Spyware-Bekämpfung im Unternehmen
Datenspione ade
Unterschätztes Übel
Spyware-Bekämpfung im Unternehmen
Im Gegensatz zu Spyware wird Spam längst in jedem Unternehmen bekämpft. Mit Hard- und Software zur Content-Filterung und der Schulung der Belegschaft ziehen Administratoren gegen diese Landplage zu Felde. Hier liegen die Gefahren für die Netzwerksicherheit und die Produktivität der Mitarbeiter auf der Hand, und die Verantwortlichen im Unternehmen wissen mit der Spamflut umzugehen. Bei Spyware sieht das etwas anders aus. Das Bewusstsein, dass Spyware nicht nur den heimischen Desktop bedroht, sondern auch für Firmen eine ernst zu nehmende Gefahr für die Sicherheit und Integrität von Daten und Rechnern darstellt, setzt erst allmählich ein. Internet Professionell gibt einen Einblick in die Gefahren durch Spyware für Firmennetzwerke und zeigt, wie Sie Ihr Netzwerk zuverlässig schützen.
Spyware nimmt zu
Spyware-Bekämpfung im Unternehmen
Bei rund 20 Prozent aller Virenmeldungen an das Virenschutzzentrum von Symantec (www.symantec.de) handelt sich um Spyware und Adware. Das ist ein alarmierend hoher Wert, der belegt, wie rasant die Anzahl der Angriffe auf die Privatsphäre und sensible Daten von Computernutzern angestiegen ist.
Mit Spyware ist Software gemeint, die persönliche Daten des Nutzers auf dem PC ausspioniert oder bei der Eingabe aufzeichnet und an unberechtigte Dritte verschickt. Adware dagegen sammelt anonymisierte Informationen, beispielsweise über das Nutzungsverhalten von Programmen oder Surfgewohnheiten, um diese für Werbung einzusetzen. Während bei Adware lediglich die Produktivität der Mitarbeiter leidet, wenn diese beispielsweise Werbeeinblendungen folgen und auf Websites mit Shopping-Angeboten surfen, können durch Spyware in die falschen Hände gelangte Unternehmensdaten oder vertrauliche Kundeninformationen einen sehr konkreten Schaden erzeugen. Im Visier der Spitzelprogramme sind Bankverbindungen, Kreditkartennummern, Adressdaten, Passwörter, Kundendaten und ganze Dokumente, bei denen es sich durchaus um Geschäftsunterlagen handeln kann. Eine Übersicht über bekannte Spionageprogramme und über unbedenkliche System-Tools finden Sie unter www.wintotal.de/spyware.
Mitschnitt per Keylogger
Spyware-Bekämpfung im Unternehmen
Sensible Daten werden mitunter auf dem PC des Anwenders gesammelt oder bereits bei der Eingabe mit Hilfe eines Keyloggers aufgezeichnet. Dadurch kann die Spyware Informationen abfangen, bevor diese verschlüsselt versendet werden können. Andere Schadprogramme machen in regelmäßigen Intervallen Screenshots des gesamten Bildschirminhalts. Die Bilder werden komprimiert verschickt, so dass die Datenmengen kaum ins Gewicht fallen. Anhand des Datenaufkommens wird der Administrator also nicht herausfinden, dass auf dem Anwender-Rechner ein Spion am Werk ist. Hier fruchtet nur ein kompletter Scan der Arbeitsplatz-Rechner oder besser gleich ein Echtzeitscan aller Daten, die ins Unternehmensnetzwerk hinein- oder herausgehen.
Kombinierte Attacke
Spyware-Bekämpfung im Unternehmen
Die Spyware-Attacken werden immer subtiler und treten in Kombinationen mit anderen Angriffen und unerwünschten Inhalten auf, allen voran mit Spam-Mails. So werden beispielsweise Spam-Mails verschickt, die beim Klick auf Anhänge oder Links wie ein Virus oder Wurm Daten nachladen, und schon ist die Spyware auf dem PC. Dieses Verschwimmen der Grenzen zwischen verschiedenen Kategorien von Schadprogrammen beobachtet man beim Sicherheitsspezialisten Symantec in jüngster Zeit immer häufiger, erklärt Michael Hoos, technischer Direktor für Zentraleuropa bei Symantec.
Eine weitere beunruhigende Entwicklung ist der Trend hin zur Gewinnung geldwerter Informationen, so Hoos. Ähnlich wie beim Phishing zielen die Angriffe darauf ab, Kreditkarteninformationen und Benutzerdaten zu gewinnen, mit denen dann Schindluder getrieben wird. Dabei werden zum Beispiel auch Cookies, E-Mails und Chat-Protokolle ausgewertet und in Kopie an den Spyware-Programmierer geschickt. Das kann nicht nur über auf den Rechner eingeschleuste Programme geschehen, sondern auch über Viren und Würmer, die teilweise wahllos Dokumente an eine Mail anhängen und verschicken. Hier bedienen sich die Spyware-Hersteller also wieder ausgeklügelter Kombinationen von Malware.
