Aachen: Facebook und Co. sicher nutzen

Aachen: Facebook und Co. sicher nutzen

Social Networks wie Facebook oder Twitter können sich für IT-Verantwortliche zum Albtraum entwickeln. So schützen Sie Ihr Unternehmen.

Wer noch vor zwei Jahren IT-Verantwortliche und Administratoren gefragt hat, welche Maßnahmen sie zum Schutz ihre Netzwerke und Daten vor den Gefahren der sogenannten sozialen Netzwerke für notwendig halten, hat zumeist nur ein Kopfschütteln oder ein Achselzucken zur Antwort bekommen: Kaum ein IT-Profi machte sich zu diesem Zeitpunkt Gedanken um eine Bedrohung aus dieser Richtung.

Dabei existieren die Grundlagen der Social Networks in Form sogenannter Bulletin Boards und der vielen Usenet-Gruppen schon sehr lange und kamen schon in der frühen Form des Internets zum Einsatz. Allerdings ist es erst Web-Applikationen wie Facebook, LinkedIn und Google+, aber auch Anwendungen wie Twitter zu verdanken, dass diese Art der Kommunikation zu einem Massenphänomen wurde, das auch in die Unternehmensnetze drängt.

Damit entstehen dann auch - wie es ein Sicherheitsexperte kürzlich ausdrückte - immer „neue Löcher im Sicherheitswall” der Firmen. So zeigen Untersuchungen der großen Sicherheitsfirmen recht deutlich, welche Gefahren den Unternehmen durch den vermehrten Einsatz dieser Techniken drohen. Die Security-Firma Symantec stellt in ihrem aktuellen „2011 Social Media Protection Flash Poll” fest, dass fast alle befragten Firmen in den letzten Jahren bereits Probleme durch den Einsatz solcher sozialen Netzwerke zu beklagen hatten:

46 Prozent der Firmen mussten feststellen, dass ihre Angestellten zu viele interne Firmeninformationen in öffentlichen Foren zugänglich machten. 41 Prozent waren mit dem Verlust oder der Veröffentlichung vertraulicher Daten konfrontiert. 37 Prozent sahen sich einer erhöhten Gefahr von Rechtsstreitigkeiten ausgesetzt.

Eine Umfrage, die im Auftrag der Firma Clearswift in Großbritannien, Deutschland, den USA und Australien durchgeführt wurde, zeigt mindestens ebenso deutlich die Befürchtungen, die sowohl bei den Verantwortlichen als auch bei den Mitarbeitern selbst auftauchen, wenn es um den Einsatz von Twitter, Facebook und Co. im Unternehmen geht: Mehr als 50 Prozent der befragten Arbeitgeber in Deutschland nannten Sicherheit als ihr wichtigstes Anliegen im Zusammenhang mit neuen Anwendungen zur Zusammenarbeit über das Web und Social-Media-Tools.

Berücksichtigt man noch ein weiteres Ergebnis der Umfrage, nämlich dass 48 Prozent der befragten deutschen Unternehmen im Hinblick auf ihre IT der Meinung sind, dass sich ihre Mitarbeiter im Grunde wenig um Sicherheitsbelange kümmern, so wird schnell klar, wie wichtig eine Sicherheitsstrategie für den Einsatz dieser Techniken und Anwendungen in Unternehmensnetzwerken ist.

Nun gibt es gerade im Bereich der mittelständischen und kleineren Unternehmen sicher noch viele Firmen, die versuchen, den Einsatz solcher Anwendungen und Techniken grundsätzlich zu unterbinden. Sieht einmal davon ab, dass es in der heutigen Zeit einfach einen Wettbewerbsnachteil bedeutet, wenn eine Firma nicht in diesen Bereichen vertreten ist, so ist es technisch auch kaum umsetzbar, die entsprechenden Zugänge komplett zu sperren.

Ist es für den Administrator noch möglich, den Zugang zu einer Webseite wie http://www.facebook.com (oder .de) zu sperren, so wird er sich schon bei Google+ schwerer tun: Sperrt er „google.de” oder „google.com” für seine Mitarbeiter, so werden diese in der Zukunft Schwierigkeiten haben, ihre Suchanfragen auf die Google-Seite abzusetzen. Insgesamt ist es für Administratoren immer schwerer, den kompletten Verkehr zu kontrollieren, der über die in der Regel offenen Web-Ports 80 (HTTP) oder 443 (HTTPS) in das Firmennetzwerk gelangt.

