Welche Gefahr lauert hinter der Tür?

So ein E-Mail-Archiv hat schon etwas für sich. Beim „Digging in the time line“ – trendig formuliert – oder dem „Wühlen im Newsletter-Archiv“, klassisch formuliert, findet sich so manches. Und ganz ehrlich: Als ich davon las, dass Viren und Würmer gestern waren und dass moderne Attacken aus dem Internet auf den Webbrowser zielen und Firewalls im Handumdrehen umgehen, wähnte ich mich im Hier und Jetzt. Doch tatsächlich ist die Meldung aus dem August 2007.

Die Gefahr von Viren und Würmern ist einfach allgemein bekannt mittlerweile. Dafür spricht auch das Ergebnis einer Befragung auf der Website www.free-av.de, die vom Anbieter Avira betrieben wird. Demzufolge surft nur knapp jeder Zehnte ungeschützt durchs Web. Nur 569 von 5811 Teilnehmern geben an, keine Antivirensoftware zu verwenden. Virenschutz gehört sicherlich fast zur Grundausstattung von PCs. Allerdings bedeutet das Vorhandensein von Antivirensoftware noch nicht gleich Sicherheit. Denn erstens schützen die vorhandenen Programme unterschiedlich gut, zweitens müssen die Signaturen regelmäßig aktualisiert werden und drittens gibt es ganz andere Gefährdungen, die über den grundlegenden Virenschutz hinaus gehen.

Und auch beim anderen Thema gibt es eine gewisse Konstanz, denn moderne Angriffsmethoden nutzen ganz selbstverständlich das Internet als Ausgangspunkt ihrer betrügerischen oder zerstörerischen Aktivitäten. So leiten sie nichtsahnende Anwender von vertrauenswürdig erscheinenden Webseiten, denen die gefälschten Websites vorgelagert sind, zu Seiten, bei denen ihnen das Fell über die Ohren gezogen wird, sprich ihre digitale Identität gestohlen wird.

Auch nicht ganz neu ist der Weg über soziale Netze. Aber hier lauern ständig neue Gefahren. Ganz aktuell ist eine Masche, die der Sicherheitsanbeiter Sophos aufgedeckt hat. Dieses Mal ist es die vor wenigen Wochen eingeführte „Gefällt mir“-Funktion von Facebook, die gezielt missbraucht wurde. Hundertausende Facebook-Nutzer sollen von den Netzbetrügern gezielt angegriffen worden sein. „Clickjacking“ wird das Verfahren genannt, bei dem Nutzer dazu gebracht werden sollen einen manipulierten Link anzuklicken. Tun sie das, kommen sie auf eine einfache Seite mit der Aufforderung „Click here to continue“. Sobald man irgendwo auf dieser Seite einen der Mausklick auslöst, wird im Hintergrund die „Gefällt-mir“-Schaltfläche aktiviert und mit dieser Nachricht auf der eigenen Facebook-Seite veröffentlicht. Jeder neugierige Facebook-Freund, der den vermeintlich vertrauenswürdigen Link anklickt, wird unverzüglich infiziert.

Das Problem ist evident: Je mehr Facebook & Co. die einzelnen Internetseiten miteinander verknüpfen, desto potenzierter kann die Gefahr erfolgreicher Webattacken sein. Darum müssen auch die Anbieter gerade der stark frequentierten Seiten und sozialen Netze ihre Systeme mit den besten Sicherheitsmechanismen ausstatten und die Nutzer über mögliche Gefahren informieren. Dazu gehören gut erklärte und leicht auffindbare Sicherheitseinstellungen. Dazu gehört aber unbedingt auch eine Sicherheitssoftware, die neben dem grundlegenden Viren- und Würmerschutz auch Websites kontrolliert und neueste Angriffsarten wirkungsvoll und umfassend abwehrt.

Und last but not least: Wo Antivirensoftware drauf steht, sollte auch Antivirensoftware drin sein. Was nicht zwangsläufig so ist. So verbirgt sich beispielsweise ein neuer Schädling mit dem Namen Trojan.FakeAV.KZO hinter dem gefälschten Virenschutzprogramm „ByteDefender“. Die Ähnlichkeit mit dem Anbieter BitDefender ist gewollt. Statt PCs zu schützen, schädigt „ByteDefender“ jedoch fremde Rechner. Wer sich vertippt, ist schnell gefangen, hat im Nu die gefälschte Software auf seinem Rechner und wird nahezu genötigt, das Programm zu erwerben, um sich vor vermeintlichen Schadprogrammen auf dem Rechner zu schützen.

