Eine Schlüsselrolle in den Attacken auf die Unternehmens-IT spielen seit geraumer Zeit Social-Networking-Plattformen wie Facebook, Twitter, Xing, LinkedIn oder MySpace. Auch Suchmaschinen wie Yasni und 123people, die darauf spezialisiert sind, Informationen über Personen zusammenzutragen, liefern nicht nur Freunden oder Geschäftspartnern eine Fülle von Informationen über bestimmte Personen, sondern auch Angreifern: Name, Adresse, Kontaktdaten wie E-Mail-Adresse und Handynummer. Hinzu kommen Daten zu Hobbys und Vorlieben etwa zu TV-Serien und Musik. Damit nicht genug: Viele User posten in sozialen Netzwerken auch Informationen über ihre Firma, ihren Tätigkeitsbereich oder sogar über interne Ereignisse. Das sind die Grundlagen für Social-Engineering-Angriffe.

"Mit persönlichem Wissen ist es vergleichsweise leicht, jemandem Vertraulichkeit vorzutäuschen und ihn dann zu verleiten, Malware auf seinen Rechner herunterzuladen oder sensible Informationen preiszugeben", warnt Candid Wüest, Sicherheitsexperte bei der IT-Security-Firma Symantec. "Beliebt ist beispielsweise, Facebook und Co. als Spam-Verteilplattform zu nutzen." Wenn Nutzer von Social Networks Video- oder Bilddateien von Freunden empfangen, ist die Wahrscheinlichkeit größer, dass sie diese öffnen. Damit steigt auch die Gefahr, dass sie sich über diese Plattformen Würmer und Trojaner einfangen.

Gleiches gilt für Nachrichten von - vermeintlichen - Freunden mit eingebetteten Links. Angreifer lenken mit Hilfe solcher Web-Adressen den User auf Web-Seiten, auf denen sie Schadprogramme platziert haben. Solche "malicious Websites" scannen den Rechner des Besuchers nach Schwachstellen und versuchen, Malware auf den Rechner des Besuchers zu transferieren. Diese Drive-by-Download-Attacken gehören derzeit zu den beliebtesten und gefährlichsten Waffen im Arsenal von Cyberkriminellen.

Eine weitere Gefahr besteht nach Angaben von Wüest in der Manipulation der Seite selbst. Gelinge es einem Hacker, eine Social-Networking-Seite mit schadhaftem Code zu verseuchen, sei jeder Besucher potenziell gefährdet. Auch Werbebanner, die sich in diesem Umfeld stark verbreiten, können eine Gefahr für Besucher einer Seite darstellen. Es ist laut Wüest mittlerweile durchaus möglich, schädlichen Code dort einzubetten.

Markus Hennig, Astaro
"Es ist wichtig, die eigene Infrastruktur mit Schutzmechanismen aufzurüsten, die den modernen Internettechnologien gerecht werden."

Sascha Krieger, eleven
"Während die Quantität von Spam abnahm, legte die Qualität, was die Überlistung von Spam-Filtern anging, zu. Dies galt für die verstärkte Nutzung populärer Anlässe wie zum Beispiel Feiertage als Spam-Köder ebenso wie für E-Mails, die mit versteckten Links oder JavaScript-Umleitungen versuchten, Reputationsfilter auszutricksen."

Christian Funk, Kaspersky Labs
"Virtualisierung und Cloud Computing haben sich etabliert und die Kinderstube verlassen. Insbesondere die Clouds haben ihren Wert durch ihre flexible Erreichbarkeit bewiesen, nun geht es darum, die Endgeräte adäquat abzusichern, um Fremdzugriffe durch verlorene Note- und Netbooks sowie Smartphones zu verhindern, und so sensible Unternehmensdaten geschützt zu halten.“

Isabell Unseld, McAfee
" Eine noch höhere Verbreitung von Malware wird über mobile Geräte erwartet, die von Mitarbeitern nicht nur privat, sondern auch beruflich genutzt werden und so Unternehmensnetzwerke einem höheren Risiko aussetzen. Auch das Downloaden nicht vertrauenswürdiger Applikationen wird Administratoren nächstes Jahr beschäftigen."

