Standortdaten im Netz

Wie Bildinformationen zum Sicherheitsrisiko werden

Geotags, Metadaten und weitere Bildinformationen bringen nicht nur Vorteile. Cyberkriminelle können diese Infos nutzen, um Personen und Unternehmen zu schaden.
Von 
CSO | 15. September 2022 05:56 Uhr
Durch das Teilen von Fotodaten im Netz erhalten Wettbewerber, Kriminelle und Geheimdienste wichtige Informationen, aus denen sie ihr Puzzle zusammen setzen können.
Durch das Teilen von Fotodaten im Netz erhalten Wettbewerber, Kriminelle und Geheimdienste wichtige Informationen, aus denen sie ihr Puzzle zusammen setzen können.
Foto: alwie99d - shutterstock.com

Fotos von Kunden und Mitarbeitern bei gesellschaftlichen Veranstaltungen, Messen, Konferenzen und direkten persönlichen Begegnungen werden im Social-Media-Zeitalter oft als pures Gold angesehen. Der Erfolg solcher Bilder wird dabei in Impressionen, Ansichten und individuelle Reaktionen darauf gemessen.

Fotodaten provozieren gezielte Angriffe

Für die Konkurrenz sind solche Fotos mindestens ebenso viel wert, weil sie durch die Analyse eine Fülle nützlicher Informationen sammeln kann. Dazu zählen Metadaten wie Geotags und Datum oder die Identität der Personen, die auf dem Bild zu sehen sind. Mit diesen Angaben erhalten Wettbewerber, Kriminelle und Geheimdienste wichtige Informationen, aus denen sie ihr Puzzle zusammen setzen können.

Warnungen vor physischen und digitalen Angriffen

So hat das Overseas Advisory Council (OSAC) des US-Außenministeriums in einer offiziellen Warnung auf das physische und digitale Targeting hingewiesen, das über die Weitergabe von Standortdaten erfolgen kann. Das OSAC wendet sich vor allem an US-amerikanische Unternehmen, die im Ausland tätig sind. "Die Standortfreigabe ist der einfachste Weg für böswillige Akteure, Sie im wirklichen Leben zu finden", mahnt die Behörde.

In ähnlicher Weise warnt das US-Militär bereits seit 2012 vor den Sicherheitsrisiken, die mit der Veröffentlichung von Informationen über den Standort von Mitarbeitern verbunden sind, und weist insbesondere auf Anwendungen hin, die auf den genauen Standort einer Person zugreifen. Aus diesem Grund entscheiden sich viele Geschäftsleute nach wie vor dafür, auf Dienstreisen Wegwerfhandys zu benutzen. Sie ermöglichen es sowohl mit dem Büro als auch mit der Familie zu kommunizieren, ohne jedoch zu viele Informationen zu liefern.

Seit Jahren plädieren Verfechter des Datenschutzes dafür, dass jeder Einzelne seinen Wunsch, der Welt mitzuteilen, was er tut und wo er es tut, zügeln sollte, auch bekannt als TMI (too much information). Wenn man angibt, wo man ist, zeigt man auch, wo man nicht ist. Informationen werden von denjenigen überwacht und genutzt, die ein paar Minuten ihrer Zeit investieren, um die Social-Media-Aktivitäten einer bestimmten Person oder Einrichtung zu überwachen. Deshalb sollten in den jährlichen und vor Reisen stattfindenden Briefings für Führungskräfte auch auf die Notwendigkeit der Diskretion hingewiesen werden.

Beispiele für den Missbrauch von Bildinformationen

Vor allem im Urlaub ist der Drang, sich mitzuteilen besonders hoch. Dadurch entsteht ein Sicherheitsrisiko, nicht nur für die Person, die das Foto teilt, sondern auch für die Menschen, Orte und Dinge, die sich im Rahmen des Fotos befinden. Hier ein paar Beispiele:

Die Ukraine: Es ist bekannt, dass die Ukraine alle Register zieht, um den Cyberinformationsraum zu beherrschen, wozu auch das Sammeln von Daten aus Bildern gehört, die von Russen in verschiedenen Online-Foren gepostet werden. Erst kürzlich hat ein russischer Tourist auf dem russischen Facebook-Endant vk.com ein Selfie von sich und einem russischen S400-Raketensystem gepostet, und damit den genauen Standort der russischen Flugabwehr verraten. Das ukrainische Verteidigungsministerium hat daraufhin ein Spottvideo über russische Touristen auf der Krim veröffentlicht. In diesem Video wird darauf hingewiesen, dass die Krim kein Ort ist, den man besuchen sollte.

Ein weiteres Beispiel zur Ukraine: Eine Gruppe mit dem Namen "HackControl", auch bekannt als "Hackyourmom", erstellt in sozialen Netzwerken wie Facebook und dem russischen Vkontakte (VK) Fake-Profile von Frauen, um Kontakt zu russischen Soldaten, die in der Ukraine stationiert sind, aufzunehmen. Diese werden dann dazu gebracht, Fotos von sich selbst zu veröffentlichen. Die Bilder enthalten dabei häufig nützliche Geotags, Metadaten und andere Informationen, die für die ukrainischen Verteidigung von Nutzen sind. Mykhailo Fedorov, der ukrainische Minister für digitale Informationen, wurde in der Washington Post mit den Worten zitiert: "Wir erhalten täglich Tausende von Berichten. Sie sind sehr, sehr nützlich."

Afrika: In Naturschutzgebieten haben Ranger an strategischen Stellen Schilder angebracht, auf denen sie Touristen auffordern, ihren Teil zur Rettung ihrer Tiere beizutragen. "Bitte seien Sie vorsichtig, wenn Sie Fotos in den sozialen Medien teilen. Sie können Wilderer zu unseren Nashörnern führen. Schalten Sie die Geotag-Funktion aus und verraten Sie nicht, wo das Foto aufgenommen wurde."

Was sollten CISOs in Bezug auf das Teilen von Fotos tun?

Unterm Strich müssen alle CISOs ihre Mitarbeiter in Schulungen darauf sensibilisieren, dass das scheinbar harmlose Verhalten das Unternehmen unbeabsichtigt in Gefahr bringen kann. Das Overseas Advisory Council geht sogar noch weiter und rät, niemals an einem Ort "einzuchecken", nicht damit zu werben wohin man geht, oder zu posten, wo man war. Außerdem sollte man keine Unternehmen oder Orte zu zeigen, die man häufig besucht. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Christopher schreibt unter anderem für unsere US-Schwesterpublikation CSO Online. Er war für mehr als 30 Jahre Mitarbeiter der Central Intelligence Agency.