*Offene Türen im digitalen Vorgarten

Was ein LinkedIn-Experiment über den Zustand der IT-Security in Deutschland verrät

Ein Erfahrungsbericht aus der Praxis zeichnet ein unbequemes Lagebild.

Es gibt diesen Mythos in der IT-Security: Angriffe werden immer raffinierter, komplexer, technologisch ausgefeilter. Und dann gibt es die Realität: Manchmal reicht ein Premium-Account im LinkedIn Sales Navigator, ein bisschen Geduld und erstaunlich viel menschliche Mithilfe.

Eine LinkedIn-Sicherheitslücke, die keine sein sollte

Im Rahmen einer Analyse bin ich auf eine Konstellation gestoßen, die man nicht als klassischen Bug bezeichnen kann. Eher als Feature mit sicherheitstechnischen Nebenwirkungen.

Unter bestimmten Privatsphäre-Einstellungen erlaubt LinkedIn zahlenden Nutzern, die E-Mail-Adresse einzusehen, mit der sich Personen registriert haben. Und das ist in vielen Fällen eben nicht die geschäftliche Adresse, sondern die private (häufig bei gmx, web, yahoo, hotmail, gmail und Co.)

Also genau die Adresse, an der:

• Passwort-Resets landen
• Onlinebanking hängt
• verschiedenste Accounts zusammenlaufen

Mit anderen Worten: die zentrale digitale Identität eines Menschen.

Kein Exploit. Kein Hack. Kein Darknet-Zugriff nötig. Nur eine Kombination aus Default-Einstellungen und einem Tool, das eigentlich für Vertrieb gedacht ist. 

Warum das aus Angreifersicht hochattraktiv ist

Moderne Cyberangriffe beginnen selten im Unternehmensnetzwerk. Sie beginnen bei Identitäten. Und was hier entsteht, ist ein nahezu perfektes OSINT-Szenario:

• Verifizierte E-Mail-Adresse
• Klare Zuordnung zu Unternehmen und Rolle
• Kontext durch Profil, Netzwerk und Karriere

Das ist nicht „nice to have“.
Das ist fertig kuratiertes Angriffsmaterial.

Vom LinkedIn-Profil zur Angriffskette

Die eigentliche Gefahr entfaltet sich erst im Zusammenspiel: Zuerst wird die E-Mail-Adresse extrahiert. Danach folgt der Abgleich mit bekannten Datenleaks, beispielsweise über Have I Been Pwned. Und plötzlich weiß man nicht nur, wer die Person ist, sondern auch, wo sie bereits kompromittiert sein könnte.

Ab hier wird es operativ:

• Passwort-Wiederverwendung wird getestet (Credential Stuffing)
• Passwortmuster werden abgeleitet
• gezielte Phishing-Kampagnen werden vorbereitet

Und dann kommt der entscheidende Perspektivwechsel:

Der Angriff findet nicht im Unternehmen statt – sondern im Privatleben.

Denn dort gibt es:

• selten MFA
• kaum Monitoring
• deutlich weniger Skepsis

Ein gut gemachter Phishing-Angriff auf die private Mail eines CIO hat oft bessere Chancen als jeder Angriff auf das Firmennetzwerk. 

Social Engineering 2026: „Verbinden“ statt „Hacken“

Der vielleicht eleganteste und gleichzeitig beunruhigendste Teil: Viele Profile sind initial gar nicht so offen. Aber sie werden es… nach einer Kontaktanfrage. Und diese werden erstaunlich häufig akzeptiert.

Selbst dann, wenn kein persönlicher Bezug besteht, keine Nachricht enthalten ist, und der Absender völlig unbekannt ist. Das bedeutet in der Praxis: Ein Angreifer muss nicht einmal auf bestehende Daten zugreifen. Er kann sie sich aktiv „freischalten“. Skalierbar. Automatisierbar. Effektiv.

Tausende Anfragen raus.
Ein Teil wird akzeptiert.
Und plötzlich sind genau die Informationen sichtbar, die vorher geschützt waren.

