Eine Schlüsselrolle in den Attacken auf die Unternehmens-IT spielen seit geraumer Zeit Social-Networking-Plattformen wie Facebook, Twitter, Xing, LinkedIn oder MySpace. Auch Suchmaschinen wie Yasni und 123people, die darauf spezialisiert sind, Informationen über Personen zusammenzutragen, liefern nicht nur Freunden oder Geschäftspartnern eine Fülle von Informationen über bestimmte Personen, sondern auch Angreifern: Name, Adresse, Kontaktdaten wie E-Mail-Adresse und Handynummer. Hinzu kommen Daten zu Hobbys und Vorlieben etwa zu TV-Serien und Musik. Damit nicht genug: Viele User posten in sozialen Netzwerken auch Informationen über ihre Firma, ihren Tätigkeitsbereich oder sogar über interne Ereignisse. Das sind die Grundlagen für Social-Engineering-Angriffe.
"Mit persönlichem Wissen ist es vergleichsweise leicht, jemandem Vertraulichkeit vorzutäuschen und ihn dann zu verleiten, Malware auf seinen Rechner herunterzuladen oder sensible Informationen preiszugeben", warnt Candid Wüest, Sicherheitsexperte bei der IT-Security-Firma Symantec. "Beliebt ist beispielsweise, Facebook und Co. als Spam-Verteilplattform zu nutzen." Wenn Nutzer von Social Networks Video- oder Bilddateien von Freunden empfangen, ist die Wahrscheinlichkeit größer, dass sie diese öffnen. Damit steigt auch die Gefahr, dass sie sich über diese Plattformen Würmer und Trojaner einfangen.
Gleiches gilt für Nachrichten von - vermeintlichen - Freunden mit eingebetteten Links. Angreifer lenken mit Hilfe solcher Web-Adressen den User auf Web-Seiten, auf denen sie Schadprogramme platziert haben. Solche "malicious Websites" scannen den Rechner des Besuchers nach Schwachstellen und versuchen, Malware auf den Rechner des Besuchers zu transferieren. Diese Drive-by-Download-Attacken gehören derzeit zu den beliebtesten und gefährlichsten Waffen im Arsenal von Cyberkriminellen.
Eine weitere Gefahr besteht nach Angaben von Wüest in der Manipulation der Seite selbst. Gelinge es einem Hacker, eine Social-Networking-Seite mit schadhaftem Code zu verseuchen, sei jeder Besucher potenziell gefährdet. Auch Werbebanner, die sich in diesem Umfeld stark verbreiten, können eine Gefahr für Besucher einer Seite darstellen. Es ist laut Wüest mittlerweile durchaus möglich, schädlichen Code dort einzubetten.
Tipps für den Umgang mit Social Networks
Unternehmensrichtlinien erarbeiten: Unternehmen sollten festlegen, ob und wann Mitarbeiter Social-Media während der Arbeitszeit nutzen dürfen. In solchen Regelwerken zudem festlegen, welche firmenbezogenen Informationen ein Mitarbeiter dort preisgeben darf. Etliche Firmen verbieten ihren Mitarbeitern, in ihren Profilen auf Diensten wie Facebook Bezug auf ihre Tätigkeit im Unternehmen zu nehmen. Dies soll es Hacker erschweren, wichtige Zielpersonen und somit potenzielle Angriffsziele zu identifizieren.
Sichere Kennwörter verwenden: Auch wenn solche Passwörter schwer zu behalten sind, sollten User von Facebook und Co. möglichst Kennwörter mit mindestens 14 Zeichen einsetzen, die Groß- und Kleinbuchstaben, Zahlen sowie Symbole umfassen. Außerdem unterschiedliche Passwörter für mehrere Accounts verwenden, etwa für Social Networks, den Privatrechner und die Anmeldung am Firmennetzwerk.
Die Standardeinstellungen von sozialen Plattformen überprüfen: Die Standardeinstellungen der jeweiligen Seite so ändern, dass nicht alle Profilinformationen für jedermann zugänglich sind.
Vorsicht bei Fotos: Möglichst keine unseriösen oder peinlichen Bilder ins Netz stellen, die dem eigenen Ruf oder dem des Unternehmens schaden. Einige Firmen haben Richtlinien erlassen, die ihren Mitarbeitern generell das Veröffentlichen von Bildern untersagen, wenn daraus der Arbeitgeber hervorgeht oder Bezug auf den Arbeitsplatz des Betreffenden genommen wird.