Technische Maßnahmen, wie sie für den Schutz vor Viren, Spam und Malware üblich und sinnvoll sind, können hier also nur bedingt helfen. Deshalb haben wir hier fünf grundlegende Probleme identifiziert, die in fast allen Firmen auftauchen. Ihre Behebung kann dabei helfen, den Gebrauch sozialer Netze und entsprechender Anwendungen sicherer zu machen:

Firmen und deren IT-Verantwortliche, die sich Gedanken über den sicheren Einsatz von Social Networks machen, müssen zunächst einmal Richtlinien für die Nutzung aufstellen. Die beiden wichtigsten Fragen werden dabei zunächst sein:

Wer in der Firma darf diese Medien (in Namen der Firma) nutzen? Was dürfen diese Personen sagen? Hier gilt noch viel stärker als in allen anderen Bereichen, die sich rund um die IT-Sicherheit drehen: Ausbildung, Training und umfassende Information der Mitarbeiter sind unbedingt notwendig.

Ein altes Administratorsprichwort sagt, dass das eigentliche Problem der IT vor dem Bildschirm sitzt - dies gilt im verstärkten Maße für den Einsatz von sozialen Netzwerken und Medien: Diese Techniken sind besonders gut für Angriffe geeignet, die nach dem Prinzip des „Social Engineering” vorgehen. Mitarbeiter, die beispielsweise zu viele persönliche Informationen im Profil ihrer Facebook-Seite preisgeben, können so leicht zum Angriffsziel werden.

Auch eine unbedachte Aussage über Firmeninterna, die über den Twitter-Account veröffentlicht wird, kann schnell ernste Folgen haben - besonders, wenn es um börsennotierte Unternehmen geht. Hier gilt, wie schon beim Problem 1: Gezielte Schulungen der Mitarbeiter zu verantwortungsbewusstem Einsatz organisieren und klare Richtlinien kommunizieren, die festlegen, was gesagt werden darf.

Für viele Firmen läuft der Einstieg in die sozialen Netze so ab, dass die Mitarbeiter zunächst ihre privaten Twitter- und/oder Facebook-Accounts nutzen, um auch über Belange der Firma zu informieren. Kann es da verwundern, wenn sie später auch die privaten und geschäftlichen Aktivitäten vermischen?

Allen Angestellten sollte aber klar sein, dass sie in Social Networks ihre privaten von den geschäftlichen Daten ebenso trennen müssen, wie sie es auch auf einem geschäftlichen Notebook oder Smartphone tun.

Administratoren sollten immer versuchen, den Internet-Verkehr und damit auch den Zugriff auf Webseiten zu analysieren und zu protokollieren. Dazu gehören unter anderem Seitenaufrufe und Datenmengen: Wer ruft welche Webseiten auf? Welche Datenmengen werden transferiert?

Solche Daten können selbst dann, wenn sie nur anonymisiert erhoben werden, schnell Aufschluss darüber geben, wo möglicherweise Schwachstellen bestehen und welche Dienste überproportional häufig aufgerufen werden. So kann der Administrator jedenfalls schon einmal grundsätzlich feststellen, welcher der Dienste (beziehungsweise welche Webseite) ein Problem verursacht. Inhaltliche Kontrollen sind so aber nicht möglich!

Ein Punkt, der gerade bei der Überwachung sozialer Netze und Medien im Firmenumfeld gerne außer Acht gelassen wird, sind die mobilen Geräte und Anwendungen:

Social Media und mobile Geräte sind eng miteinander verbunden - in puncto IT-Sicherheit sind indes gerade diese Geräte alles andere als fortschrittlich. Immer mehr Mitarbeiter gehen auch mit ihren Smartphones oder Tablets direkt ins Firmennetz und nutzen dann die entsprechenden Dienste und Netze.

Hier gilt es eindeutig festzulegen, ob solche Geräte grundsätzlich im Firmennetzwerk zum Einsatz kommen dürfen. Mittels Richtlinien sollten IT-Verantwortliche bestimmen, ob und wie soziale Netzwerke über diese Geräte verwendet werden können.

Eine weitere wichtige Frage in Sachen Security und Social Networks lautet: Wie können Administratoren den Datenstrom, der da zumeist über Web-Browser und den Port 80 in das Firmennetz vorbei an Firewall-, Antivirus- und Antispam-Lösungen in das Netzwerk strömt, technisch kontrollieren? Hier könnten Geräte helfen, wie sie unter anderem als „Next Level Firewalls” von der Firma Barracuda oder auch als spezielle Web Gateways von der Firma Clearswift auf den Markt gebracht werden: Diese Lösungen erlauben es den Administratoren anhand von Richtlinien, den Datenverkehr in Echtzeit zu überprüfen. Dabei können nicht nur die Datenpakete auf technische Aspekte hin untersucht werden, sondern hier kann auch nach gängigen Begriffen aus dem Geschäftsleben wie etwa Personendaten oder auch bestimmten Zahlenmustern gesucht werden.

