Candid Wüst ist Virenforscher beim Sicherheits-spezialisten Symantec.

Es ist so unheimlich praktisch: Alle Kontaktdaten und Dossiers der Geschäftskunden sind auf einer Plattform im Web versammelt. Ein Klick mit der Maus, schon können neue Kontakte geknüpft, Dienstleister oder Auftraggeber gesucht oder Geschäftspartner an andere vermittelt werden. Social Networks halten nicht nur im privaten Bereich alte und neue Kontakte am Laufen, auch Unternehmern hat so eine Empfehlung über fünf Ecken schon neue Aufträge verschafft. Die vielfältigen Möglichkeiten, Informationen, Videoclips oder andere Multimedia-Dateien mit anderen zu teilen, gehört zu den grössten Stärken der Social-Networking-Seiten. Doch neben den Vorteilen bergen Xing, MySpace & Co. auch einige Sicherheitsrisiken. Machen Sie es den Industriespionen, Spammern und Kriminellen nicht allzu leicht.

Manchmal ist es schon erstaunlich, wieviel private Informationen die Mitglieder in den Netzwerken freiwillig Preis geben - oft sogar Details über ihr Arbeitsleben. Solche Informationen nutzen Kriminelle zum «Social Hacking»: Sie täuschen Vertraulichkeit vor und entlocken Ihren gutgläubigen Opfern Informationen, die sie für gezielte Attacken brauchen. Mit dem entsprechenden Wissen ist es vergleichsweise leicht, jemanden dazu zu verleiten, Malware herunterzuladen oder sensible Informationen preiszugeben. Eine beliebte Masche ist, sich als externer Headhunter oder als Mitarbeiter des HR- oder IT-Departments der eigenen Firma auszugeben.

Gut funktioniert auch, ein beliebiges Profil zu lesen und mit diesem Hintergrundwissen an eine Person im jeweiligen Unternehmen heranzutreten. Eine Mail mit dem Inhalt «Wir kennen uns doch noch von früher, als wir zusammen bei XY gearbeitet haben» öffnet manche Türen. Ist der Kontakt hergestellt, verschaffen Fragen beispielsweise nach der Konfiguration einer bestimmten Software die notwendigen Informationen für einen Angriff.

Tatsächlich nehmen gezielte Attacken, die auf Social Engineering oder Schein-Identitäten basieren, zu. Sie machen es Hackern auch allzu einfach: Indem man vorgibt, Mitglied einer Gruppe zu sein, lassen sich infizierte Links, Videos und Bilder glaubhaft als Insider verbreiten. Oder man entert gleich ein komplettes Nutzerprofil und infiziert so das gesamte Netzwerk des Opfers.

Business-orientierte Netzwerke können sich derzeit über regen Zulauf freuen, auch bei Entscheidern in hohen Führungspositionen. Gerade deshalb sind auch hier Vorsichtsmassnahmen zu treffen. Zum einen sollte sorgfältig darauf geachtet werden, welche Informationen im eigenen Profil freigegeben sind. Das ist natürlich eine Gratwanderung, denn in Social Networks geht es ja gerade um bestehende und neue Kontakte. Normalerweise müssten Name, Firma, E-Mail und Interessen ausreichen, um Kontakte zu knüpfen. Später kann man den bestätigten Kontakten dann weitere Informationen wie Telefonnummer etc. offenlegen. Auf keinen Fall gehören die privaten Urlaubsfotos oder die Videos der Weihnachtsfeier in das offizielle Profil. Jede Information zuviel öffnet Hackern eine Tür. Zum anderen sollte man bei den zum Netzwerk zugelassenen Kontakten sorgfältig selektieren. Das bedeutet, unbekannte Personen nicht zuzulassen, selbst wenn diese behaupten, alte Kollegen oder Bekannte zu sein.

Eine weitere Gefahr besteht in der Manipulation der Social-Networking-Seite selbst. Ist beispielsweise die Erstellung einer persönlichen Eingangsseite erlaubt, lässt sich dort Schadcode integrieren, falls er beim Speichern der Seite nicht herausgefiltert wird. Jeder Besucher der Seite ist dann gefährdet.
Auch so genannte «Cross Site Scripting (XSS)»-Schwachstellen, etwa im Gästebuch einer Social-Network-Seite, lassen sich ausnutzen, um Schadcode zu integrieren. Von XXS spricht man immer dann, wenn eine Webanwendung Daten von einem Nutzer annimmt und ohne Überprüfung direkt an einen anderen weitersendet. Der Schadcode leitet so das Opfer auf eine andere Seite um, die Malware installiert. Auch das Stehlen von Passwörtern oder Session-IDs ist auf diesem Weg möglich. Selbst hinter Werbebannern lauert die Gefahr: Es ist mittlerweile durchaus möglich, den schadhaften Code dort einzubetten und zu verbreiten.
Grundsätzlich stehen alle Optionen, mit denen die Benutzer das Angebot den eigenen Wünschen entsprechend anpassen, auch Hackern für ihre Angriffe zur Verfügung. Die Angriffsmöglichkeiten sind vielfältig. Am einfachsten ist noch das Erraten schwacher Passwörter, beispielsweise der Name des Hundes, der dann auch noch im Profil erwähnt wird. Je nach System lässt sich auch eine Session-ID erraten, oder eine spezielle URL erlaubt den direkten Zugriff auf das Profil eines anderen Benutzers. Vermehrt beobachten wir auch SQL-Injection-Angriffe, mit denen beispielsweise alle Benutzernamen einschliesslich Passwort angezeigt werden können. Auch der Passwort-Klau über Phishing-Attacken spielt eine grosse Rolle.