Vorsicht bei Freundschaftsanfragen von Unbekannten: Nur Personen zur Kontaktliste hinzufügen, die man kennt und auch als "Freund" akzeptieren möchte. Cyberkriminelle setzen darauf, dass sich viele User von Social Media davor scheuen, eine Anfrage abzulehnen und damit jemanden vor dem Kopf zu stoßen.
Rechner schützen: Eigentlich eine Selbstverständlichkeit ist es, alle Systeme im Unternehmen mit einer aktuellen Sicherheitssoftware und einer Firewall auszustatten. Das gilt auch für Rechner zu Hause oder im Home-Office, vor allem dann, wenn per USB-Stick oder externe Festplatte Daten zwischen Arbeitsplatz- und Privat-System ausgetauscht werden. Auf diesem Weg kann Schadsoftware ins Unternehmensnetz gelangen. Ebenfalls nicht vergessen: Für alle Anwendungen und das Betriebssystem regelmäßig Patches einspielen.
Wachsam bleiben: Wer vermeintlich von einem Kollegen oder Bekannten eine E-Mail mit einem eingebetteten Link oder einer Datei erhält, sollte diese nicht sofort anklicken. Es kann sich um eine Spam-E-Mail handeln, die den Nutzer auf Web-Sites lotsen möchte, auf denen Schadsoftware platziert ist. Auch Datei-Anhänge können Malware wie Trojaner und Spyware enthalten.
Diebstahl der Identität
Ein weiteres Mittel, das Cyberkriminelle einsetzen, um an verwertbare Informationen zu kommen, ist das Einrichten gefälschter Profile. Opfer eines solchen Identitätsdiebstahls ist Ronald Noble geworden, Chef der internationalen Polizeibehörde Interpol. Cyber-kriminelle platzierten Mitte dieses Jahres auf der Social-Networking-Plattform Facebook zwei Accounts unter dem Namen von Noble, obwohl dieser entsprechend den Interpol-Sicherheitsrichtlinien Facebook gar nicht nutzt. Mittels der gefälschten Profile verleiteten Angreifer einige Kollegen und Freunde des Polizeichefs dazu, nicht nur Freundschaftsanfragen von Noble anzunehmen, sondern auch berufliche Informationen auszutauschen. Auf diesem Weg gelangten die Cyberkriminellen an interne Daten über die "Operation Infra-Red", eine international koordinierte Fahndung von Polizeibehörden nach Schwerverbrechern.
Kleine Firmen sind offen
Warum also nicht einfach Mitarbeitern den beruflichen Umgang mit Social Media untersagen? Schwierig ist ein solches Verbot, weil nach Angaben der Marktforschungsgesellschaft Gartner viele Unternehmen selbst intensiv daran arbeiten, Social Media als Plattform für den Informationsaustausch einzuführen. Laut Prognose werden im Jahr 2014 knapp 20 Prozent der geschäftlichen IT- und Internet-Nutzer Social-Network-Services als wichtigstes Kommunikationsmittel verwenden. In Deutschland nutzen bereits 70 Prozent der Unternehmen die Web-Dienste Xing oder Linkedin zur Kontaktpflege. Das ergab eine Umfrage unter 15.000 Unternehmern in 75 Ländern, die von Regus, Anbieter von realen und virtuellen PC-Arbeitsplätzen, in Auftrag gegeben wurde.
Demnach sind die Angebote insbesondere in kleinen Firmen beliebt. 44 Prozent der befragten Kleinunternehmen haben bereits neue Kunden in Social Networks gewonnen. Unter den mittelständischen und großen Unternehmen gaben dies lediglich 34 Prozent zu Protokoll. Auch die Mitarbeiter wollen am Arbeitsplatz twittern und Facebook-Beiträge verfassen. Laut einer Studie von Symantec von Ende September 2010 würden 32 Prozent der Beschäftigten nicht bei einem Unternehmen arbeiten, das ihnen die Nutzung von Social Media untersagt. In der Regel gibt es tatsächlich keine Verbote: 95 Prozent der Firmen erlauben den Zugang zu den einschlägigen Plattformen, wenngleich zum Unmut der IT-Leiter und IT-Sicherheitsbeauftragten: 84 Prozent der CIOs und 77 Prozent der Systemverwalter äußerten Sicherheitsbedenken.
Was ist Social Engineering?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert Social Engineering in seinem IT-Grundschutzkatalog als "Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch ‚Aushorchen` zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie zum Beispiel Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Mitarbeiter so manipuliert werden, dass sie unzulässig handeln."