Michael Hoos, Symantec
" Cyberattacken erreichten dieses Jahr mit Stuxnet eine neue Qualität. Der Schädling greift gezielt kritische Infrastrukturen an, in diesem Fall die Steuerung von Fertigungsanlagen. Einmal eingenistet, kann er diese Systeme erschreckend geschickt und weitreichend manipulieren. "

Martin Rösler, Trend Micro
"Mitarbeiter bringen ihr eigenes Equipment wie Smartphones oder Tablets mit ins Unternehmen. Somit wird "Mobile Device Management"eine große Herausforderung werden. Die so genannten "Nomadic Workers" sind Standard. Das heißt, es gibt keine festen Netzwerkgrenzen mehr. Vielmehr findet eine Vermischung statt von Firmen- und privater Nutzung.“

Diebstahl der Identität

Ein weiteres Mittel, das Cyberkriminelle einsetzen, um an verwertbare Informationen zu kommen, ist das Einrichten gefälschter Profile. Opfer eines solchen Identitätsdiebstahls ist Ronald Noble geworden, Chef der internationalen Polizeibehörde Interpol. Cyber-kriminelle platzierten Mitte dieses Jahres auf der Social-Networking-Plattform Facebook zwei Accounts unter dem Namen von Noble, obwohl dieser entsprechend den Interpol-Sicherheitsrichtlinien Facebook gar nicht nutzt. Mittels der gefälschten Profile verleiteten Angreifer einige Kollegen und Freunde des Polizeichefs dazu, nicht nur Freundschaftsanfragen von Noble anzunehmen, sondern auch berufliche Informationen auszutauschen. Auf diesem Weg gelangten die Cyberkriminellen an interne Daten über die "Operation Infra-Red", eine international koordinierte Fahndung von Polizeibehörden nach Schwerverbrechern.

Kleine Firmen sind offen

Warum also nicht einfach Mitarbeitern den beruflichen Umgang mit Social Media untersagen? Schwierig ist ein solches Verbot, weil nach Angaben der Marktforschungsgesellschaft Gartner viele Unternehmen selbst intensiv daran arbeiten, Social Media als Plattform für den Informationsaustausch einzuführen. Laut Prognose werden im Jahr 2014 knapp 20 Prozent der geschäftlichen IT- und Internet-Nutzer Social-Network-Services als wichtigstes Kommunikationsmittel verwenden. In Deutschland nutzen bereits 70 Prozent der Unternehmen die Web-Dienste Xing oder Linkedin zur Kontaktpflege. Das ergab eine Umfrage unter 15.000 Unternehmern in 75 Ländern, die von Regus, Anbieter von realen und virtuellen PC-Arbeitsplätzen, in Auftrag gegeben wurde.

Demnach sind die Angebote insbesondere in kleinen Firmen beliebt. 44 Prozent der befragten Kleinunternehmen haben bereits neue Kunden in Social Networks gewonnen. Unter den mittelständischen und großen Unternehmen gaben dies lediglich 34 Prozent zu Protokoll. Auch die Mitarbeiter wollen am Arbeitsplatz twittern und Facebook-Beiträge verfassen. Laut einer Studie von Symantec von Ende September 2010 würden 32 Prozent der Beschäftigten nicht bei einem Unternehmen arbeiten, das ihnen die Nutzung von Social Media untersagt. In der Regel gibt es tatsächlich keine Verbote: 95 Prozent der Firmen erlauben den Zugang zu den einschlägigen Plattformen, wenngleich zum Unmut der IT-Leiter und IT-Sicherheitsbeauftragten: 84 Prozent der CIOs und 77 Prozent der Systemverwalter äußerten Sicherheitsbedenken.