Nur wer achtsam durch die Online-Welt surft und aktuelle und umfassende Schutzsoftware installiert hat, ist weitgehend sicher. Guten Schutz bieten dabei oft schon kostenlose Antivirenprogramme, wie die Fachzeitschriften chip und c’t in ihren aktuellen Print-Ausgaben festgestellt haben. Besonders hervorgehoben haben die Redakteure der c’t ein Programm aus Tschechien: “Avast bietet nicht nur einen ausgezeichneten Virenschutz, sondern mit Web-Scanner und Verhaltenserkennung das einzige runde, kostenlose Sicherheitspaket.”

Im neuen Roman von Frank Schätzing Limit jagt eine der Hauptpersonen Cyberkriminelle in China. Beim Lesen des Romans, der immerhin im Jahr 2025 spielt, habe ich mich gefragt, warum der Autor sich nicht neue Arten von Cyberattacken ausgedacht hat, so sehr ähneln seine Fiktionen aktuellen Analysen – und Geschehnissen. China und die USA spielen dabei eine wichtige Rolle, aber Wirtschaftsspionage im Internet ist ein globales Problem.

Die Auseinandersetzung zwischen Google und der chinesischen Regierung scheint auf den ersten Blick auch eher wie das Phantasieprodukt eines begabten Schriftstellers zu wirken. Die chinesische Regierung hat demnach gezielt Hacker beauftragt, Daten über Bürgerrechtler auszuspionieren – und das offensichtlich erfolgreich. Sie hat das vehement bestritten, Google scheint indes so sicher, dass es sein China-Geschäft in Frage gestellt hat.

Dieser weltweit bekannt gewordene Fall illustriert einen Trend. Neben Google wurden im Dezember 2009 34 weitere amerikanische Unternehmen höchstwahrscheinlich von China aus attackiert. Im Sommer 2009 griffen Hacker 100 amerikanische Unternehmen über manipulierte PDF-Dokumente an, allerdings ohne Erfolg, so Eli Jellenc, Vorstand der internationalen Abteilung für Cyber Intelligence bei Verisign iDefense.  Und Ende Januar erst wurde ein Bericht bekannt, demzufolge die nordamerikanischen Ölfirmen Marathon Oil, ExxonMobil und ConocoPhilips Opfer von Hackern wurden. Laut Christian Science Monitor haben Unbekannte schon im Jahr 2008 vertrauliche Informationen über Ölvorkommen und E-Mail-Passwörter gestohlen. Ein Angriff konnte nach China zurückverfolgt werden.

Es geht nicht darum, einen Cyberwar von China gegen US-amerikanische Unternehmen zu konstruieren. Internetspionage erfolgt sicherlich in vielfältige Richtungen – und ist auch nicht neu. Was aber irritiert, ist die Tatsache, dass die verwandten Methoden immer perfider werden. Bei der Attacke, die darauf abzielte, Zugang zu persönlichen Informationen der chinesischen Dissidenten zu erlangen, gaben sich die Angreifer als Freunde von Mitarbeitern aus. So hat McAfee-CTO George Kurtz der Financial Times erklärt, die Hacker hätten sich vor den Angriffen informiert, wer die verantwortlichen Personen in den Unternehmen seien und wie man sie kontaktieren könne. Jemand habe sich die Mühe gemacht, unter den Freunden nach potenziellen “Mithelfern” zu suchen. Über eine Instant-Messaging-Lösung hätten sie Malware an die Opfer geschickt.

In dem Fall der attackierten Ölfirmen sei es sogar so, „dass ausländische Geheimdienste die Kontrolle über wesentliche Teile ihrer Netzwerke“ übernommen hätten, so eine Quelle. Was die Verantwortlichen dort nicht glauben wollten, aber wahr sei, weil der „Schädling nicht wie ein normaler Virus“ funktionierte. Etwas so Raffiniertes und Hartnäckiges haben wir noch nie gesehen.”