Bei IT-gestütztem Social Engineering kombinieren Cyberkriminelle häufig mehrere Techniken: Sie sammeln persönliche Informationen, etwa mit Hilfe von Social-Networking-Plattformen oder Personen-Suchmaschinen. Zunehmend werden auch Accounts von Usern "gekapert". Anschließend versenden die Angreifer an Kontakte der ausgespähten Personen Spam-E-Mails mit Links zu bösartigen Web-Seiten oder mit Dateianhängen, die Trojaner oder Spyware enthalten.
Ein weiteres Mittel sind Phishing-Nachrichten. Über die gestohlene E-Mail-Adresse eines Kollegen oder Systemverwalters versenden Angreifer die Aufforderung, firmeninterne Daten oder Account-Daten (E-Mail, Log-in in das Corporate Network) mitzuteilen.
Blinde Firewalls
IT-Manager, die Social-Media- und Web-2.0-Dienste aus ihrem Netz aussperren möchten, sehen sich mit einem Problem konfrontiert: Herkömmliche Stateful-Inspection-Firewall-Systeme (SPI) können Web-2.0-Anwendungen nicht erkennen. Dies gilt auch für Voice-over-IP-Services wie Skype sowie für Peer-to-Peer-Verbindungen, die ebenfalls viele Beschäftigte an ihrem Arbeitsplatz nutzen. Nur so genannte Next-Generation-Firewalls, die jedes Datenpaket im Detail analysieren und anschließend einer Anwendung zuordnen, sind in der Lage, solche Applikationen zu identifizieren.
Zu den Pionieren auf diesem Sektor zählt die amerikanische Firma Palo Alto Networks. Mit den Geräten der "PA"-Serie können Unternehmen jede Art von Netzverkehr analysieren und für jeden User festlegen, wann er welche Applikation verwenden darf. Ein angenehmer Nebeneffekt: Die Belastung des Netzes sinkt. Denn laut einer Analyse von Palo Alto Networks haben allein Social-Network-Zugriffe das bewegte Datenvolumen in den vergangenen 18 Monaten auf 9,1 Gigabyte verdoppelt. Das bedeutete eine Zusatzbelastung für Server, Netzwerkgeräte und Speichersysteme. Des Weiteren fallen Kosten für leistungsstärkere Internet-Verbindungen an.
Der Mitarbeiter ist gefragt
Neben technischen Hilfsmitteln wie Firewalls, Intrusion-Prevention-Systemen und Anti-Spam-Filtern gegen Social Engineering ist die Schulung der Mitarbeiter eine wichtige Komponente für den Schutz der Unternehmens-IT. Die Anwender müssen die Risiken der sozialen Netzwerke kennen und einschätzen können. Am besten sind regelmäßige Schulungen eines IT-Fachteams zum Thema. Empfehlenswert sind zudem Richtlinien zur Nutzung von Social-Networking-Diensten. Darin sollte etwa definiert sein, dass Mitarbeiter keine Details zur beruflichen Position oder zum Unternehmen preisgeben dürfen. Über Facebook oder Myspace Kritik an Kollegen oder internen Vorkommnissen zu üben ist ohnehin grundsätzlich tabu. (jha)
Informationsquellen
Der High-Tech-Verband Bitkom hat einen Leitfaden für Unternehmen herausgegeben, in dem die Eckpunkte der Nutzung von sozialen Netzwerken in Firmen festgelegt sind. Das PDF-Dokument mit dem Titel "Social Media Guidelines" steht hier kostenlos zum Download bereit:
Der Beitrag "Schwachstelle Mensch" von David Emm, Sicherheitsforscher bei Kaspersky Lab, geht auf die psychologischen Faktoren ein, die Social-Engineering-Attacken zum Erfolg verhelfen. Hier geht es zum Artikel.
Hintergrunddaten, Praxisbeispiele und weitere Informationsquellen zum Thema Social Engineering hat Philipp Schaumann, österreichischer Spezialist für IT- und Informationssicherheit, zusammengetragen. Auf seiner Web-Site beleuchtet er auch die Schwachstellen traditioneller Schutzkonzepte.
Ein Interview der Computerwoche (Juli 2010) mit Steve Munford, Chef der IT-Sicherheitsfirma Sophos. Munford geht darin unter anderem auf IT-Schutzkonzepte und ihre Vor- und Nachteile in Bezug auf Social-Engineering-Angriffe ein.