TOR für B2B-Anwender

Gute Mitarbeiter, böse Mitarbeiter

10.06.2015
Von 
Fred Touchette ist Manager of Security Research bei AppRiver.

Tor im Unternehmen?

Unternehmen, die über ihre eigene kritische Infrastruktur, ihre Sicherheitsvorkehrungen oder Strategien kommunizieren und dies so weit wie möglich anonym tun wollen, entscheiden sich vielleicht für Tor. Genau dieselben Unternehmen beschäftigen aber möglicherweise Mitarbeiter, die Tor benutzen um die Firmen-Firewalls zu umgehen oder unerkannt während der Arbeitszeit zu surfen. Dazu zwei hypothetische Szenarien:

Szenario 1: Tor kann für Unternehmen aus unterschiedlichen Gründen attraktiv sein. Eine grundlegende Motivation besteht darin, dass es einem Unternehmen dieselbe Art von Anonymität bietet wie jedem anderen auch, der das Netzwerk benutzt.

Beispielsweise lässt sich trefflich auf den Websites der Wettbewerber surfen, ohne genau diesen Wettbewerb darauf aufmerksam zu machen, dass man tatsächlich miteinander konkurriert. Man kann sich also dieselbe Art von Informationen beschaffen wie jeder andere. Auch dann, wenn das betreffende Unternehmen den Datenverkehr filtert.

Tor eignet sich aber vor allem auch dann, wenn man Whistleblowern eine Chance geben will, dem betreffenden Unternehmen unerkannt Hinweise und Nachrichten zu übermitteln. Mailboxen und Websites, die nur über das Tor-Netzwerk zugänglich sind beziehungsweise nur in Tor existieren, garantieren dem Whistleblower schützende Anonymität. Eine nicht unübliche Praxis, die Medien wie die Washington Post und The Guardian bereits nutzen.

Szenario 2: Auch Angestellte haben die Möglichkeit, Tor zu benutzen und umgehen damit möglicherweise Restriktionen für das Surfen im Internet oder Regeln der Unternehmens-Firewall. Regeln, die dazu dienen sollten, das interne Netzwerk vor potenziell gefährlichen Websites zu schützen und die Acceptable Use Policy (AUP) zu stärken.

Das ist natürlich nicht das Ende vorstellbarer Szenarien. Der Schaden, den ein Mitarbeiter seinem Unternehmen zufügt, ist ungleich größer, sollte er beispielsweise illegale Käufe tätigen oder verborgene Dienste installieren im Netzwerk installieren.

Zugang begrenzen

Sollte ein Unternehmen sich darüber Gedanken machen, was passiert, wenn seine Mitarbeiter Tor benutzen, ist es mit dem Sperren nicht ganz so einfach. Das Deep Web zu benutzen ist genauso einfach wie es ist, sich das Tor-Bundle von der entsprechenden Website herunterzuladen. Gebrauchsfertig sozusagen. Tor ist standardmäßig konfiguriert, über SSL auf Port 80 zu kommunizieren wie jeder andere Datenverkehr im Web. So verschleiert Tor die Kommunikation innerhalb der legitimen Kommunikation im Web und über jedes andere durchschnittliche Netzwerk.

Es kann ein erster Schritt sein, dass die IT-Abteilung den Zugang zu den Web-Seiten blockt, von denen man das Tor-Bundle herunterladen kann. Das wird einige, aber nicht alle abhalten. Interessierte werden zum Beispiel auf Mirror-Sites mit den gespiegelten Inhalten fündig oder bringen die Software einfach von zu Hause mit ins Unternehmen.

Eine andere Methode den Zugriff auf Tor zu begrenzen: Online nach Tor IP-Knoten zu suchen. Verzeichnisse solcher IPs sind online verfügbar und man kann sie nutzen um auf dieser Basis Blacklists zu erstellen, die dann wiederrum in die Firewall-Regeln einfließen.

Keine dieser Listen ist allumfassend. Aber sie funktionieren deutlich besser, als IP-Listen zu pflegen, die auf demselben Status bleiben und nicht berücksichtigen, dass neue User neue Knoten mit neuen IPs erstellen oder Knoten nicht einbeziehen können, die verschiedene IPs nutzen. Blacklists haben einen weiteren Vorteil: Mit ihrer Hilfe kann man die internen Hosts überwachen, und feststellen, wenn diese versuchen über einen der bekannten Tor-Knoten eine Verbindung herzustellen. So kann man den entsprechenden Mitarbeiter direkt konfrontieren.

Fazit

Tor selbst ist weder gut noch böse. Das Netzwerk kann auf die eine und auf die andere Art benutzt werden. Dessen sollte man sich bewusst sein und entsprechende Vorkehrungen treffen. Wenn man als Geschäftsführer eines Unternehmens beunruhigt ist, sollte man sich nicht scheuen, Richtlinien durchzusetzen, die Tor-Software schlicht zu verbieten. Den Zugriff auf das Tor-Netzwerk wirksam zu begrenzen läuft vermutlich darauf hinaus die genannten Methoden miteinander zu kombinieren und gleichzeitig eine strikte Policy nicht nur zu definieren, sondern auch durchzusetzen. (sh)