Gestern brachte die FTD als Aufmachermeldung, dass Hacker das europäische Register für den Emissionshandel geplündert haben. Die Kriminellen stahlen Verschmutzungsrechte und verkauften sie weiter. Laut Candid Wüst von Symantec hat der Markt für Cyber Warfare und Wirtschaftsspionage im Jahr 2009 ein weltweites Budget von 8,12 Millionen US-Dollar. Er bezieht sich auf Zahlen von Companiesandmarkets. Die jüngsten Fälle lassen annehmen, dass die Tendenz weiter deutlich nach oben zeigt.

Was also dagegen tun? Vielleicht hat das Pentagon demnächst das unschlagbare Mittel gefunden. Denn seit Ende Januar sucht eine neue gegründete „Cyber-Genom“-Arbeitsgruppe nach der eindeutigen, nicht zu widerlegenden digitalen DNA der Hacker. Was das genau sein soll und wie sich die Wissenschaftler des Pentagon diesem Thema annähern, liest sich so spannend wie der neue Roman von Frank Schätzing ab Seite 346. Doch das ist eine andere Geschichte – für den nächsten Blog.

Nicht jede Regel ist sinnvoll (Bildquelle: photocase.de, designer111)

Richtlinien für den richtigen Umgang der Mitarbeiter mit Xing, Facebook und Twitter sind derzeit ein häufiges Thema im Gespräch mit Kunden. Vor wenigen Tagen haben mein Kollege Martin Kurth und ich gemeinsam einen halben Tag  mit einem Kunden über die Frage diskutiert, warum solche Social-Media-Richtlinien, ich bevorzuge in diesem Fall die gefälliger klingendere englische Variante Social Media Guidelines, für Unternehmen wichtig sind und wie sie aussehen könnten.

Herausgekommen sind dabei auch einige nicht kundenspezifische, ganz allgemeine Erkenntnisse, die ich zur Diskussion stellen möchte. Zuallererst die Überzeugung, dass Social Media Guidelines auf keinen Fall ein strategisches Vakuum begünstigen dürfen. Sie sind Leitplanken für die Onlinekommunikation durch Mitarbeiter, sie ersetzen aber nicht kreative Ideen und eine stimmige Kommunikationsstrategie. Meines Erachtens lauert hier eine Falle: Gerade kleinere und mittelständische Unternehmen dürfen nicht dem Irrglauben erliegen, dass es mit Social Media Guidelines getan sei. Die Richtlinien sind lediglich die Basis, der Nährboden, auf dem kreative Konzepte erarbeitet werden können.

Je intensiver ich mich mit dem Thema Social Media Guidelines beschäftige und mit Kunden darüber spreche, desto mehr kristallisieren sich einige Anforderungen an solche Richtlinien heraus, die auf jeden Fall erfüllt sein sollten, damit die Regeln ihrem Zweck auch wirklich dienen können.

Es handelt sich dabei um folgende Punkte:

Social Media Guidelines gelten für alle Mitarbeiter. Vom Pförtner bis zum Geschäftsführer. Sie lassen sich konkret im Alltag umsetzen und gelten innerhalb und, was Unternehmensbelange betrifft, durchaus auch außerhalb der Arbeitszeit. Sie warnen Mitarbeiter vor Gefahren, die sich aus unvorsichtiger Kommunikation über Unternehmensthemen im Social Web ergeben können und warnen vor den möglichen Folgen. Insofern ist erste Aufgabe von Social Media Guidelines das Verhindern von Fehlern.

Social Media Guidelines schaffen Sicherheit. Ist die Nutzung von Twitter, Facebook, Xing und ähnlichen Plattformen während der Arbeitszeit erlaubt oder nicht? Die Publikation welcher Informationen ist tabu? Was muss ein nicht in der Öffentlichkeitsarbeit tätiger Mitarbeiter beachten, wenn in Blogs oder auf Twitter über sein Unternehmen und dessen Produkte diskutiert wird? Darf er sich an der Diskussion beteiligen und wie? Unter welchen Voraussetzungen darf ein Mitarbeiter einen Account oder eine Gruppe zu einer Marke oder einem Thema des Unternehmens eröffnen? Welche Verantwortlichkeiten gelten?

