Das Internet hat auch die Spionage in ein neues Zeitalter gebracht: Wanzen waren einmal - moderne Spione arbeiten mit einem weit größeren Portfolio an Schnüffelwerkzeugen. Spyware für das lukrative Erschleichen von Informationen via Internet scheint den versteckten Mitbewohnern den Rang abzulaufen.

Die Hacker-Community steckt jedenfalls viel Fleiß in die Entwicklung unzähliger Varianten von Spionagesoftware. Wie können sich Unternehmen gegen den großen elektronischen Lauschangriff wehren? Woran lässt sich erkennen, dass die eigene IT befallen ist? Um diese Fragen zu klären, gilt es, sich erst einmal zu verdeutlichen, auf welchen Wegen sich die Schnüffler in die Sicherheitsperimeter schleichen.

Als blinder Passagier ins LAN

Spyware gelangt in der Regel nie allein und damit identifizierbar in das Unternehmensnetz, sondern immer getarnt im Huckepack mit anderen, scheinbar harmlosen Datenpaketen. Als klassischer Wirt hat sich Free- oder Shareware erwiesen, die sich von unendlich vielen Websites herunterladen lässt. Populär ist auch der Transport über alle Arten von Files, die via Peer-to-Peer-Systeme zwischen Absendern und Empfängern hin- und hergesendet werden. E-Mails haben sich ebenfalls als Taxi ins LAN bewährt - die Spyware tarnt sich dann meist als ausführbare ".exe"-Datei.

Um die Ausbreitung der digitalen Wanzen zu beschleunigen, setzen Cyber-Kriminelle auch Viren ein, die sich rasant verbreiten und dann an ihrem Zielort automatisch Spyware herunterladen. Doch es gibt noch einen anderen Infektionsherd, der weniger eigenes Zutun erfordert: Webpages, in deren Programmierstruktur sich aktiver Spionagecode verbirgt. Ruft ein User eine solche Website auf, lädt sich die Spyware automatisch auf dessen Rechner - häufig ohne dass sich auch nur ein Dialogfenster öffnet. Diese heimliche Installation wird als "Drive-by-Download" bezeichnet.

Gegen die Tarnung

Die Heimlichkeit, mit der die elektronischen Spione das Firmennetz infiltrieren, erschwert naturgemäß ihre Identifikation. Auch ist ein Befall nicht unbedingt eindeutig zu erkennen, denn nicht immer verlangsamt sich der Rechner oder stürzen Programme ab. Hier eine Auswahl möglicher Enttarnungsmaßnahmen:

Logfile-Analyse

Vermuten die Netzverantwortlichen eine Infektion mit Spyware, so bringt eine Logfile- beziehungsweise LAN-Analyse Gewissheit. Netz-Sniffer wie das Open-Source-basierende "Ethereal" können den gesamten LAN-Traffic protokollieren und analysieren. Auf diese Weise lokalisieren sie schädlichen Code oder decken andere Gefahrenquellen auf. Der Sniffer klinkt sich beispielsweise in den Treiber der Netzwerkkarte ein und speichert alle ein- und ausgehenden Daten zwischen. Dann decodiert er die Netzpakete so, dass der Administrator die einzelnen Bestandteile unterscheiden kann. Zur Präzisierung der Suche lässt sich der aufgezeichnete Datenverkehr nach einer Vielzahl von Kriterien filtern - etwa nach dem Port, der Ziel- oder Quelladresse und der Art des Dienstes. Die Zieladresse könnte bei http-Traffic zum Beispiel auf eine bekannte Spyware-Website deuten, an die der im sicheren Netz angesiedelte Spion die ergatterten Informationen sendet. Da die Kommunikation der Spyware mit ihrem "Informationsempfänger" mitunter zum Zweck der Verschleierung verschlüsselt ist, kann auch ein ansonsten im Netz ungenutztes Verschlüsselungsprotokoll Hinweise auf Spionageaktionen geben.

