Facebook und Co. sicher nutzen

Wer noch vor zwei Jahren IT-Verantwortliche und Administratoren gefragt hat, welche Maßnahmen sie zum Schutz ihre Netzwerke und Daten vor den Gefahren der sogenannten sozialen Netzwerke für notwendig halten, hat zumeist nur ein Kopfschütteln oder ein Achselzucken zur Antwort bekommen: Kaum ein IT-Profi machte sich zu diesem Zeitpunkt Gedanken um eine Bedrohung aus dieser Richtung.

Dabei existieren die Grundlagen der Social Networks in Form sogenannter Bulletin Boards und der vielen Usenet-Gruppen schon sehr lange und kamen schon in der frühen Form des Internets zum Einsatz. Allerdings ist es erst Web-Applikationen wie Facebook, LinkedIn und Google+, aber auch Anwendungen wie Twitter zu verdanken, dass diese Art der Kommunikation zu einem Massenphänomen wurde, das auch in die Unternehmensnetze drängt.

Social-Media-Security
Welche Ängste bewegen IT-Professionals, wenn um den Einsatz von sozialen Medien im Geschäftsumfeld geht? Der „2011 Social Media Protection Flash Poll“ vom Symantec zeigt mit dieser Überblick welche Probleme die Firmen bewegen (Quelle: Symantec).

Social-Media-Security
Sicherheitsprobleme machen immer noch den größten Teil der Bedenken Unternehmen (und deren Mitarbeiter), wenn es um den Einsatz sogenannter Web-2.0-Techniken und soziale Medien im Unternehmen geht, wie eine Umfrage von Clearswift ergab. (Quelle: Clearswift).

Social-Media-Security
Interessante Aussagen zur Informationssicherheit in der Organisation, wobei sich diese Ergebnisse nur auf die befragten deutschen Firmen beziehen. (Quelle: Clearswift).

Social-Media-Security
Content-basierte Überprüfung am Web-Gateway: Durch das sogenannte Content Scanning können die Internet-Inhalte, die über das Gateway in die Firma mittels Richtlinien überprüft werden. Dabei kommt auch eine lexikalische Analyse zur Hilfe (Quelle: Clearswift)

Social-Media-Security
Die traditionellen Anbieter von Sicherheitslösungen sind sich der Gefahren bewusst und beginnen, entsprechende Ergänzungen anzubieten. Die hier zu sehende Bitdefender-Lösung ist dabei gut in die Sicherheitssuite des Herstellers integriert worden.

Social-Media-Security
Die Bitdefender-App im Einsatz auf dem Facebook-Account: Sie liefert eine aufgeräumte Sicht des Facebook-Accounts und prüft nicht nur die Links, sondern auch die personenbezogenen Daten und Einstellungen.

Social-Media-Security
Die Anwendung von Bitdefender steht nicht nur als Teil der Software-Suite sondern auch als Standalone-Lösung direkt auf Facebook zur Verfügung.

Social-Media-Security
Auch Hersteller F-Secure bietet mit ShareSafe eine spezielle Anwendung auf dem Markt, die direkt auf der Facebook-Plattform zur Verfügung steht – sie befindet sich allerdings noch im Beta-Stadium.

Social-Media-Security
Ist bei allen Sicherheitsanwendungen unter Facebook so, macht den Anwender aber zunächst doch nachdenklich: Er muss der Anwendung weitgehende Zugriffsrechte auf seine Daten einräumen, damit sie diese entsprechend überprüfen kann.

Social-Media-Security
Etwas verspielt und genau auf die Facebook-Zielgruppe ausgerichtet: Die Lösung von F-Secure will die Anwender dazu bringen, mittels eines Punktesystems nur sichere Links auszutauschen und zu posten.

Social-Media-Security
Unter dem Namen „Safe Web“ bietet die Sicherheitsfirma Symantec sowohl eine Standalone-Lösung zur Überprüfung der Reputation von Webseiten als auch diese Facebook-App an.

Social-Media-Security
Das Ergebnis eines Scans mit der Norton „Safe Web“-Anwendung: Um entsprechend performant zu sein, scannt sie nur die Links, die innerhalb der letzten 24 Stunden geteilt wurden. Diese Anwendung bietet auch eine Einstellung zum automatischen Scan.

Social-Media-Security
Wer den automatischen Scan der Norton-Anwendung ermöglichen will, muss der Anwendungen noch weitreichendere Zugriffe auf sein Profil erlauben.

Social-Media-Security
Ein Vorteil der Norton-Lösung: Die in den sozialen Netzen gern verkürzten Links werden automatisch in ihrer vollständiger Form dargestellt, was dem Anwender mehr Informationen über die entsprechende Webseite bietet.