Blinde Firewalls

IT-Manager, die Social-Media- und Web-2.0-Dienste aus ihrem Netz aussperren möchten, sehen sich mit einem Problem konfrontiert: Herkömmliche Stateful-Inspection-Firewall-Systeme (SPI) können Web-2.0-Anwendungen nicht erkennen. Dies gilt auch für Voice-over-IP-Services wie Skype sowie für Peer-to-Peer-Verbindungen, die ebenfalls viele Beschäftigte an ihrem Arbeitsplatz nutzen. Nur so genannte Next-Generation-Firewalls, die jedes Datenpaket im Detail analysieren und anschließend einer Anwendung zuordnen, sind in der Lage, solche Applikationen zu identifizieren.

Zu den Pionieren auf diesem Sektor zählt die amerikanische Firma Palo Alto Networks. Mit den Geräten der "PA"-Serie können Unternehmen jede Art von Netzverkehr analysieren und für jeden User festlegen, wann er welche Applikation verwenden darf. Ein angenehmer Nebeneffekt: Die Belastung des Netzes sinkt. Denn laut einer Analyse von Palo Alto Networks haben allein Social-Network-Zugriffe das bewegte Datenvolumen in den vergangenen 18 Monaten auf 9,1 Gigabyte verdoppelt. Das bedeutete eine Zusatzbelastung für Server, Netzwerkgeräte und Speichersysteme. Des Weiteren fallen Kosten für leistungsstärkere Internet-Verbindungen an.

Der Mitarbeiter ist gefragt

Neben technischen Hilfsmitteln wie Firewalls, Intrusion-Prevention-Systemen und Anti-Spam-Filtern gegen Social Engineering ist die Schulung der Mitarbeiter eine wichtige Komponente für den Schutz der Unternehmens-IT. Die Anwender müssen die Risiken der sozialen Netzwerke kennen und einschätzen können. Am besten sind regelmäßige Schulungen eines IT-Fachteams zum Thema. Empfehlenswert sind zudem Richtlinien zur Nutzung von Social-Networking-Diensten. Darin sollte etwa definiert sein, dass Mitarbeiter keine Details zur beruflichen Position oder zum Unternehmen preisgeben dürfen. Über Facebook oder Myspace Kritik an Kollegen oder internen Vorkommnissen zu üben ist ohnehin grundsätzlich tabu. (jha)

Platz 10: HitmanPro
Das Sicherheits-Tool HitmanPro bietet einen Virenschutz unter Windows. Dabei verwendet die Software nicht nur die Scan-Engine eines Herstellers, sondern Cloud-basierend bindet HitmanPro gleich fünf Antivieren-Engines ein. Das Tool arbeitet als On-Demand-Scanner, Konflikte mit installierten Sicherheitslösungen sind somit kaum gegeben. HitmanPro muss praktischerweise auch nicht installiert werden, es genügt der Start der ausführbaren Datei. Damit lässt sich die Sicherheits-Software auch portabel auf USB-Sticks verwenden. Der Anbieter SurfRight bietet HitmanPro als kostenlose Testversion für 30 Tage an. Die Vollversion ist kostenpflichtig. HitmanPro eignet sich für alle Windows-Version ab XP. Auch Windows 8 wird bereits unterstützt.

Platz 9: Sticky Password
o werden auch Keylogger umgangen, die die Logins einzelner Dienste protkollieren wollen. Ein integrierte virtuelle Tastatur verhindert die Ausspähung des Hauptkennworts. Auch eine iPhone App ist mittlerweile verfügbar, allerdings nur für die PRO-Version. Die Benutzeroberfläche ist in mehreren Sprachen, darunter auch Deutsch erhältlich, Probleme bei der Konfiguration sollte es also keine geben. Im Kaufpreis sind Support, eine Updategarantie sowie eine portable Version der Anwendung enthalten. Sticky Password funktioniert mit jeder aktuellen Windows-Version.