Viren- und Spyware-Filter

Filter für Viren und Spyware arbeiten mit der gleichen Methode: Sie screenen den ein- und ausgehenden Datenverkehr sowie auf den internen Systemen befindliche Anwendungen und Files auf bekannte Viren- beziehungsweise Spyware-Signaturen. Normalerweise benennen sie den genauen "Aufenthaltsort" der Schnüffelsoftware. In vielen Fällen enthalten die Antivirenfilter bereits die Codes für Spyware, so dass spezialisierte Software häufig keinen Mehrwert bietet. Wichtig ist, dass sowohl für das Gateway als auch für jeden Desktop Filter eingerichtet sind.

Gateway-Installationen scannen sowohl den eintreffenden Datenverkehr (Inbound) als auch die Datenpakete, die aus dem internen Perimeter herauskommen (Outbound). Die Analyse des Inbound Traffic ist wichtig für die Prävention. Eine Untersuchung des Outbound Traffic wiederum gibt Aufschluss über einen bestehenden Befall, wenn etwa der elektronische Spion versucht, seine Home-Base zu kontaktieren, um diese mit Informationen zu beliefern. Filtertechniken sind jedoch nur erfolgreich, wenn der Anbieter die Signaturdatenbanken ständig und in Echtzeit aktualisiert.

Web-Filter

Ein URL-Filter am Gateway sollte ebenfalls den eingehenden und den ausgehenden Datenstrom überprüfen. Über einen bestehenden Spyware-Befall gibt auch hier vorwiegend der ausgehende Traffic Aufschluss. Die Berichtsfunktionen des jeweiligen Filterprogramms sind so zu konfigurieren, dass es eine Warnmeldung an den Administrator schickt, sobald der Filter Spyware-kritische http-Anfragen blockt. Der URL-Filter sollte beispielsweise Verkehr stoppen, der als externe Zieladresse verdächtige Websites ansteuert, denn es ist anzunehmen, dass diese auch als Empfänger für ausspionierte Informationen fungieren. Generell arbeiten solche Filter mit Datenbanken oder "Black-Lists", die aufgrund der Dynamik im Web in kurzen Intervallen aktualisiert werden müssen.

Firewalls

Einen indirekten Hinweis auf einen Spyware-Befall können auch Firewalls liefern: Ihre Reporting-Tools messen in der Regel die Auslastung der Netzkapazität - Auslastungsspitzen sind oft ein erstes Anzeichen für einen Befall mit Schadprogrammen wie Spyware. Zur exakten Lokalisierung des Spions müssen jedoch die beschriebenen Methoden und Techniken zum Einsatz kommen.

Vorbeugen statt Nachsorgen

Hundertprozentig ausschließen lässt sich eine Verseuchung mit Spyware nicht. Unternehmen können jedoch viel tun, um der elektronischen Spionage vorzubauen. In einem ersten Schritt sollten die internen Sicherheitsrichtlinien entsprechend erweitert werden. Das firmeneigene Security-Konzept muss sowohl organisatorische als auch technische Vorgaben für alle Arten von Netzbedrohungen enthalten - darunter auch für Spyware. Entsprechende Policies konzentrieren sich im Wesentlichen auf die Nutzung des Webs, den Schutz persönlicher Zugangscodes und den Umgang mit E-Mails sowie externen Speichermedien. Die Verantwortlichen müssen die Sicherheitsrichtlinien an alle PC-Nutzer im Unternehmen verbreiten und dafür sorgen, dass ihre Bedeutung für den ungestörten Geschäftsbetrieb verstanden wird.