Facebook, Twitter & Co. - neue Löcher im Security-Wall

Damit entstehen dann auch - wie es ein Sicherheitsexperte ausdrückte - immer "neue Löcher im Sicherheitswall" der Firmen. So zeigen Untersuchungen der großen Sicherheitsfirmen recht deutlich, welche Gefahren den Unternehmen durch den vermehrten Einsatz dieser Techniken drohen. Die Security-Firma Symantec stellt in ihrem "2011 Social Media Protection Flash Poll" fest, dass fast alle befragten Firmen in den letzten Jahren bereits Probleme durch den Einsatz solcher sozialen Netzwerke zu beklagen hatten:

- 46 Prozent der Firmen mussten feststellen, dass ihre Angestellten zu viele interne Firmeninformationen in öffentlichen Foren zugänglich machten.

- 41 Prozent waren mit dem Verlust oder der Veröffentlichung vertraulicher Daten konfrontiert.

- 37 Prozent sahen sich einer erhöhten Gefahr von Rechtsstreitigkeiten ausgesetzt.

Eine Umfrage, die im Auftrag der Firma Clearswift in Großbritannien, Deutschland, den USA und Australien durchgeführt wurde, zeigt mindestens ebenso deutlich die Befürchtungen, die sowohl bei den Verantwortlichen als auch bei den Mitarbeitern selbst auftauchen, wenn es um den Einsatz von Twitter, Facebook und Co. im Unternehmen geht: Mehr als 50 Prozent der befragten Arbeitgeber in Deutschland nannten Sicherheit als ihr wichtigstes Anliegen im Zusammenhang mit neuen Anwendungen zur Zusammenarbeit über das Web und Social-Media-Tools (Bild 2). Berücksichtigt man noch ein weiteres Ergebnis der Umfrage, nämlich dass 48 Prozent der befragten deutschen Unternehmen im Hinblick auf ihre IT der Meinung sind, dass sich ihre Mitarbeiter im Grunde wenig um Sicherheitsbelange kümmern, so wird schnell klar, wie wichtig eine Sicherheitsstrategie für den Einsatz dieser Techniken und Anwendungen in Unternehmensnetzwerken ist.

Soziale Netzwerke: 5 Probleme, die Sie lösen müssen

Nun gibt es gerade im Bereich der mittelständischen und kleineren Unternehmen sicher noch viele Firmen, die versuchen, den Einsatz solcher Anwendungen und Techniken grundsätzlich zu unterbinden. Sieht einmal davon ab, dass es in der heutigen Zeit einfach einen Wettbewerbsnachteil bedeutet, wenn eine Firma nicht in diesen Bereichen vertreten ist, so ist es technisch auch kaum umsetzbar, die entsprechenden Zugänge komplett zu sperren.

Ist es für den Administrator noch möglich, den Zugang zu einer Webseite wie www.facebook.com (oder .de) zu sperren, so wird er sich schon bei Google+ schwerer tun: Sperrt er "google.de" oder "google.com" für seine Mitarbeiter, so werden diese in der Zukunft Schwierigkeiten haben, ihre Suchanfragen auf die Google-Seite abzusetzen. Insgesamt ist es für Administratoren immer schwerer, den kompletten Verkehr zu kontrollieren, der über die in der Regel offenen Web-Ports 80 (HTTP) oder 443 (HTTPS) in das Firmennetzwerk gelangt.

Technische Maßnahmen, wie sie für den Schutz vor Viren, Spam und Malware üblich und sinnvoll sind, können hier also nur bedingt helfen. Deshalb haben wir hier fünf grundlegende Probleme identifiziert, die in fast allen Firmen auftauchen. Ihre Behebung kann dabei helfen, den Gebrauch sozialer Netze und entsprechender Anwendungen sicherer zu machen:

Problem 1 bis 5

Problem 1: Richtlinien für soziale Medien

Firmen und deren IT-Verantwortliche, die sich Gedanken über den sicheren Einsatz von Social Networks machen, müssen zunächst einmal Richtlinien für die Nutzung aufstellen. Die beiden wichtigsten Fragen werden dabei zunächst sein:

• Wer in der Firma darf diese Medien (in Namen der Firma) nutzen?

• Was dürfen diese Personen sagen?

Hier gilt noch viel stärker als in allen anderen Bereichen, die sich rund um die IT-Sicherheit drehen: Ausbildung, Training und umfassende Information der Mitarbeiter sind unbedingt notwendig.

