzufangen. Auf Instagram macht sich die Konkurrenz mit einem Video übers neue eigene Produkt lustig. Und der neue Praktikant macht einen super Vorschlag für eine kluge humorvolle Antwort, nur hat er noch keinen Zugang.

Das kann auch dem CEO passieren

Also wird er – Zack! – zum „Redakteur“ auf Facebook befördert; das Passwort für den Twitter-Zugang der Firma gibt’s auf einem gelben Post-it an den Bildschirm gepappt, und für die vorbereiteten Werbekacheln für die Kampagne nächste Woche schaltet man ihm den kompletten Ordner der Abteilung im Intranet frei. Weil der Praktikant es wirklich drauf hat, sichert er sämtliche Zugangsdaten im Passwortmanager seines Laptops. Dumm nur, wenn ihm das später in der Bahn geklaut wird und ein anderer beim Einloggen ins Gerät auf die Tastatur geschaut hat. – Und das kann auch dem CEO passieren.

Social-Media-Zugänge firmenweit und vielleicht sogar noch im Zusammenspiel mit externen Agenturen abzusichern ist keine triviale Angelegenheit. Allzu schnell geht Bequemlichkeit vor Sicherheit. Bei dirico.io kommen die besonders sensiblen Zugangsdaten für sämtliche Firmenaccounts des Unternehmens auf diversen Social-Media-Plattformen zusammen. Das erfordert besondere Absicherungen, wie Thorsten Zeutzheim, CTO und Chefentwickler von dirico.io, erklärt:

Der Dienst ist auf deutschen Servern (German Cloud) verfügbar und unterliegt natürlich der deutschen Datenschutz-Grundverordnung (DSGVO).

Es gibt regelmäßig sogenannte Penetration-Tests, bei denen die Sicherheit von externen und unabhängigen Fachleuten überprüft wird.

Die Infrastruktur ist in puncto Sicherheit nach höchsten Standards (u.a. ISO 27001, BSI C5) zertifiziert, den dirico.io peinlich genau beachtet.

Für die Nutzung von dirico.io kann (und sollte, wie wir immer wieder in Gesprächen mit unseren Kunden betonen) die Zwei-Faktor-Authentifizierung unternehmensweit eingeschaltet werden.

In sogenannten Audit-Logs vermerken wir jegliche Änderungen in dirico.io. Auffälligkeiten lassen sich so leichter entdecken.

Ein eigenes Intrusion-Detection-System meldet einen Alarm bei ungewöhnlichen Aktivitäten. Wird etwa ein regulär zulässiger Account für dirico.io plötzlich verstärkt aus Ländern in Asien oder den USA genutzt, eskaliert die Software einen Hinweis an die Administration.

Hinzu kommen Methoden, um sogenannte Bruteforce-Angriffe abzuwenden. Mehrfach falsche Passworteingaben führen zur Sperrung des Logins, ebenso wird das Administratoren-Team informiert.

Auf Server-Ebene werden sämtliche Passwörter verschlüsselt gespeichert (und, für Experten, gesalzen und „gehasht“). Auch die Daten selbst sind verschlüsselt abgespeichert.

Kein Social-Media-Passwort muss herumgereicht werden

Das Wichtigste aber: Dank dirico.io muss für keinen wertvollen Firmenaccount auf Twitter, Facebook, Instagram und Co. das jeweilige Zugangspasswort jedem Mitarbeiter zur Verfügung gestellt werden. Es reicht sein gesondert abgesicherter Zugang zu dirico.io. Über die Software wird fein granuliert eingestellt, was er im jeweiligen Kanal machen darf und was nicht.

Und auch, wenn der Praktikant – oder der CEO – das Unternehmen einmal verlässt, entzieht man ihm einfach den dirico.io-Zugang. Die dahinterliegenden Social-Media-Accounts können unverändert bleiben, da muss kein Passwort geändert werden.

Beispiel eines betroffenen Accounts

Der untenstehende Screenshot des Twitter-Accounts des World Wide Fund For Nature (WWF) soll als Beispiel dafür dienen, wie ein gehackter Account missbraucht werden kann.

WWF Aktion reagierte so schnell es ging auf den Vorfall, löschte die Tweets und erklärte, dass die Sicherheitsmechanismen für kurze Zeit versagten. Daraufhin haben Trolle die Situation ausgenutzt und besagte Tweets veröffentlicht.

Dafür entschuldigte sich der Account öffentlich bei allen Followern und Twitter-Usern.

In dirico hinterlegte Zugangsdaten sind geschützt

Mit dirico.io endet die Ära der gelben Post-its am Bildschirmrand – sämtliche Zugangsdaten von unternehmenseigenen Social-Media-Accounts sind bei uns sicher. Um das zu gewährleisten, legen wir Wert auf die Zwei-Faktor-Authentifizierung, Audit-Logs, ein eigenes Intrusion-Detection-System und vieles mehr.

Beantragen Sie einen kostenfreien Testzugang zur All-in-one-Plattform dirico.io und überzeugen Sie sich von den umfangreichen Funktionen rund um die Planung, Erstellung und Veröffentlichung von Content auf all Ihren Kanälen.