Man wird nicht gehackt. Man wird vernetzt.

Wir leben in einer Zeit, in der es irgendwie cool ist, möglichst viele Follower zu haben. Was wir bei anderen Generationen auf TikTok und Co. belächeln, praktizieren wir dann auf LinkedIn plötzlich selbst...

Feldversuch: Wenn Theorie auf Realität trifft

Um das Risiko greifbarer zu machen, habe ich 30 IT-Verantwortliche (CIOs, CTOs, CISOs, IT-Leiter und so weiter) kontaktiert. Natürlich alle betroffen vom oben geschilderten Thema und alle mit nachweislich bereits geleakten und sehr valide anmutenden privaten E-Mail Adressen. (Tatsächlich gab es auch einige vorbildliche User, die speziell Adressen nur für LinkedIn nutzten. Etwa linkedin@eigenedomain.de

Die Nachricht war bewusst neutral: kein Vertriebstext, kein Pitch, nur ein Hinweis auf eine potenzielle Schwachstelle, die ich in ihren Accounts gefunden habe. Und natürlich kurz vor einem Feiertag (denn wir wissen ja alle, wann die bösen Buben am liebsten zuschlagen ...)

Die Reaktionen lesen sich wie ein kleines Lagebild der IT-Security-Kultur:

• Zwei Personen waren interessiert und wollten Details
• Eine Person hat mich direkt blockiert
• Eine weitere hat freundlich geantwortet – und dankend abgelehnt
• Der Rest: gelesen, ignoriert

Besonders bemerkenswert war die Aussage:

„LinkedIn ist Privatsache“

Das ist fachlich ungefähr so belastbar wie: „Mein Haustürschlüssel hat nichts mit der Sicherheit meines Büros zu tun. Auch wenn ich auf dem Küchentisch in meiner Tasche evtl. den Transponder für die Büroräume liegen habe.“

Die unbequeme Wahrheit: Es geht auch richtig

Fairerweise muss man sagen: Es gab auch positive Beispiele. Einige Profile waren sauber konfiguriert:

• keine unnötige Sichtbarkeit
• klare Trennung von privaten und geschäftlichen Daten
• Explizite E-Mail Adressen nur für LinkedIn

Diese zeigen: Das Problem ist weder komplex noch teuer zu lösen.

…und dann ist da noch die Grauzone

Besonders kritisch ist eine dritte Kategorie: Profile, die auf den ersten Blick sicher wirken, aber Kontaktanfragen völlig ungeprüft akzeptieren.

Nach der Vernetzung:

→ Zugriff auf zusätzliche Informationen

Das ist aus Angreifersicht fast ideal:

• kein technischer Schutz greift mehr
• Vertrauen ist implizit vorhanden
• weitere Kommunikation wirkt legitim

Hier wird aus einer Konfigurationsfrage ein echtes Social-Engineering-Einfallstor.

Das eigentliche Problem: Wir denken (häufig) zu technisch

Viele Sicherheitsstrategien fokussieren sich auf Netzwerke, Systeme, Tools und so weiter. Und klar, das ist auch extrem wichtig und wir selbst bieten hierfür spannende und gute Lösungen an.

Angreifer fokussieren sich aber auch auf:

• Identitäten
• Beziehungen
• Vertrauen

Und Plattformen wie LinkedIn sind genau die Schnittstelle, an der diese beiden Welten kollidieren.

