Search Engines im Visier der Angreifer

Unternehmenssicherheit erfordert Strategien gegen Suchmaschinen und Soziale Netzwerke

11.12.2007 | Autor / Redakteur: Lothar Lochmaier / Peter Schmitz

Zum Schutz des Unternehmens sollten Social Networking Sites in die Security Policies mit aufgenommen werden.
Zum Schutz des Unternehmens sollten Social Networking Sites in die Security Policies mit aufgenommen werden.

Datenschützer proklamieren die Zukunft der anonymen Suchmaschinen, denn klassische Suchmaschinen verraten immer mehr persönliche Daten und bieten damit auch Angriffspunkte gegen Unternehmen. CSOs müssen dringend wirkungsvolle Strategien und Gegenmaßnahmen auf ihre Agenda setzen.

Experten sehen ein riesiges Wachstumspotenzial für Angebote mit der Auflage, beim Nutzer mit einer extremen Datensparsamkeit zu punkten. Der Vorteil läge darin, die Suchanfrage unmittelbar danach gleich wieder zu löschen. Denn wer kann schon prüfen, ob nicht falsche Einträge aus Blogs oder Foren in das persönliche Profil übernommen sind. Sind nämlich die Daten direkt einer Person zugeordnet, so stellt dies aus rechtlicher Sicht einen überaus problematischen Tatbestand dar. Der Nutzer könnte theoretisch sein Recht auf das Entfernen sensibler Informationen einfordern, was die Betreiber vor immense logistische Herausforderungen stellen würde.

Immerhin könnten Personensuchmaschinen auch die öffentlich zugänglichen Datenbestände der in den Unternehmen gelisteten Personen mit erfassen, was rechtlich völliges Neuland darstellt. Die üblichen Verweise der Suchmaschinenbetreiber auf die Allgemeinen Geschäftsbedingungen (AGBs) wären dann wohl nicht viel mehr als bloße Makulatur. Gefragt sind deshalb ausgereifte technische Lösungen.

Hierfür fehlt es aber bei den Suchmaschinenbetreibern noch an Sensibilität, sowohl gegenüber den Suchenden als auch gegenüber den Gefundenen. Denn theoretisch müsste der Nutzer ständig alle Informationen über sich recherchieren, um diese unverzüglich monieren zu können. Bei gravierenden Verstößen könnte der Betroffene somit „rechtzeitig“ einzugreifen, etwa indem er das Recht auf Widerruf geltend macht.

Möglicherweise kehrt sich die Beweislast und Haftungsfrage sukzessive um, spekulieren Insider, so dass der Betreiber nachweisen müsste, nur ordnungsgemäß erhobene Informationen weiter zu verwerten und damit öffentlich zu machen. Angesichts einer derartigen Sisyphusarbeit wird deutlich, wie weit der aktuelle Status Quo von dieser Zielmarke entfernt ist.

Auch semantische Technologien lösen das Datenschutzproblem bzw. deren Weitergabe kaum. Zunächst einmal gilt es zwar auch für Suchmaschinengiganten wie Google global verbindliche Datenschutzstandards zu entwickeln und einzuhalten. Doch lassen sich diese Vorgaben über Drittländern mit geringen Auflagen leicht aushebeln.

Einige Experten plädieren deshalb für eine stärkere Bevorzugung einheimischer Provider, die das Datenschutzthema noch ernster nehmen. Ob staatliche Bundesorgane jedoch eine webbasierte Infrastruktur, ähnlich wie beim Straßenverkehr der Fall, künftig als „hoheitliche nationale Aufgabe“ begreifen, das scheint eher ein Wunschtraum zu bleiben.

In der Welt zukünftiger Suchmaschinen wären aber auch technische Gütesiegel für den Datenschutz eine sinnvolle Option. Dies setzt jedoch ein gemeinsames Ringen der Betreiber nach weltweit verbindlichen Standards voraus. Derzeit verhindert das von Google geprägte Monopol eine größere Vielfalt am Markt.