Platz 8: Secunia PSI
Der Secunia Personal Software Inspector, kurz Secunia PSI, ist ein Programm, um den Update-Status eines PCs zu überwachen und bei veralteter oder gar fehlerbehafteter Software Alarm zu schlagen. So ist es möglich, stets einen Überblick auf die potentiellen Schwachstellen des Systems zu behalten und die reale Gefahrenlage ein Stück weit besser einschätzen zu können. Auch die Patches selbst werden mit Secunia PSI leichter: Aus der programminternen Datenbank wird für gewöhnlich sofort ein Link zum neuesten Update bezogen, das sich mit wenigen Klicks installieren lässt. Hiermit wird ein großer Nachteil der Windows-Welt, in der sich nur das Betriebssystem selbst, nicht aber die Anwendungen gesammelt aktualisieren lassen, ausgebessert. Über die Funktion "Auto Update" wird dieser Vorgang noch einmal deutlich erleichtert. Hierbei übernimmt der Personal Software Inspector selbstständig sämtliche Arbeiten. Das Interface ist sehr unkompliziert und minimalistisch geraten, und störende Steuerelemente oder komplexe Menüs geraten nicht in den Weg des Anwenders. Mit der für Unternehmen entwickelten Sicherheitslösung Secunia CSI arbeitet das Tool außerdem anstandslos zusammen. Die aktuelle Version von Secunia PSI ist in der Lage, sich selbst zu aktualisieren, so dass Ihnen Update-Stress und Ärger erspart bleiben. Secunia PSI ist anders als die CSI-Suite nur für Windows verfügbar, dafür aber kostenlos. Das Programm kann in fünf verschiedenen Sprachen beim Hersteller heruntergeladen werden.

Platz 7: BoxCryptor
Daten in der Cloud zu sichern mag komfortabel sein, um die Sicherheit der Daten ist es jedoch oft schlecht bestellt. BoxCryptor soll hier durch besonders wirksame Verschlüsselungstechniken Abhilfe schaffen. Diese setzen auf Cloud Storage auf, wobei mehrere Dienste von Google SkyDrive über Amazon S3 bis Dropbox unterstützt werden. BoxCryptor existiert in zwei verschiedenen Versionen, als Desktop-Programm für Windows, Mac und Linux sowie als iOS- und Android-App. Auf dem PC lässt sich das Programm sehr leicht verwenden. Die zu sichernden Daten legt man in einem virtuellen Ordner ab, der mit dem sehr sicheren AES-256-Algoritmus verschlüsselt und mit einem Passwort versehen wird. Unter Windows kann BoxCryptor auch ein virtuelles Laufwerk mit frei wählbarem Buchstaben auf dem Rechner anlegen. Alle Daten, die dort abgespeichert werden, werden automatisch verschlüsselt und sind so vor Fremdzugriff geschützt. Auf den Mobilgeräten sieht es leider etwas unkomfortabler aus, denn hier muss BoxCryptor selbst als App gestartet werden und lässt sich nicht transparent ins Dateisystem einbinden. Positiv ist in jedem Fall zu erwähnen, dass das entwickelnde Unternehmen seine Lizenzpolitik deutlich aufgeweicht hat. So war der Dienst bisher ab zwei GByte kostenpflichtig, außerdem musste für die Apps ebenfalls bezahlt werden. Diese Beschränkungen fallen seit einiger Zeit vollständig weg. Als Alternative ist der bis 5 GByte kostenlose Dienst Wuala zu erwähnen, der bereits von Hause aus eine Vollverschlüsselung des Nutzerverzeichnisses anbietet.