Social Media Guidelines motivieren. Scharf motivierte Richtlinien mit Formulierungen wie “nur autorisierte Pressesprecher des Unternehmens dürfen sich äußern” oder “Anfragen sind an die Unternehmenskommunikation weiterzuleiten” sind nicht zielführend. Wie positiv formulierte Social Media Guidelines aussehen können, zeigen unter anderem Unternehmen wie SAP oder Kodak.

Social Media Guidelines sind informativ und hilfreich. Richtlinien zur Social-Media-Nutzung sollten leicht verständlich auch den weniger internetaffinen Mitarbeitern verdeutlichen, dass eine unbedachte Bemerkung im Web sehr viel leichter weite Kreise zieht als im Offline-Leben. Sie müssen weniger Vorschriften- als Ratgebercharakter haben und für den Leser einen konkreten Nutzen entfalten. Kodak macht es vor und bettet die Richtlinien gleich in ein informatives Booklet ein. Ein schönes Beispiel für interne Kommunikation. Wichtig ist aus meiner Sicht auch, dass Mitarbeiter in den Guidelines Kontaktdaten einer Person oder eines Teams vorfinden, das auch für kleinere Rückfragen zur Interpretation der Richtlinien erreichbar ist.

Mich interessieren Ihre Ideen und Erfahrungen: Gibt es in Ihrem Unternehmen (bald) Social Media Guidelines? Welche Anforderungen sollten solche Regelwerke noch erfüllen? Ich freue mich auf Input in den Kommentaren.

Zwei Beispiele:

• Social Media Guidelines von Kodak

• Die Guidelines von SAP:

SAP Social Media Participation Guidelines 2009

Der Citibank werden durch Hackerangriff angeblich mehrere zehn Millionen Dollar gestohlen, Aufständische im Irak hacken US-Beobachtungsdrohnen, Trend Micro prognostiziert Angriffe auf Cloud-Computing-Dienste und Sicherheitssoftware-Hersteller Symantec erwartet wegen Breitbandausbau zur Fußball-WM verstärkte Cyberattacken in Südafrika. Jüngst bekannt gewordene Vorfälle gehen in dieselbe Richtung wie Trendvorhersagen führender IT-Sicherheitsunternehmen für das Jahr 2010. Je vernetzter die Welt, desto gefährdeter und gefährlicher ihre Infrastruktur.

Dass soziale Netzwerke wie Facebook, die VZ-Familie oder Twitter ein beliebtes Ziel von Hackern sind, ist eigentlich schon ein alter Hut. Anbieter von IT-Sicherheitssoftware haben dies schon für dieses Jahr vorausgesagt und sehen darin auch einen der Trends für 2010. Dass sie besonders beim Shooting-Star Twitter leichtes Spiel haben, zeigte nicht zuletzt die erfolgreiche Attacke der Iranian Cyber Army. Am 18. Dezember 2009 hatten die offenbar regimetreuen Hacker die Homepage des Mikroblogging-Dienstes gekapert und für eineinhalb Stunden auf deren Seite umgeleitet. Twitter dürfte im kommenden Jahr eines der beliebtesten und verwundbarsten Ziele für Hackerattacken sein, nicht zuletzt da die Kontakte und die in Nachrichten enthaltenen Links hoch vertrauenswürdig sind. (Dem zum Opfer gefallen ist übrigens auch der Autor dieses Beitrags, als er eine direkte Nachricht von einem Kontakt erhielt und den Link anklickte).

Vorauszusagen, was konkret die gefährlichsten Cyberattacken sein und welche Ziele sich Cyberkriminelle tatsächlich auswählen werden, hat natürlich einen Touch von Kaffeesatzlesen. Aber dennoch lassen sich Trends fortschreiben und Schlüsse aus neuesten Entwicklungen der Schadsoftware-Technologie ziehen.

Breitband bereitet Weg für Internetkriminalität

Eine der plakativsten Prognosen stellte Symantec auf: Demnach ebnet die Kombination aus Fußballweltmeisterschaft in Südafrika und hohen Breitbandkapazitäten den Weg für einen dramatischen Anstieg an Online-Kriminalität. Der Anbieter habe eine neue Dimension an schädlichen Aktivitäten im Internet in Ländern ausgemacht, die schnelleren, günstigeren und leicht verfügbaren Breitbandzugang eingeführt haben. 2009 erhöhten Südafrika und einige ostafrikanische Länder, aber auch Tunesien dank neuer Unterseekabel die Internetkapazität erheblich. Ein Blick auf das Internet-Barometer bestätigt dies. Das Online-Tool des Internet-Providers Interoute zeigt Herkunfts- und Zielland von Online-Attacken an: Südafrika und Tunesien sind demnach heute schon die Länder in Afrika mit den meisten Attacken. Am 29.12.2009 waren es beispielsweise 5.515 in Südafrika und 3.893 in Tunesien.