Problem 2: Die Menschen sind ein Angriffsziel

Ein altes Administratorsprichwort sagt, dass das eigentlich Problem der IT vor dem Bildschirm sitzt - dies gilt im verstärkten Maße für den Einsatz von sozialen Netzwerken und Medien: Diese Techniken sind besonders gut für Angriffe geeignet, die nach dem Prinzip des "Social Engineering" vorgehen. Mitarbeiter, die beispielsweise zu viele persönliche Informationen im Profil ihrer Facebook-Seite preisgeben, können so leicht zum Angriffsziel werden.

Auch eine unbedachte Aussage über Firmeninterna, die über den Twitter-Account veröffentlicht wird, kann schnell ernste Folgen haben - besonders, wenn es um börsennotierte Unternehmen geht. Hier gilt, wie schon beim Problem 1: Gezielte Schulungen der Mitarbeiter zu verantwortungsbewusstem Einsatz organisieren und klare Richtlinien kommunizieren, die festlegen, was gesagt werden darf.

Problem 3: Mix von privaten und geschäftlichen Aktivitäten

Für viele Firmen läuft der Einstieg in die sozialen Netze so ab, dass die Mitarbeiter zunächst ihre privaten Twitter- und/oder Facebook-Accounts nutzen, um auch über Belange der Firma zu informieren. Kann es da verwundern, wenn sie später auch die privaten und geschäftlichen Aktivitäten vermischen?

Allen Angestellten sollte aber klar sein, dass sie in Social Networks ihre privaten von den geschäftlichen Daten ebenso trennen müssen, wie sie es auch auf einem geschäftlichen Notebook oder Smartphone tun.

Problem 4: Kontrolle der Webseiten und Internet-Aktivitäten

Administratoren sollten immer versuchen, den Internet-Verkehr und damit auch den Zugriff auf Webseiten zu analysieren und zu protokollieren. Dazu gehören unter anderem Seitenaufrufe und Datenmengen: Wer ruft welche Webseiten auf? Welche Datenmengen werden transferiert?

Solche Daten können selbst dann, wenn sie nur anonymisiert erhoben werden, schnell Aufschluss darüber geben, wo möglicherweise Schwachstellen bestehen und welche Dienste überproportional häufig aufgerufen werden. So kann der Administrator jedenfalls schon einmal grundsätzlich feststellen, welcher der Dienste (beziehungsweise welche Webseite) ein Problem verursacht. Inhaltliche Kontrollen sind so aber nicht möglich!

Problem 5: Kontrolle der mobilen Geräte und Anwendungen

Ein Punkt, der gerade bei der Überwachung sozialer Netze und Medien im Firmenumfeld gerne außer Acht gelassen wird, sind die mobilen Geräte und Anwendungen:

• Social Media und mobile Geräte sind eng miteinander verbunden - in puncto IT-Sicherheit sind indes gerade diese Geräte alles andere als fortschrittlich.

• Immer mehr Mitarbeiter gehen auch mit ihren Smartphones oder Tablets direkt ins Firmennetz und nutzen dann die entsprechenden Dienste und Netze.

Hier gilt es eindeutig festzulegen, ob solche Geräte grundsätzlich im Firmennetzwerk zum Einsatz kommen dürfen. Mittels Richtlinien sollten IT-Verantwortliche bestimmen, ob und wie soziale Netzwerke über diese Geräte verwendet werden können.

Technische Lösungen: Content-Security

Eine weitere wichtige Frage in Sachen Security und Social Networks lautet: Wie können Administratoren den Datenstrom, der da zumeist über Web-Browser und den Port 80 in das Firmennetz vorbei an Firewall-, Antivirus- und Antispam-Lösungen in das Netzwerk strömt, technisch kontrollieren? Hier könnten Geräte helfen, wie sie unter anderem als "Next Level Firewalls" von der Firma Barracuda oder auch als spezielle Web Gateways von der Firma Clearswift auf den Markt gebracht werden: Diese Lösungen erlauben es den Administratoren anhand von Richtlinien, den Datenverkehr in Echtzeit zu überprüfen. Dabei können nicht nur die Datenpakete auf technische Aspekte hin untersucht werden, sondern hier kann auch nach gängigen Begriffen aus dem Geschäftsleben wie etwa Personendaten oder auch bestimmten Zahlenmustern gesucht werden.

Welche Vorteile bringt ein solcher Ansatz?

Administratoren können ähnlich wie bei DLP-Lösungen (Data Loss oder Data Leakage Prevention) sehr fein und genau abgestimmt den Verlust von Daten aus ihrem Netzwerk verhindern. Allerdings kann auch das nur dann funktionieren, wenn die dazu benötigten Sicherheitsrichtlinien in der Firma eingeführt und die eigenen Daten entsprechend klassifiziert wurde. Auch die Aussendung entsprechend eingestufter Daten über einen Webmail-Account können diese Lösungen zumeist bereits verhindern.