Datenschutz und Datenintegrität fordert CSO heraus

Die größte Herausforderung lautet, sich vermehrt auf ein kombiniertes Risiko einzustellen, das sowohl klassischen Suchmaschinentechniken erfasst, als auch Social Engineering.Denn durchforsten die Angreifer nun neben den sozialen Netzwerken noch Suchmaschinen wie Google & Co hinzu, ergibt sich ein noch kompletteres Bild, das sich durchaus auch für Zwecke der Wirtschafts- und Industriespionage nutzen lässt.

So bringt schon die Eingabe @firmenname.de/com/Net diverse E-Mail-Adressen hervor. Über Google-Groups lassen sich zudem Diskussionsbeiträge von Mitarbeitern rekonstruieren, die dort häufig unter ihren beruflichen Kennungen agieren. Die oftmals technisch orientierten Expertenbeiträge und Anfragen sind überraschender weise ein offenes Buch, um die IT-Infrastruktur eines Unternehmens auszuloten.

Experten fanden etwa heraus, dass ein Mitarbeiter in einem öffentlichen Blog-Eintrag einen Computercode diskutierte, den er ein Jahr zuvor für das Unternehmen geschrieben hatte, bei dem er damals beschäftigt war. Der Angestellte erläuterte außerdem in dem Tagebuch, dass der Code wahrscheinlich das Patent eines Mitbewerbers verletzen würde.

Da Suchmaschinen und soziale Netzwerke also auch weiterhin ein El Dorado für kriminelle Akteure aller Art darstellen, raten die Experten von Sophos den Usern von Social Networking Portalen, die Sichtbarkeit von persönlichen Informationen erheblich einzuschränken.

Hilfreich wären aber auch Hinweise der Portalbetreiber auf ihren Internetseiten, indem sie, wie beim Online-Banking die Nutzer aktiv auf Risiken und Nebenwirkungen sozialer Netzwerke aufmerksam machen. Zumindest würde dies für ein größeres Problembewusstsein sorgen.

Wirkungsvolle Strategien und Gegenmaßnahmen auf die Agenda setzen

Welche technischen Strategien es gibt, mit der neuen Freizügigkeit im von Web 2.0-Technologien geprägten Mitmachnetz umzugehen, lässt sich mit gängigen Patentrezepten kaum beantworten. Wie viele Informationen also dürfen Mitarbeiter von sich preis geben, um nicht Gefahr zu laufen, unfreiwillig zum Opfer von Social Engineering, Wirtschaftsspionen oder eines unabsichtlichen Bewerbungsmonitorings zu werden?

„Das Problem ist, dass es bereits gefährlich ist, Basisinformationen wie den eigenen Namen oder den Arbeitgeber Preis zu geben“, sagt Robert Chapman, Mitbegründer und Geschäftsführer der Firebrand Training GmbH. Denn Cyber-Kriminelle nutzen diese Angaben, um sich eine fremde Identität zuzulegen.

Mittels Social Engineering manipulieren diese dann beispielsweise andere Personen in der Firma, damit sie an weitere sensible Informationen kommen. Geben Angestellte auch E-Mail-Adressen an, liefern sie Hackern nicht nur eine funktionierende E-Mail-Adresse, sondern auch das Adress-Format des Unternehmens. Dabei handelt es sich um ein weiteres Eingangstor, das Cyber-Kriminellen unautorisierten Zugang verschafft.

Angaben zu Applikationen und besonders zu Betriebssystemen gehören deshalb laut Firebrand auf keinen Fall auf soziale Netzwerkseiten, es sei denn Unternehmen wollen Hackern die benötigten Informationen für erfolgreiches Eindringen ins Netzwerk „auf dem Silbertablett“ präsentieren. „Das käme der Weitergabe der Passwörter gleich“, sagt Chapman.