Aufklärungskampagnen

Die Bedeutung einer solchen Sicherheitserziehung verdeutlichen einschlägige Expertenschätzungen: Man geht davon aus, dass mehr als die Hälfte aller User mit dem Begriff Spyware nichts anzufangen weiß. Um hier Aufklärungsarbeit zu leisten, empfiehlt es sich, Spyware als Teil einer übergreifenden Kampagne zur Stärkung des Sicherheitsbewusstseins zu thematisieren, denn isolierte Einzelaktionen reichen in der Regel nicht aus, um das Verhalten der Belegschaft zu verändern. Dabei sollte die Kampagne so konzipiert sein, dass sie die Maßnahmen gegen Spyware als Professionalitäts- und Qualitätsmerkmal des Unternehmens herausstellt. Auch empfiehlt es sich, mit den auf verschiedene Phasen verteilten Aktionen die Mitarbeiter sowohl kognitiv als auch emotional anzusprechen.

Um das Wissen rund um Spyware aufzubauen und die Haltung der Zielpersonen zu verändern, eignen sich Informationsveranstaltungen, spezielle Intranet-Seiten, Web-basierende Trainings oder Podcasts. Noch besser können sich die Mitarbeiter mit Ziel und Wert der angestrebten Verhaltensänderung identifizieren, wenn die Kampagne auch für die Außendarstellung des Unternehmens genutzt wird. Durch umsichtiges Verhalten der eigenen Belegschaft lassen sich viele Angriffe im Keim ersticken.

Technische Gegenwehr

Oft ist ein Einnisten elektronischer Spione allerdings nur mit Hilfe technischer Abwehrmechanismen zu verhindern. Da sich Spyware auf unterschiedlichen Wegen ins Netz einschleicht, ist es notwendig, bei diesen Gegenmaßnahmen entsprechend breit zu denken. Die besondere Gefährdung des http-Traffics erfordert einen Gateway-Web-Filter als erste Hürde für Schnüffelsoftware. Die Sperr-Datenbanken der Filter enthalten in der Regel URLs von Web-Seiten, die entweder als Spyware-Schleudern bekannt sind oder deren Inhalte sich besonders für die Übertragung von Spionen eignen. Verdächtig sind etwa Websites, die pornografische Inhalte oder Glücksspiele anbieten. Der Filter sollte zudem URLs folgender Formate stoppen können: Phishing Sites, Resource Sharing, P2P/File Sharing, Spam-Mail-URLs, Shareware und Freeware, Streaming Video und Web-Anzeigen. Darüber hinaus sollten Unternehmen überlegen, ob sie aktive Formate - etwa Java-Applets und Active X sowie Files wie ".ocx", ".cab", ".exe", ".vbe" und ".ddl" - generell aus dem LAN ausschließen wollen.

Einige Filter bieten in ihren Datenbanken sogar eine eigene Kategorie für Spyware an. Die vielen Arten von Schnüffelsoftware erfordern es in jedem Fall, bei der Produktauswahl auf eine breite Abdeckung gefährlicher und gefährdeter Sites sowie eine präzise Kategorisierung zu achten.

Eine weitere technische Maßnahme gegen Spyware ist das Abblocken von Junk-Mails mittels Spam-Filter. Was die Kontrolle des Netzperimeters durch die Firewall betrifft, gilt eine wichtige Regel: Spyware "lebt" auf der Anwendungsebene, das heißt: Ältere Firewall-Techniken, die ausschließlich auf Netz- oder Transportebene arbeiten, können gegen Spyware nicht greifen. Allein Application Layer Firewalls untersuchen neben den Adressen der Datenpakete (entspricht den Informationen im Header) auch deren Inhalt. Sie prüfen unter anderem, um welche Anwendung es sich handelt und ob der Code der Applikation der Norm entspricht. Solche "anwendungssensiblen" Firewalls arbeiten mit Proxies oder Split-Servern für jede einzelne Applikation und lassen sich so konfigurieren, dass sie alle aktiven, ausführbaren Files von vornherein blockieren. Der Administrator kann die Einstellungen auch verfeinern, so dass lediglich der Lesezugriff auf bestimmte Dateien gestattet wird.