Platz 6: Nmap
fer an ein System versucht wird, dessen Betriebssystem zu erkennen. Dies liefert wichtige Informationen zu potentiellen Schwachstellen. Auch Gegenmaßnahmen zur Erkennung durch Administratoren sind implementiert, etwa das sogenannte Stealth Scanning. Die Analyse eines Netzwerks kann auch über die integrierte Nmap Scripting Engine NSE automatisiert werden. Hierfür bringt das Programm eine umfangreiche Sammlung von Beispielskripten mit, die auch parallel eingesetzt werden können. Nmap wird normalerweise ohne grafische Interface betrieben, doch insbesondere die Portierung nach Windows verlangte nach einem solchen. Will man sich also nicht mit der Kommandozeile plagen, kann man auf die GUI Zenmap zurückgreifen. Der Einsatz in modernen Netzwerken ist im Übrigen dank seit der Version 6 voll implementierter IPv6-Unterstützung kein Problem.

Platz 5: Stegano.Net
Stegano.net ist ein kostenloses Steganografie-Tool für Windows XP, Windows Vista und Windows 7. Steganografie ist die Technik, beliebige Daten in einer Menge an größeren, unauffälligen Daten beliebigen Typs zu verstecken. Stegano.Net implementiert seit der Version 2.0.1.0 aus dem Kreis dieser Methoden das Verstecken von beliebigem Text und von Dokumenten in Bilddateien in den Formaten JPG und PNG. Zwar hat Steganographie ein Grundproblem, nämlich dass bei Kenntnis der Methodik die versteckten Daten problemlos zurückgewonnen werden können, doch dies umgeht Stegano.Net, indem die zu versteckenden Daten zuerst verschlüsselt werden. Leider erwähnt der Autor nicht, welche Algorithmen für die Verschlüsselung und das Verbergen der Nachricht zum Einsatz kommen, die Sicherheit der eingebetteten Informationen ist also letztlich ungewiss. Doch für hochkritische Daten, die in jedem Fall analysiert werden, ist Steganografie mithilfe von Bildern ohnehin nicht geeignet. Für weniger problematische Anwendungen oder schlicht den Spaß für zwischendurch reicht Stegano.Net aber allemal. Entsprechend leicht ist das Tool auch zu bedienen: Ein-Klick-Installation, selbsterklärende Schaltflächen, weniger Optionen und ein einfaches Interface eröffnen das Programm jedem potentiellen Nutzer. Dieser muss lediglich die Container-Datei angeben, bei Wunsch die Verschlüsselung mit Passwort aktivieren und den zu verschlüsselnden Text angeben. Ein Klick auf "Verbergen" versteckt die Daten, ein Klick auf "Sichtbar machen" zeigt sie wieder an.

Platz 4: Sandboxie
Installationsprozess eines Programms berwachen, um es dann in eine Sandbox zu verkapseln. Bedient wird es durch eine einfache Oberfläache, die durch ein Tray-Icon gestartet wird. Sie enthält auch einen Dateimanager, der die während des Betriebs der Sandbox virtuell veränderten Dateien auflistet. Außerdem lassen sich hier alle Inhalte der Sandbox löschen, um sie wieder in den Nullzustand zurückzuversetzen. So lassen sich Sicherheitsrisiken minimieren und neue Programme gefahrlos und ohne das Risiko von dauerhaften Performance-Verlusten testweise installieren.

Platz 3: Offline NT Password
Das Tool Offline NT Password ist ein kostenloses Konsolenwerkzeug, mit dem Administratoren Windows-Passwörter zurücksetzen können. Man sollte das Tool chpwnt eigentlich nicht sehr oft benötigen. Allerdings wird der eine oder andere Administrator froh sein, die kostenlose Software zur Hand zu haben. Hübsch ist es nicht, dafür funktioniert es tadellos und tut genau das, was von ihm verlangt wird. Offline NT Password unterstützt Windows von der Verson NT 3.5 bis hin zu Windows 7 und 2008. Auch bei den 64-Bit-Versionen von Windows funktioniert das Tool