Was aber passiert, wenn selbst IT-Manager fachlich orientierte Internetforen beispielsweise dazu nutzen, um nach Lösungen für IT-Probleme zu suchen. Schließlich müssen sie dazu häufig detailliert das Equipment, das Betriebssystem oder die Netzwerkkonfiguration beschreiben - ohne über die gefährlichen Auswirkungen nachzudenken.

„Ideal wäre es natürlich, überhaupt keine Informationen auf Social Networking-Sites Preis zu geben, aber das entspricht nicht der Realität“, gibt Chapman zu bedenken. Deshalb rät der Experte nur dazu, so wenige Informationen wie notwendig zu veröffentlichen.

So sei es beispielsweise nicht notwendig, die E-Mail-Adresse des Unternehmens anzugeben. „Angestellte können genauso gut ihre private E-Mail-Adresse verwenden“, bringt Chapman auf den Punkt. Dennoch lassen sich auch aus Sicht von Firebrand Training nicht alle gravierenden Schwachstellen so leicht absichern.

„Viele der Social Networking-Sites verfügen nicht über Sicherheitsstandards, die mit Unternehmens-Sites vergleichbar wären“, bilanziert Chapman. Das macht die Seiten anfällig für das Eindringen von Hackern oder anderen Angreifern.

Wurde die Site erfolgreich attackiert, können die Cyber-Kriminellen die von den Usern eingestellten Inhalte verunstalten und verändern. Typische Anwender von Social Software tauschen oftmals auch Dateien über Peer-to-Peer-Netzwerke. Das erhöht das Risiko, das ein infizierter Rechner weitere Computer ansteckt.

Regeln insbesondere für berufliche Kontaktnetzwerke erforderlich

Außerdem besteht die Gefahr, dass Angestellte persönliche Informationen preisgeben, so dass Social Engineers deren Identität annehmen können, um hernach „unter falscher Flagge“ an weitere sensible Daten zu gelangen. Kaum auszudenken, wenn Angestellte unwissentlich Unternehmensinformationen offen legen und diesen Hackern oder Wettbewerbern in die Arme spielen.

Das kaum zu lösende Ausgangsproblem besteht nach Auffassung von Robert Chapman darin, dass sich die Mehrheit der IT-Manager des möglichen Risikos, das die Nutzung von Social Software am Arbeitsplatz mit sich bringt, nicht ausreichend bewusst sei.

Außerdem verfügen die meisten Unternehmen lediglich über grob zugeschnittene Sicherheitsrichtlinien, die die allgemeine Nutzung des Internets regeln. „Deshalb sollten Unternehmen die bestehenden Bestimmungen zwingend um einen Social Software-Passus erweitern“, fordert der Sicherheitsexperte.

Sollten Unternehmen Xing und andere Business-Netzwerke verbieten?

„Natürlich muss diese Entscheidung jedes Unternehmen für sich treffen“, so Robert Chapman weiter. Der gravierende Schritt eines Verbots könne jedoch durchaus sinnvoll sein, wenn Firmen befürchteten, dass die Produktivität ihrer Mitarbeiter leide.

Aber auch dieser radikale Schritt löst ein grundlegendes Problem kaum. Kontrollieren nämlich die Arbeitgeber den Zugang zu Business-Netzwerken und sozialen Kontaktplattformen während der Arbeitszeit, können sie dennoch nicht verhindern, dass Mitarbeiter in ihrer Freizeit sensible Informationen preis geben.

Chapman sieht deshalb den wichtigsten Schlüssel zum Erfolg in der Schulung der Mitarbeiter, um für eine entsprechende Sensibilisierung zu sorgen. Wie aber schult das Unternehmen seine Mitarbeiter zielgerichtet? Denn die finanziellen Budgets dafür fließen kaum unbegrenzt.