Cloud-Computing-Dienste als neue Spielwiese für Sicherheitsanbieter?

Trend Micro sieht, dass Cloud Computing und Virtualisierung Unternehmen erhebliche  Kosten einspart. Gleichzeitig aber befürchtet der Anbieter von Sicherheitssoftware, dass Unternehmensserver aus der traditionellen Umgebung herausgenommen und dadurch angreifbarer würden. Trend Micro geht davon aus, dass Cyberkriminelle dabei entweder die Anbindung zur Cloud anvisieren oder aber das Cloud-Datenzentrum selbst. Damit redet Trend Micro den Ängsten vieler Mittelständler das Wort, die sich aus Angst vor Datenverlust nicht auf Cloud Computing einlassen wollen. Sicherlich wird Virtualisierung und Cloud Computing auch in 2010 eines der Top-Themen der IT-Branche sein – und mit der Zahl der Installationen nehmen auch die möglichen Angriffsziele zu. Wie gefährdet Cloud-Computing-Dienste tatsächlich sind, hängt aber immer vom einzelnen Cloud-Anbieter und dessen Infrastruktur ab. Klassische Telekommunikationsnetzbetreiber sind sicherlich im Vorteil, weil deren Infrastruktur „schon immer“ sehr leistungsfähig und ausfallsicher sein muss. Ob Cloud-Computing-Dienste tatsächlich gefährdet sein werden, wird sich erst im Lauf des Jahres herausstellen.

Ein neuer und ein fast schon alter Bekannter

Last but not least finden sich in den einschlägigen Sicherheitsvorhersagen zwei alte Bekannte, teilweise im neuen Gewand. Microsoft ist mit seinem Betriebssystem immer für eine Warnung gut. Das mit großem Erfolg gelaunchte Windows 7 sei in der Standardkonfiguration weniger sicher als Vista, und Microsoft habe bereits die ersten Sicherheitspatches für das neue Betriebssystem veröffentlicht. Angreifer würden nach Schwachpunkten suchen und fündig werden. Diese apodiktisch anmutende Aussage ist sicherlich berechtigt und dennoch verliert Microsoft als Ziel möglicherweise tendenziell an Attraktivität. Soziale Netzwerke gewinnen weiter an Beliebtheit und bieten Cyberkriminellen eine Fülle von personenbezogenen Informationen. Die Tendenz, die eigene Privatsphäre nicht wirklich zu schützen, kommt diesen sehr entgegen. Auch wenn die Betreiber sozialer Netze sicherlich bestrebt sein werden, ihre Sicherheitseinstellungen zu verbessern, wird es letztlich an jedem einzelnen Nutzer liegen, wie leicht er es den Cyber-Angreifern macht.

Holzauge sei wachsam

Dass für jeden viel auf dem Spiel steht, beschreibt ein Zeit-Autor in einem Artikel zum Datenschutz: „Was verraten soziale Netzwerke? Alles“. IT-Sicherheit und Schutz der Privatsphäre, ob für Unternehmen oder Einzelpersonen hängen eng zusammen. Der letzte Satz seines Artikels soll auch diesen Beitrag beenden: „Der Satz, den Programmierer Krebs in seinem Blog geschrieben hat, sollte daher eigentlich als ständige Erinnerung auf all diesen Netzwerken prangen: “Remember… The technology that gives You the power to organize, also gives Them the power to watch.”

Spam

E-Mail-Spam ist nicht nur ärgerlich, sondern auch ein Klimakiller. Das belegt die Studie “Carbon Footprint of Spam” des Sicherheitsexperten McAfee in Zusammenarbeit mit Umweltforschern von ICF. Den Berechnungen zufolge beträgt die Energie, die jahrlich aufgewandt wird, um die unnützen E-Mails zu verschicken, zu übertragen und schließlich auzusortieren 33 Milliarden Kilowattstunden (kWh). Das entspricht der Energie, die 2,4 Millionen Haushalte pro Jahr verbrauchen. Oder dem Gesamtausstoß an Treibhausgasen, den 3,1 Millionen Pkws mit über 250 Millionen Liter Treibstoff verursachen. Mein Vorschlag: Die Anbieter von EDV-Sicherheitslösungen sollten bei der nächsten CeBIT auf der green IT World ausstellen.