Für die Gewinnung von Nutzerdaten mag diese Methode funktionieren, für Industriespionage ist eine solche Attacke jedoch grundsätzlich zu willkürlich. Hier würden nach wie vor vor allem Hacking-Methoden zur gezielten Informationsbeschaffung eingesetzt, erklärt Symantecs technischer Direktor. Dennoch ist es einigen Schlaumeiern in Israel erst kürzlich gelungen, mit Hilfe von Spyware-verseuchten CD-ROMs, die an gutgläubige Firmen-Manager verschickt wurden, gezielt Industriespionage zu betreiben.
Spione an der Hintertür
Spyware-Bekämpfung im Unternehmen
Um Spyware aus dem Firmennetz fern zu halten, werden unterschiedlichste Sicherheitsmaßnahmen eingesetzt. Webfilter, Antivirensoftware, Firewalls oder ein komplettes Abdichten der Arbeitsplatz-PCs über eingeschränkte Nutzerrechte, die keine Installation von Programmen erlauben, können vor einem Befall durch Schadprogramme schützen. Immer mehr Anbieter haben den Bedarf an Lösungen für die Spyware-Bekämpfung erkannt und integrieren diese in ihre Appliances oder Software. Einige ausgewählte Software- und Hardware-Produkte werden in diesem Artikel vorgestellt.
Oft ist es mit einer einzigen Methode aber noch nicht getan. Gefahr droht auch von innen: USB-Sticks können Spyware ins Netzwerk einschleusen, ohne dass die Sicherheitsvorkehrungen am Gateway greifen. Nach einer Befragung von Centennial Software (www.centennial-software.com) halten Administratoren das Einschleusen von schädlichen Programmen und Daten für die größte Bedrohung für ihr Netzwerk durch mobile Geräte, gefolgt von Datendiebstahl und Verlust von Daten. Dennoch prüfen 87 Prozent der Unternehmen solche Geräte nicht. Eine spezielle Software wie Sanctuary Device Control (www.securewave.com) oder Devicewall (www.devicewall.com) blockiert an den USB-Port angesteckte Geräte wie externe Festplatten oder USB-Sticks und erlaubt es, autorisierte Anwender und Geräte zu erkennen und zuzulassen.
Kostenexplosion
Spyware-Bekämpfung im Unternehmen
Eine Erhebung von Network World Fusion ergab, dass Spyware ein Unternehmen im Jahr 83000 Dollar pro tausend Anwender kostet. Diese Kalkulation mag auf den ersten Blick hoch erscheinen. Bei der Rechnung darf man jedoch nicht nur die Anschaffungskosten für Hard- und Software addieren, sondern muss auch die Personalkosten einbeziehen, die für die Verwaltung der Systeme anfallen.
Ein häufiges Problem ist, dass Spyware nicht nur einige Daten auf den PC schreibt, sondern auch Spuren in der Windows-Registrierung hinterlässt und Systemdateien überschreibt. Auf diese Weise wird es für die eingesetzte Software unmöglich, die Spyware vollständig zu entfernen, ohne die Integrität des befallenen Rechners zu zerstören. Damit bleibt nur, den Rechner neu aufzusetzen.
Ist das Kind in den Brunnen gefallen und sind vertrauliche Informationen an den Spyware-Programmierer oder an Dritte versendet worden, so ist der Imageschaden für das Unternehmen enorm. Hier kann es Haftungansprüche geben, wenn Daten von Kunden oder Geschäftspartnern kompromittiert worden sind. Am besten sorgt der Administrator dafür, dass Spionageprogramme gar nicht erst auf den Arbeitsplatzrechner gelangen.
Spyware-Jäger
Spy
ware-Bekämpfung im Unternehmen
Um Spitzel-Software aufzuspüren, werden verschiedene Techniken eingesetzt. Einige Software-Anbieter nutzen Datenbanken, über die ihre Produkte ähnlich Antiviren-Tools mit Signaturen der neuesten Spyware-Programme versorgt werden. Andere setzen auf die generische Erkennung von Schadprogrammen anhand ihres Verhaltens. Auf diese Weise ist die eingesetzte Lösung auch ohne Update jederzeit in der Lage, neue Spyware zu erkennen. Auch die Implementierung ist von Anbieter zu Anbieter unterschiedlich. Teilweise filtern die Anti-Spyware-Tools am Gateway, im anderen Fall werden auf jedem Desktop Clients installiert, um das Netzwerk nicht nur mit einer einzigen Verteidigungslinie zu schützen.