Außerdem stellt sich die Frage, auf welcher Ebene der Betrieb den Hebel organisatorisch am besten ansetzt, etwa in der Aufgabenteilung zwischen CIO, Administratoren und dem CSO. Nach Einschätzung von Firebrand Training besteht die Leitlinie darin, neben den IT-Mitarbeitern vor allem die Manager auf die Gefahren aufmerksam zu machen, die die Nutzung von Business-Social Software-Sites mit sich bringe.

„Die IT-Sicherheitsrichtlinien der Firmen sollten außerdem klare Aussagen über mögliche Risiken der von Mitarbeitern beruflich genutzten Social Software-Sites beinhalten“, plädiert Robert Chapman. Deshalb sei es nötig, alle Angestellten aufzuklären und zu schulen, damit diese informiert seien, auf welche Details sie beim privaten Gebrauch von Social Software-Sites achten sollten.

„Klar ist auch, dass Schulungen und Mitarbeiterweiterbildung Geld kosten“, so Chapman weiter. Oftmals seien diese Ausgaben intern nicht einfach zu rechtfertigen. Aber der Experte hält es für unerlässlich, dass die IT-Abteilung sich auf dem neuesten Stand halte, um das Unternehmensnetzwerk zu schützen.

Für Unternehmen, die über keine größeren IT-Budgets verfügen, könne es zudem sinnvoll sein, zumindest einen IT-Mitarbeiter entsprechend über die Angriffs- und Abwehrtechniken weiter zu bilden. Dieser könnte dann als Multiplikator das erworbene Wissen an die anderen Kollegen weiter reichen, zum Beispiel via E-Mail, Webcast oder in persönlichen Meetings.

Fazit: Umfassende Regeln für die Datensparsamkeit gefragt

Für den Konsumenten beginnt der Schutz bei einem umsichtigen Umgang mit den eigenen Nutzerdaten. Pseudonyme etwa lassen keine allzu simplen Rückschlüsse auf die Herkunft oder den Namen zu. Die Sicherheitsexperten von Sophos raten bei Kontaktanfragen von Unbekannten dazu, erst einmal rückzufragen, wer an die virtuelle Eingangstüre in die private Wohnung anklopft.

Schließlich öffnen Hausbewohner privat auch nicht jedem Fremden gleich die Türe. Jedoch sind sich Experten bereits heute darüber einig, dass für Unternehmen geeignete Richtlinien zur beruflichen und teilweise auch privaten Nutzung von Online-Netzwerken unumgänglich sind, sofern diese auch nur indirekt die professionelle Arbeitswelt tangieren - abgesehen von Sicherheitslösungen zum Schutz vor Spam- und Hacker-Angriffen, die im Unternehmensnetzwerk zum Standard gehören.

Konkrete Elemente, die in die IT- Sicherheitsrichtlinien einfließen sollten, sind etwa Basisinformationen wie der Firmenname, E-Mail Adressen oder genaue Positionsbeschreibungen. Auch für technische Details wie die Angabe zu Betriebssystemen, Datenbanken, Netzwerkgeräten und Applikationen gilt das Gebot der Datensparsamkeit. Entsprechende Informationen sollten auf Business Social Networking-Sites nicht automatisch für alle Besucher sichtbar sein.

Einzubeziehen sind auch mobile Endgeräte. Denn schon zeichnet sich ein neuer Trend ab. Suchmaschinist Google will mit dem neuen Betriebssystem Android künftig umfassende Suchfunktionen auch auf mobilen Endgeräten ermöglichen - und dadurch Nutzer und Inhalte noch besser integrieren.

Das Surfen und soziale Netzwerkeln könnte somit via Mobiltelefon in einigen Jahren ebenso reibungslos funktionieren wie zu Hause auf dem Computer. Gefragt sind deshalb auch hier sorgfältig austarierte Regeln für die Schnittstelle zwischen betrieblicher und privater Nutzung.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2009567 / Hacker und Insider)