Neben Hackern nutzen auch Spammer die Social Networks für ihre Zwecke. Jede Seite, die reale E-Mail-Adressen leicht zugänglich veröffentlicht, füllt die Adresslisten der Spammer. Auf den meisten Business-Plattformen existieren allerdings Richtlinien und Technologien, die eine Ansicht der E-Mail-Adressen nur dann erlauben, wenn der Nutzer dies zuvor in seinem Account freigeschaltet hat. Dennoch gelang es mit Hilfe eines durch Phishing gestohlenen Premium Accounts beim Stellenvermittler Monster.com, automatische Anfragen an das System zu senden und so tausende von Profilen abzurufen und zu speichern. Mit einfachen Scripts testen die Spammer auch in Online-Communities ganz einfach, ob E-Mail-Adressen freigegeben sind. Dazu suchen derartige Scripts zufällig ausgewählte Namen und überprüfen deren Kontakte. Auch lässt sich eine existierende E-Mail-Adresse eingeben, um festzustellen, ob es einen Benutzer dazu gibt. Die Spam-Listen füllen sich so fast automatisch mit wertvollen Zusatzdaten. Hat jemand ein spezielles Unternehmen im Visier, werden dort tätige Personen nach dem in der Firma gebräuchlichen Muster für E-Mail-Adressen kontaktiert (beispielsweise vorname_name@firma.ch).
Trotz aller Sicherheitsmassnahmen finden sich immer recht schnell Mittel und Wege, um diese zu umgehen. Ist der Zugang zu einem Netzwerk erst einmal geschafft, können Spammer und Hacker E-Mails mit Schadcode versenden oder Skripts auf den Computern der Opfer installieren, um an weitere Mail-Adressen aus dem Netzwerk oder an das persönliche Adressbuch des Betroffenen zu gelangen. Dabei sind diese Attacken besonders effektiv, da der Absender eine vermeintlich bekannte Person ist.

Virtuelle Welten wie Second Life sind im Prinzip den Social-Networking-Seiten sehr ähnlich. Auch Sie integrieren zunehmend komplexere Client-Software, um Grafik und Interaktionen zu verbessern. Und auch hier täuscht die Gruppenmitgliedschaft eine sichere Umgebung vor: So könnte sich ein Hacker als Mitspieler oder Administrator ausgeben, ein Tool anbieten, das die Leistung steigert, das dann leichtfertig geöffnet wird. Dabei könnte das Tool in Wirklichkeit ein Keylogger oder andere Malware sein. In Firmenumgebungen haben solche «Spielwiesen» daher nichts zu suchen.

IT-Administratoren sollten sich im Klaren darüber sein, dass es in der menschlichen Natur liegt, immer den kürzesten und schnellsten Weg zu nehmen. Aus diesem Grund müssen Unternehmen ihre Mitarbeiter darin schulen, die Glaubwürdigkeit von in E-Mails enthaltenen URLs in Frage zu stellen - selbst wenn sie von Freunden oder Kollegen kommen. Das Öffnen von E-Mails mit unbekanntem Absender sollte generell vermieden werden. Kettenbriefe oder E-Cards sind beliebte Wege, Nutzer zu erreichen und entweder zu infizieren oder an weitere Adressen zu gelangen. Allein das Öffnen einer Nachricht kann den Sender darüber informieren, dass es sich um eine gültige Mailadresse handelt und eine Flut weiterer Mails nach sich ziehen.

Wichtig ist daher ein Security-Awareness-Training im Unternehmen. Mitarbeiter und Vorgesetzte werden dadurch auf die Risiken und mögliche Vorsichtsmassnahmen aufmerksam gemacht. Die Durchsetzung übergreifender Internet-Security-Richtlinien sorgt für zusätzlichen Schutz.
Allerdings lösen auch Awareness-Kampagnen nur einen Teil des Problems. Da die Methoden der Hacker sich stetig weiter entwickeln, ist es für Unternehmen wichtig, die neusten Security-Trends und -Lösungen genau im Auge zu behalten. Dem meist unvorhersehbaren Verhalten der Nutzer können Administratoren am wirksamsten durch den Einsatz von modernen Sicherheitstechnologien in Kombination mit umfassenden Sicherheitsrichtlinien entgegentreten.

Checkliste

5 Regeln fürs sichere Netzwerken

Das Dilemma: Jede kleine Info hilft Spammern und Hackern
einen Schritt weiter. Aber ohne Austausch macht das Netzwerken keinen Sinn. Mit diesen einfachen Regeln gelingt die Gratwanderung.

1. Keine privaten Daten

Ihren Business-Kontakten genügen Geschäfts- und Mail-Adresse. Private Adresse oder gar Interessen sind unnötige Munition für Phisher und Spammer.

2. Kontakte selektieren

Nehmen Sie nicht jeden Kontakt oder Link an. Überprüfen Sie die angegebenen Referenzen gegebenenfalls.

3. Nur sicheren Netzen beitreten

Informieren Sie sich vorab beim Betreiber des Business-Netzwerks über die eingebauten Schutzmechanismen, zum Beispiel gegen Cross-Site-Scripting-Attacken.

4. Passwort-Management

Verwenden Sie für jeden Account verschiedene, starke Passwörter - am besten automatisch generiert per Hardware. Wer für Online-Bankkonto, SAP-Zugang und Business-Netz den gleichen Begriff wählt, spielt den Passwortdieben in die Hände

5. Bewusstsein schaffen

Klären Sie regelmässig im Unternehmen über die aktuellen Gefahren auf, führen Sie eine allgemein gültige Security Policy ein und halten Sie sich auch selbst daran.