Was kann eine solche Lösung nicht verhindern?

Leider können solche Systeme auch bei noch so feiner und genauer Überwachung nicht verhindern, dass beispielsweise ein Mitarbeiter eine unbedachte Bemerkung auf einer Plattform wie Twitter oder Facebook macht. Insgesamt ist die inhaltliche Kontrolle der Daten auf Web-Plattformen nur schwer möglich.

Software zur Facebook-Absicherung

Wir haben in diesem Artikel schon deutlich gemacht, dass es für Administratoren zwar möglich ist, Anwendern grundsätzlich den Zugang zu den sozialen Netzwerk zu verwehren, dass es aber schwierig bis unmöglich ist, die Sicherheit sowohl der Anwender als auch der Firmendaten und -Reputation allein durch technische Mittel zu gewährleisten.

Trotzdem sehen natürlich gerade die "klassischen Anbieter" von Sicherheitslösungen dieses Thema als ihr ureigenes Gebiet an und versuchen, entsprechende Lösungen anzubieten. Wir haben uns einige dieser Lösungen, die hier exemplarisch für eine solche Art des Schutzes stehen sollen, näher angeschaut: Dazu gehört die aktuelle Version einer Internet-Schutzsoftware der Firma Bitdefender, die den Namen Bitdefender Total Security 2012 trägt. Die Facebook-Komponente dieser Software steht unter dem Namen "safego" auch als kostenlose App für Facebook bereit.

"Norton Safe Web" von Symantec ist eine Anwendung, die grundsätzlich die Reputation von Webseiten anhand der Links überprüft. Auch von dieser Software steht eine spezielle App für den Einsatz auf Facebook-Seiten zur Verfügung.

Eine ähnliche Anwendung, die speziell zur Untersuchung der Links im Newsfeed einer Facebook-Seite dient, wird von der Firma F-Secure unter der Bezeichnung F-Secure ShareSafe angeboten. Diese Anwendung versucht die Anwender mittels eines Bonus-Systems dazu anzuhalten, sichere Links weiterzugeben und damit grundsätzlich mehr Sicherheit auf Facebook zu erzeugen. Im Grundsatz eine gute Idee, die aber fürs Business-Umfeld wenig geeignet ist. Zudem befindet sich diese Lösung nach Aussagen von F-Secure noch im Beta-Stadium, was sich auch darin zeigt, dass sie während des Testzeitraums häufiger nicht erreichbar war und nur ein Hinweis auf den Beta-Status und aktuelle "Maintenance" erschien.

Was leisten diese Security-Systeme?

Allen drei Lösungen ist gemein, dass sie recht gut anhand ihrer Reputationsdatenbank Links aussortieren können, die möglicherweise auf gefährliche und unsichere Webseiten führen. Die Bitdefender-Lösung setzt ferner eine heuristische Überprüfung dazu ein, um auch ausführbare Scripts in den Links zu überprüfen. Bei der Symantec-Lösung hat uns gut gefallen, dass verkürzte Links für den Anwender sichtbar aufgeschlüsselt werden, so dass auch hier die Sicherheit erhöht wird.

Sind diese Lösungen für den Unternehmenseinsatz geeignet?

Alle drei Lösungen zielen eindeutig auf den Einsatz durch den Endanwender, wobei die Bitdefender-Lösung durch ihre direkte Integration in die Internet-Suite des Herstellers noch am ehesten zur Einbindung in eine Unternehmenslösung taugen würde. Alle drei Lösungen können zudem nur vor Angriffen durch bösartige Links oder Scripts schützen - eine inhaltliche Kontrolle der Postings, die nach entsprechenden Richtlinien vorgenommen würde, können sie nicht bieten.

Fazit

Die drei kurz getesteten Lösungen zur Abwehr von Gefahren auf Facebook demonstrieren, dass die Hersteller von Sicherheitslösungen das Problemfeld erkannt haben und an entsprechender Software arbeiten. Im professionellen Umfeld sind es die "Next Generation Firewalls" und "Web-Gateways", die IT-Verantwortlichen auf Anwendungsebene eine Kontrolle über die Inhalte geben, die das eigene Netzwerk verlassen.

Um die Gefahren zu bannen, die durch unbedachte, falsche oder böswillige Einträge in sozialen Netzwerken drohen, können technische Lösungen heute nur Hilfestellungen geben. In den Griff bekommen IT-Verantwortliche diese Anwendungen nur mit gut durchdachten Sicherheits- und Medienrichtlinien und permanente Schulung der Mitarbeiter. (wh)