Administratoren können ähnlich wie bei DLP-Lösungen (Data Loss oder Data Leakage Prevention) sehr fein und genau abgestimmt den Verlust von Daten aus ihrem Netzwerk verhindern. Allerdings kann auch das nur dann funktionieren, wenn die dazu benötigten Sicherheitsrichtlinien in der Firma eingeführt und die eigenen Daten entsprechend klassifiziert wurde. Auch die Aussendung entsprechend eingestufter Daten über einen Webmail-Account können diese Lösungen zumeist bereits verhindern.

Leider können solche Systeme auch bei noch so feiner und genauer Überwachung nicht verhindern, dass beispielsweise ein Mitarbeiter eine unbedachte Bemerkung auf einer Plattform wie Twitter oder Facebook macht. Insgesamt ist die inhaltliche Kontrolle der Daten auf Web-Plattformen nur schwer möglich.

Wir haben in diesem Artikel schon deutlich gemacht, dass es für Administratoren zwar möglich ist, Anwendern grundsätzlich den Zugang zu den sozialen Netzwerk zu verwehren, dass es aber schwierig bis unmöglich ist, die Sicherheit sowohl der Anwender als auch der Firmendaten und -Reputation allein durch technische Mittel zu gewährleisten.

Trotzdem sehen natürlich gerade die „klassischen Anbieter” von Sicherheitslösungen dieses Thema als ihr ureigenes Gebiet an und versuchen, entsprechende Lösungen anzubieten. Wir haben uns einige dieser Lösungen, die hier exemplarisch für eine solche Art des Schutzes stehen sollen, näher angeschaut: Dazu gehört die aktuelle Version einer Internet-Schutzsoftware der Firma Bitdefender, die den Namen Bitdefender Total Security 2012 trägt. Die Facebook-Komponente dieser Software steht unter dem Namen „safego” auch als kostenlose App für Facebook bereit.

Norton Safe Web” von Symantec ist eine Anwendung, die grundsätzlich die Reputation von Webseiten anhand der Links überprüft. Auch von dieser Software steht eine spezielle App für den Einsatz auf Facebook-Seiten zur Verfügung.

Eine ähnliche Anwendung, die speziell zur Untersuchung der Links im Newsfeed einer Facebook-Seite dient, wird von der Firma F-Secure unter der Bezeichnung F-Secure ShareSafe angeboten. Diese Anwendung versucht die Anwender mittels eines Bonus-Systems dazu anzuhalten, sichere Links weiterzugeben und damit grundsätzlich mehr Sicherheit auf Facebook zu erzeugen. Im Grundsatz eine gute Idee, die aber fürs Business-Umfeld wenig geeignet ist. Zudem befindet sich diese Lösung nach Aussagen von F-Secure noch im Beta-Stadium, was sich auch darin zeigt, dass sie während des Testzeitraums häufiger nicht erreichbar war und nur ein Hinweis auf den Beta-Status und aktuelle „Maintenance” erschien.

Allen drei Lösungen ist gemein, dass sie recht gut anhand ihrer Reputationsdatenbank Links aussortieren können, die möglicherweise auf gefährliche und unsichere Webseiten führen. Die Bitdefender-Lösung setzt ferner eine heuristische Überprüfung dazu ein, um auch ausführbare Scripts in den Links zu überprüfen. Bei der Symantec-Lösung hat uns gut gefallen, dass verkürzte Links für den Anwender sichtbar aufgeschlüsselt werden, so dass auch hier die Sicherheit erhöht wird.

Alle drei Lösungen zielen eindeutig auf den Einsatz durch den Endanwender, wobei die Bitdefender-Lösung durch ihre direkte Integration in die Internet-Suite des Herstellers noch am ehesten zur Einbindung in eine Unternehmenslösung taugen würde. Alle drei Lösungen können zudem nur vor Angriffen durch bösartige Links oder Scripts schützen - eine inhaltliche Kontrolle der Postings, die nach entsprechenden Richtlinien vorgenommen würde, können sie nicht bieten.

Die drei kurz getesteten Lösungen zur Abwehr von Gefahren auf Facebook demonstrieren, dass die Hersteller von Sicherheitslösungen das Problemfeld erkannt haben und an entsprechender Software arbeiten. Im professionellen Umfeld sind es die „Next Generation Firewalls” und „Web-Gateways”, die IT-Verantwortlichen auf Anwendungsebene eine Kontrolle über die Inhalte geben, die das eigene Netzwerk verlassen.

Um die Gefahren zu bannen, die durch unbedachte, falsche oder böswillige Einträge in sozialen Netzwerken drohen, können technische Lösungen heute nur Hilfestellungen geben. In den Griff bekommen IT-Verantwortliche diese Anwendungen nur mit gut durchdachten Sicherheits- und Medienrichtlinien und permanente Schulung der Mitarbeiter.