Platz 2: LastPass
LastPass hebt sich deutlich vom großen Markt der Passwort-Tresore ab. Das System vertraut vollständig auf die Cloud, in der sämtliche Passwörter verschlüsselt abgespeichert werden. Zwar lässt sich dies auch manuell umsetzen, indem etwa die Passwortdateien von KeePass online abgelegt werden, doch LastPass erweitert diesen Ansatz deutlich. Erstens werden die Passwörter sowohl online als auch offline in mehrere Backups abgelegt, sind also auch bei einem Geräteausfall und einer versehentlichen Löschung sicher. Außerdem bietet das Programm eine große Vielfalt von Plugins für Browser, Desktop-Programme sowie Smartphone-Apps. Auf diesem Weg lässt sich beinahe jede Passworteingabe durch LastPass abfangen und automatisch bei dem Dienst speichern, wie man es beispielsweise von den integrierten Passwortmanagern von Browsern kennt. Die erneute Eingabe der Passwörter geschieht dann plattformübergreifend auf allen Systemen mit LastPass-Integration. Unabhängig davon, ob momentan ein Windows-PC, ein Mac, ein Linuxrechner oder ein mobiles Betriebssystem verwendet werden, muss nur das aktuelle Masterpasswort eingegeben werden, und LastPass sendet das Login automatisch. Dem gegenüber muss bei anderen Cross-Platform-Managern der Nutzername und das Kennwort meist manuell kopiert und eingefügt werden. Selbst bei der Anmeldung an diversen Diensten greift LastPass ein und generiert auch für den unwichtigsten Account ein starkes Passwort. Diverse Zusatzfunktionen wie etwa eine virtuelle Tastatur zur Abwehr von Keyloggern, ein Importmodus für Passwörter anderer Manager oder ein Notiztresor sind ebenfalls dabei. Die Grundversion von LastPass ist kostenlos, will man hingegen fortgeschrittene Funktionen wie die Mobil-Apps verwenden, fällt ein geringer jährlicher Beitrag an.

Platz 1: KeePass
KeePass ist der wohl bekannteste digitale Safe für vertrauliche Informationen aller Art. Insbesondere ist die Software dazu gedacht, Passwörter, PINs, TANs und ähnliche Zugangsinformationen abzuspeichern und zu verwalten. Hierfür legt das Programm eine mit AES stark verschlüsselte Datenbank mit einem SHA256-gehashten Hauptpasswort an. Auch die anderen Sicherheitsfeatures sind eine Erwähnung wert: Die Passwörter werden auch innerhalb des Speichers verschlüsselt gehalten, sodass eine Auslagerung des RAM auf die Festplatte keine Konsequenzen hat, und auch die Eingabe des Hauptpassworts kann gegen Keylogger gesichert werden. Alternativ kann ein Keyfile zum Einsatz kommen, für weiter gesteigerte Sicherheit können die Methoden auch kombiniert werden. Praktisch ist darüber inaus, dass KeePass portabel ist - insbesondere bei einer derartigen Anwendung ist das ausgesprochen praktisch, um Zugangsdaten auf mehreren PCs verwenden zu können. Ähnlich verhält es sich mit der Passwortdatenbank: Diese besteht nur aus einer Datei, kann also bequem zu Online-Diensten wie Dropbox geliefert werden. Dort lässt sie sich mit den diversen Versionen von KeePass weiterverarbeiten, denn das Programm ist explizit plattformkompatibel ausgelegt. Die mit "Professional" bezeichnete PC-Version ist mit Mono-Unterstützung geschrieben, läuft also neben Windows auch auf allen anderen Mono-Plattformen (Mac OS X, Linux, BSD), und auch für diverse mobile Systeme existieren Clients. Auch der Komfort kommt übrigens nicht zu kurz: Passwörter können zum Beispiel vollautomatisch auf passenden Websites eingetragen werden, und die Datenbanken anderer Passwortsafes lassen sich leicht importieren. Außerdem ist ein Plugin-System vorgesehen. Einzig eine vollautomatische Synchronisierung der Passwortdatenbank lässt das Programm leider vermissen. KeePass ist Open Source und damit kostenlos auf der Seite des Teams erhältlich.