Cybersecurity beginnt nicht im Rechenzentrum

Was dieses Beispiel zeigt, ist kein Einzelfall. Es ist ein strukturelles Problem. Unternehmen investieren in:

• Zero-Trust-Architekturen
• SIEM-Systeme
• Endpoint Security

Und übersehen dabei:

• öffentlich zugängliche Identitätsdaten
• plattformbasierte Angriffsflächen
• menschliches Verhalten als primären Angriffsvektor

Handlungsempfehlungen (konkret und sofort umsetzbar)

Für Einzelpersonen:

• E-Mail-Sichtbarkeit auf „nur für mich“ setzen (Screenshot unten)
• Geschäftliche Adresse als primäre Login-Mail nutzen (weiterer Screenshot unten)
• Private und berufliche Identitäten trennen
• Multi-Faktor-Authentifizierung aktivieren
• Regelmäßiger Leak-Check über Dienste wie Have I Been Pwned

Für Unternehmen:

• Social-Media-Risiken in Security Awareness integrieren
• Klare Richtlinien für berufliche Profile definieren
• Identitätsbasierte Angriffsszenarien trainieren
• OSINT-Perspektive in Threat Modeling aufnehmen
• Und vielleicht mal unsere Lösungen in dem Bereich ansehen! ;) 

Unser Fazit bei RIEDEL Networks

Cybersecurity entscheidet sich längst nicht mehr nur im Rechenzentrum.

Sie beginnt:

• bei Identitäten
• bei Konfigurationen
• bei alltäglichen Plattformen wie LinkedIn

Und vor allem:

bei der Bereitschaft, Hinweise ernst zu nehmen.

Die vielleicht wichtigste Erkenntnis aus diesem Experiment ist daher nicht technischer Natur:

Die größte Schwachstelle ist selten die Technologie.
Sondern der Umgang mit ihr.

Oder, etwas zugespitzter formuliert:

Während wir über hochkomplexe Angriffsszenarien diskutieren,
reicht Angreifern oft ein deutlich einfacherer Weg:

Eine Kontaktanfrage – und eine offene Tür.

*Dieser Artikel wurde unter Betrachtung aktueller Marktgeschehnisse mit Hilfe von ChatGPT erstellt. Die Prompt-Erstellung und Supervision des Artikels erfolgte durch den Autor, der hierin seine Meinung repräsentiert sieht. 

Über den Autor:

Timo Imbrogno ist Director Marketing bei RIEDEL Networks, sicherlich kein IT-Experte, aber Nerd im Herzen und schaut hin und wieder gerne einmal hinter die Kulissen. Seinen ersten Bug fand er bereits zum Start seiner beruflichen Laufbahn, als Facebook noch richtig angesagt war. Damals in der Veröffentlichungsfunktion von Fanpages und Custom-Apps, die seinerzeit noch wirklich (!) angesagt waren.

Von Zeit zu Zeit juckt es ihn in den Fingern und er schaut sich Dinge nicht nur aus Marketing-Perspektive, sondern mit ganz eigenem Blick auf die Dinge an. Dabei nutzt er gerne auch mal unkonventionelle Ansätze, um seinen Blickwinkel zu verdeutlichen oder zum Nachdenken anzuregen. Erwähnt sei hier exemplarisch die Werbemittelumtauschstation der IT-SA 2024. 

Seine Beiträge bewegen sich dabei bewusst an der Schnittstelle von Fachwissen und Humor – und laden dazu ein, auch komplexe Themen einmal aus einer ungewohnten Perspektive zu betrachten.

Über RIEDEL Networks

RIEDEL Networks ist ein in Privatbesitz befindlicher, globaler Netzwerkanbieter, der sich auf maßgeschneiderte Netzwerke konzentriert. Wir sind im Gartner Magic Quadrant für Global WAN Services als Nischenanbieter gelistet, der auf mittelständische internationale Unternehmen und den Medien- und Veranstaltungssektor spezialisiert ist. Mit unserem eigenen globalen Backbone unterstützen wir Unternehmen dabei, weltweit vernetzt zu sein. Unsere Dienstleistungen umfassen Internetverbindungen, MPLS, SD-WAN, SASE, Cloud Connect, Security und vieles mehr. Unsere Kunden stammen aus verschiedenen Branchen und schätzen Qualität, Sicherheit und Zuverlässigkeit. RIEDEL Networks ist ein 100%iges Unternehmen der RIEDEL Communications Gruppe in Wuppertal, Deutschland, und ist vollständig im Privatbesitz von Thomas Riedel.