Beim Antiviren-Spezialisten Symantec fängt man Spyware zu Analysezwecken mit Honeypots ein, die 2,5 Millionen E-Mail-Accounts ? eigentlich zur Sammlung von Spam-Mails ? simulieren. Auf diesem Weg kommt auch eine Menge Spyware zusammen. Eine weitere wichtige Quelle sind die 150 Millionen Kunden, die den Virenschutz von Symantec nutzen. Diese können den Hersteller informieren, wenn ihr Programm Alarm schlägt. Auf diese Weise kommen pro Monat Hunderttausende von Einsendungen zusammen, die für eine Analyse und die Anpassung der Software zur Verfügung stehen. Direkt an der Quelle sitzen die Verwalter der Managed-Security-Produkte. Hier sieht der Anbieter sämtlichen Datenverkehr und bekommt jede Menge Material für die Analyse. Obendrein durchforsten die Symantec-Spezialisten noch einschlägige Websites und gelangen so an die neueste Spyware.
Das Dilemma beim Blockieren
Spyware-Bekämpfung im Unternehmen
Bei einigen Programmen ist es durchaus bekannt, dass sie Nutzerdaten sammeln und nach Hause telefonieren oder den Anwender mit Werbe-Popups beglücken. Das Problem der Sicherheits-Anbieter ist daher nicht nur, diese Spyware und Adware aufzuspüren, sondern auch sicherzustellen, ob der Nutzer diese in Kauf nimmt, um das eigentliche Programm nutzen zu können, oder ob die Spyware unwissentlich und ungewollt im Hintergrund agiert. Deshalb kann Spyware auch nicht grundsätzlich von der Sicherheitssoftware gelöscht werden, ohne beim Anwender nachzufragen.
Im Unternehmen wird hier noch eins draufgesetzt. Nicht allein der Anwender ist für die Sicherheit seiner Applikationen verantwortlich, sondern der Administrator muss eine unternehmensweite Sicherheits-Policy durchsetzen und zentral über die Zulässigkeit von Programmen entscheiden. Die eingesetzte Hard- oder Software sollte deshalb ein komfortables Management erlauben, in dem beispielsweise verschiedene Benutzergruppen mit unterschiedlichen Privilegien definiert werden können, um diese Aufgaben automatisiert und in Echtzeit zu erledigen.
Problematisch wird es, wenn im Unternehmen das private Surfen erlaubt ist. In diesem Fall sind dem Administrator die Hände gebunden, da der Internet-Verkehr nicht gefiltert oder einzelne Dienste blockiert werden dürfen. Hier sollte eine zusätzliche Vereinbarung zwischen Geschäftsführung und Betriebsrat getroffen werden, die es der IT-Abteilung erlaubt, Spyware zu blockieren.
Argumentationshilfe Reporting
Spyware-Bekämpfung im Unternehmen
Kein Administrator ist heute mehr ohne Weiteres in der Lage, eine neue Hard- oder Software anzuschaffen, ohne dafür gewichtige Gründe vorzubringen. Aus diesem Grund werden Analyse- und Reporting-Funktionen immer bedeutsamer, um den Nutzen einer Investition in IT-Systeme mit konkreten Zahlen zu belegen. Die verwendete Sicherheitssoftware sollte daher die verübten Attacken und gefundenen Schadprogramme separat aufschlüsseln können. Am besten erzeugt das Programm gleich Grafiken an Stelle unlesbarer Logfiles.
Um vor der Anschaffung einer Anti-Spyware-Lösung bereits einen Eindruck zu erhalten, wie es um die Arbeitsplatzrechner bestellt ist, können Administratoren auf eine Freeware wie zum Beispiel Spybot Search & Destroy (www.spybot.info) zurückgreifen. Dieses Tool bietet zwar keine Optionen für einen kompletten Netzwerk-Scan, eine Untersuchung einiger willkürlich ausgesuchter PCs vor Ort per Turnschuh-Administration fördert jedoch in der Regel bereits genug Material zutage, um die Anschaffung einer Sicherheitssoftware zu rechtfertigen.
Fazit
Spyware-Bekämpfung im Unternehmen
Kein Unternehmen kann es sich leisten, dass sensible Daten Unbefugten in die Hände fallen. Mit einer spezialisierten Software als Ergänzung vorhandener Systeme oder einer Komplettlösung der neuen Generation mit Spyware-Erkennung ist das Netzwerk vor Datendieben geschützt. Wie auch bei Viren, Würmern und Spam gilt jedoch die Devise: Die größte Gefahr für das Unternehmensnetzwerk sitzt vor dem Bildschirm. Deshalb sollten IT-Beauftragte neben dem Einsatz von Anti-Spyware-Lösungen nicht die Aufklärung der Mitarbeiter vergessen. Unerfahrene Anwender und leichtsinnig verwendete mobile Geräte können auch die besten Sicherheitsvorkehrungen aushebeln.