REPORT Mehrwert für Manager - Cyberangriff: LinkedIn als Einfallstor

LinkedIn ist für viele Unternehmen zur digitalen Visitenkarte geworden: Mitarbeitende präsentieren Projekte, Erfolge und Partnerschaften, Führungskräfte positionieren sich als Expert:innen, Unternehmen zeigen Innovation und Unternehmenskultur. Gleichzeitig wird die Plattform zunehmend zu einer frei zugänglichen Datenquelle für Angriffe auf Organisationen.

Eine Analyse der Cybersicherheitsforscher von TrendAI, einem Geschäftsbereich von Trend Micro, zeigt, wie stark sich die Angriffsvorbereitung verändert hat. Open Source Intelligence (OSINT) – also das Sammeln öffentlich verfügbarer Informationen über Personen oder Organisationen – war lange der aufwendigste Teil eines Angriffs. Diese Phase der Reconnaissance, also der Informationsaufklärung, galt als klassischer Flaschenhals: Sie erforderte Zeit, Erfahrung und viel manuelle Recherche. Deshalb wurden stark zielgerichtete Angriffe auch vorwiegend gegen hochrangige Ziele eingesetzt, beispielsweise im Rahmen staatlicher Spionage.

Durch KI wird dieser Schritt zunehmend automatisiert. Offene Daten aus LinkedIn-Profilen, Posts, Bildern oder Metadaten können von entsprechenden Tools gesammelt, strukturiert und bewertet werden. Aus einzelnen Informationen entsteht ein detailliertes Zielprofil: Wer arbeitet in welcher Rolle? Wer trifft Entscheidungen? Wer hat Zugriff auf sensible Prozesse?

Der entscheidende Punkt: Diese Informationen stammen aus öffentlich zugänglichen Quellen – ohne Login, ohne Hack, oft mit frei verfügbaren Tools.

LinkedIn-Inhalte als maschinenlesbare Informationsquelle

Besonders wertvoll für Angreifer sind Inhalte, die über klassische Profilinformationen hinausgehen. Beiträge über Projekte, Fotos von Veranstaltungen oder Teammeetings sowie Kommentare und Interaktionen liefern zusätzlichen Kontext über Organisationen. KI-Systeme können solche Inhalte automatisiert analysieren. Texte, Bilder und Metadaten werden dabei zu maschinenlesbaren Informationen, die sich miteinander kombinieren und auswerten lassen.

Fotos können beispielsweise Hinweise auf Technologien, Projekte oder Partner liefern – etwa durch sichtbare Präsentationsfolien, Whiteboards, Zugangsausweise oder Bildschirme im Hintergrund. Gleichzeitig lassen sich aus Jobtiteln, Beiträgen und Interaktionen Organisationsstrukturen ableiten, die zeigen, wer Entscheidungen trifft oder welche Abteilungen miteinander arbeiten.

Vom öffentlichen Post zur personalisierten Attacke

Mit diesen Informationen lassen sich anschließend personalisierte Angriffe entwickeln. Ein Beispiel: Ein LinkedIn-Post über den Start eines neuen ERP-Projekts liefert bereits mehrere Bausteine für einen möglichen Angriff – den Projektnamen, beteiligte Personen und einen plausiblen Anlass für Kommunikation. Daraus kann eine scheinbar interne E-Mail entstehen, etwa mit der Bitte an die Buchhaltung, Zahlungsdaten zu prüfen. Die Täuschung funktioniert, weil sie reale Details aus der Organisation aufgreift: bekannte Namen, aktuelle Projekte und einen glaubwürdigen Kontext.

Generative KI kann solche Nachrichten automatisch erstellen und sogar zusätzliche Elemente generieren – etwa passende Phishing-Webseiten oder weitere Kommunikationsinhalte. In Experimenten zeigte sich, dass ein entsprechender Angriff inklusive Zielprofil, Nachricht und unterstützender Infrastruktur innerhalb kurzer Zeit vorbereitet werden kann. Ein Proof of Concept von TrendAI ließ sich innerhalb von weniger als 24 Stunden umsetzen; das Profiling einer gesamten Führungsebene und die Erstellung der notwendigen Angriffsressourcen waren in rund 30 Minuten möglich.

Damit verändert sich die Dynamik gezielter Angriffe. Während früher die Recherchephase ein zeitintensiver Engpass war, können Angreifer heute personalisierte Inhalte schnell genug generieren, um individuelle Täuschungsversuche auch in größerem Maßstab durchzuführen. Die Angriffe selbst erfolgen häufig über legitime Kommunikationskanäle wie E-Mail oder berufliche Netzwerke. Wenn Inhalt, Absendername und Zeitpunkt plausibel wirken, greifen klassische Sicherheitsmechanismen oft nicht.

Die digitale Außendarstellung wird zur Angriffsfläche

Damit erweitert sich auch das Verständnis der Angriffsfläche eines Unternehmens. Sie umfasst nicht mehr nur IT-Systeme und Netzwerke. Auch die öffentliche digitale Präsenz von Mitarbeitenden – etwa über Profile, Posts oder Bilder in sozialen Netzwerken – kann für Angriffe genutzt werden. Informationen, die für Menschen harmlos wirken, werden durch automatisierte Analyse zu verwertbarer Intelligenz. Unternehmen werden damit nicht nur über ihre IT angegriffen, sondern auch über ihre öffentliche Selbstdarstellung – eine Sichtbarkeit, die im Geschäftsalltag oft bewusst gefördert wird.

Neue Anforderungen an die Sicherheitsstrategie

Für Organisationen bedeutet das, dass klassische Awareness-Schulungen allein nicht mehr ausreichen. Stattdessen wird ein umfassender Ansatz wichtiger, der auch den Umgang mit öffentlich sichtbaren Informationen berücksichtigt. Mitarbeitende sollten für die mögliche Ausnutzung solcher Informationen durch Angreifer sensibilisiert gemacht werden. Darüber hinaus müssen Unternehmen leider davon ausgehen, dass der Sicherheitsbaustein „Mensch“ im KI-Zeitalter zunehmend an Effektivität verliert und ihre internen Prozesse entsprechend ausrichten. Im Besonderen betrifft dies sensible Geschäftsbereiche wie die Freigabe von Zahlungen oder den Zugriff auf sensible Daten. Denn moderne Cyberangriffe zielen zunehmend darauf ab, Vertrauen auszunutzen – nicht nur technische Schwachstellen.

Das sollten Sie wissen:

KI beseitigt den Reconnaissance-Flaschenhals

Die Recherchephase war lange der zeitaufwendigste Teil eines Cyberangriffs. Durch automatisierte Datensammlung und KI-gestützte Analyse lassen sich heute öffentlich verfügbare Informationen aus Plattformen wie LinkedIn in kurzer Zeit zu detaillierten Zielprofilen zusammenführen.

Öffentliche Inhalte werden zu verwertbarer Intelligenz

Posts, Fotos, Kommentare oder Metadaten liefern Angreifern wertvolle Kontextinformationen über Projekte, Technologien, Hierarchien und Entscheidungswege. KI kann diese Inhalte automatisiert auswerten und zu einem präzisen Organisationsbild zusammensetzen.

Social Engineering wird glaubwürdiger und skalierbar

Mit den gewonnenen Informationen lassen sich personalisierte Angriffe erstellen, die reale Namen, Projekte und Kommunikationsstile aufgreifen. Dadurch wirken Phishing-Mails oder Anfragen besonders plausibel und können schneller sowie in größerem Maßstab durchgeführt werden.

Über den Autor