Nach Angaben des E-Mail-Sicherheitsspezialisten eleven ist insgesamt das Spamaufkommen seit Mitte 2005 um 10.000 (in Worten: zehntausend!) Prozent gestiegen. Wie groß die Spam-Plage in der Praxis ist, zeigt ein Blick in die EDV-Statistik bei Sympra: Von Ausreißern abgesehen sind pro Monat rund 90.000 E-Mails an Sympra adressiert. Das macht rein rechnerisch gesehen bei 18 Mitarbeitern rund 5.000 Nachrichten pro Nase und Woche. Das übersteigt selbst die Kapazitäten unserer Heavy-User, die fähig und willig sind, aus beinahe jeder Lebenslage und über jedes Endgerät elektronische Post zu empfangen und zu versenden. Deshalb schauen wir uns hier bei Sympra nur noch jede 53. E-Mail an. Denn 98 Prozent aller Mails, die bei uns aufschlagen sind Spam. Zur Beruhigung: Bei der Auswahl, welche E-Mails wir lesen, hilft uns ein Spamfilter.

McAfee, Inc. Research Reveals the Environmental Impact of Spam

Online-Gefahren lauern an allen Ecken auf den modernen Menschen. Für den multikommunikativen Internet-Wanderer von heute mit Vorliebe dort, wo er (oder sie) sich sicher und behaglich fühlt – oder sogar große Gefühle sucht. Tummelplätze für Online-Betrüger sind denn auch soziale Netzwerke, vertrauenswürdige Websites und Online-Partnerbörsen.

Valentinstag – Liebende machen sich Geschenke, neben echten Blumensträußen, immer öfter auch virtuelle in E-Mails, E-Cards oder über Botschaften in sozialen Netzwerken wie Facebook, Myspace, Wer-kennt-wen, StudiVZ, etc. Menschen, die auf der Partnersuche sind, bemühen sich möglicherweise gerade jetzt um einen neuen Partner – in den genannten Communities oder aber auf ausgewiesenen Partnersuche-Plattformen für Erwachsene. Und geben im Bestreben, sich zu präsentieren viel Privates preis. Was es Cyberkriminellen sehr leicht macht, zum Beispiel an persönliche Daten wie den Geburtstagstermin zu kommen. Solche Informationen können ohne große Schwierigkeiten missbraucht werden. Datenverluste oder sogar finanzielle Schäden drohen.

Wer sich in sozialen Netzwerken mit Unbekannten anfreundet, sollte auf der Hut sein. Der vermeintlich gute neue Bekannte kann sich unversehens als Online-Betrüger entpuppen, der ihn beispielsweise dazu verleiten will, Links anzuklicken, die zu „getürkten“ Webseiten führen oder den Nutzer auffordern, Dateien mit schädlicher Software herunterzuladen. Diese Links leiten den Internet-Wanderer nur scheinbar zu bekannten Websites, tatsächlich lenken sie ihn auf eine betrügerische Website. Dort verbergen sich hinter der vermeintlich vertrauensseligen Fassade schädliche Programme, mit denen sich Kriminelle Zugang zu dessen PC und den dort gespeicherten persönlichen Daten verschaffen.

E-Mails und E-Cards mit Liebensgrüßen zum Valentinstag enthalten häufig gefährliche Schadsoftware. Aktuell geht ein Wurm namens Waledac um, von dem der Anbieter von Sicherheitssoftware PC Tools schon im Januar berichtete. Zum Glück sind seine vergifteten Liebesnachrichten wie „meandyou.exe“ oder „onlyyou.exe” nicht auf Deutsch. Das schreckt hier bei uns dann doch hoffentlich die Allermeisten davor ab, diese Anhänge zu öffnen. Denn in diesen Anhängen lauert das Böse – immer und überall.

Wer mehr wissen möchte zu Online-Gefahren und wie man sich dagegen schützen kann, der schaue im folgenden ganz sicher bei Dr. Greene von PC Tools nach.