Blinde Firewalls
IT-Manager, die Social-Media- und Web-2.0-Dienste aus ihrem Netz aussperren möchten, sehen sich mit einem Problem konfrontiert: Herkömmliche Stateful-Inspection-Firewall-Systeme (SPI) können Web-2.0-Anwendungen nicht erkennen. Dies gilt auch für Voice-over-IP-Services wie Skype sowie für Peer-to-Peer-Verbindungen, die ebenfalls viele Beschäftigte an ihrem Arbeitsplatz nutzen. Nur so genannte Next-Generation-Firewalls, die jedes Datenpaket im Detail analysieren und anschließend einer Anwendung zuordnen, sind in der Lage, solche Applikationen zu identifizieren.
Zu den Pionieren auf diesem Sektor zählt die amerikanische Firma Palo Alto Networks. Mit den Geräten der "PA"-Serie können Unternehmen jede Art von Netzverkehr analysieren und für jeden User festlegen, wann er welche Applikation verwenden darf. Ein angenehmer Nebeneffekt: Die Belastung des Netzes sinkt. Denn laut einer Analyse von Palo Alto Networks haben allein Social-Network-Zugriffe das bewegte Datenvolumen in den vergangenen 18 Monaten auf 9,1 Gigabyte verdoppelt. Das bedeutete eine Zusatzbelastung für Server, Netzwerkgeräte und Speichersysteme. Des Weiteren fallen Kosten für leistungsstärkere Internet-Verbindungen an.
Der Mitarbeiter ist gefragt
Neben technischen Hilfsmitteln wie Firewalls, Intrusion-Prevention-Systemen und Anti-Spam-Filtern gegen Social Engineering ist die Schulung der Mitarbeiter eine wichtige Komponente für den Schutz der Unternehmens-IT. Die Anwender müssen die Risiken der sozialen Netzwerke kennen und einschätzen können. Am besten sind regelmäßige Schulungen eines IT-Fachteams zum Thema. Empfehlenswert sind zudem Richtlinien zur Nutzung von Social-Networking-Diensten. Darin sollte etwa definiert sein, dass Mitarbeiter keine Details zur beruflichen Position oder zum Unternehmen preisgeben dürfen. Über Facebook oder Myspace Kritik an Kollegen oder internen Vorkommnissen zu üben ist ohnehin grundsätzlich tabu. (jha)
- Platz 10: HitmanPro
Das Sicherheits-Tool HitmanPro bietet einen Virenschutz unter Windows. Dabei verwendet die Software nicht nur die Scan-Engine eines Herstellers, sondern Cloud-basierend bindet HitmanPro gleich fünf Antivieren-Engines ein. Das Tool arbeitet als On-Demand-Scanner, Konflikte mit installierten Sicherheitslösungen sind somit kaum gegeben. HitmanPro muss praktischerweise auch nicht installiert werden, es genügt der Start der ausführbaren Datei. Damit lässt sich die Sicherheits-Software auch portabel auf USB-Sticks verwenden. Der Anbieter SurfRight bietet HitmanPro als kostenlose Testversion für 30 Tage an. Die Vollversion ist kostenpflichtig. HitmanPro eignet sich für alle Windows-Version ab XP. Auch Windows 8 wird bereits unterstützt. - Platz 9: Sticky Password
o werden auch Keylogger umgangen, die die Logins einzelner Dienste protkollieren wollen. Ein integrierte virtuelle Tastatur verhindert die Ausspähung des Hauptkennworts. Auch eine iPhone App ist mittlerweile verfügbar, allerdings nur für die PRO-Version. Die Benutzeroberfläche ist in mehreren Sprachen, darunter auch Deutsch erhältlich, Probleme bei der Konfiguration sollte es also keine geben. Im Kaufpreis sind Support, eine Updategarantie sowie eine portable Version der Anwendung enthalten. Sticky Password funktioniert mit jeder aktuellen Windows-Version. - Platz 8: Secunia PSI
Der Secunia Personal Software Inspector, kurz Secunia PSI, ist ein Programm, um den Update-Status eines PCs zu überwachen und bei veralteter oder gar fehlerbehafteter Software Alarm zu schlagen. So ist es möglich, stets einen Überblick auf die potentiellen Schwachstellen des Systems zu behalten und die reale Gefahrenlage ein Stück weit besser einschätzen zu können. Auch die Patches selbst werden mit Secunia PSI leichter: Aus der programminternen Datenbank wird für gewöhnlich sofort ein Link zum neuesten Update bezogen, das sich mit wenigen Klicks installieren lässt. Hiermit wird ein großer Nachteil der Windows-Welt, in der sich nur das Betriebssystem selbst, nicht aber die Anwendungen gesammelt aktualisieren lassen, ausgebessert. Über die Funktion "Auto Update" wird dieser Vorgang noch einmal deutlich erleichtert. Hierbei übernimmt der Personal Software Inspector selbstständig sämtliche Arbeiten. Das Interface ist sehr unkompliziert und minimalistisch geraten, und störende Steuerelemente oder komplexe Menüs geraten nicht in den Weg des Anwenders. Mit der für Unternehmen entwickelten Sicherheitslösung Secunia CSI arbeitet das Tool außerdem anstandslos zusammen. Die aktuelle Version von Secunia PSI ist in der Lage, sich selbst zu aktualisieren, so dass Ihnen Update-Stress und Ärger erspart bleiben. Secunia PSI ist anders als die CSI-Suite nur für Windows verfügbar, dafür aber kostenlos. Das Programm kann in fünf verschiedenen Sprachen beim Hersteller heruntergeladen werden. - Platz 7: BoxCryptor
Daten in der Cloud zu sichern mag komfortabel sein, um die Sicherheit der Daten ist es jedoch oft schlecht bestellt. BoxCryptor soll hier durch besonders wirksame Verschlüsselungstechniken Abhilfe schaffen. Diese setzen auf Cloud Storage auf, wobei mehrere Dienste von Google SkyDrive über Amazon S3 bis Dropbox unterstützt werden. BoxCryptor existiert in zwei verschiedenen Versionen, als Desktop-Programm für Windows, Mac und Linux sowie als iOS- und Android-App. Auf dem PC lässt sich das Programm sehr leicht verwenden. Die zu sichernden Daten legt man in einem virtuellen Ordner ab, der mit dem sehr sicheren AES-256-Algoritmus verschlüsselt und mit einem Passwort versehen wird. Unter Windows kann BoxCryptor auch ein virtuelles Laufwerk mit frei wählbarem Buchstaben auf dem Rechner anlegen. Alle Daten, die dort abgespeichert werden, werden automatisch verschlüsselt und sind so vor Fremdzugriff geschützt. Auf den Mobilgeräten sieht es leider etwas unkomfortabler aus, denn hier muss BoxCryptor selbst als App gestartet werden und lässt sich nicht transparent ins Dateisystem einbinden. Positiv ist in jedem Fall zu erwähnen, dass das entwickelnde Unternehmen seine Lizenzpolitik deutlich aufgeweicht hat. So war der Dienst bisher ab zwei GByte kostenpflichtig, außerdem musste für die Apps ebenfalls bezahlt werden. Diese Beschränkungen fallen seit einiger Zeit vollständig weg. Als Alternative ist der bis 5 GByte kostenlose Dienst Wuala zu erwähnen, der bereits von Hause aus eine Vollverschlüsselung des Nutzerverzeichnisses anbietet. - Platz 6: Nmap
fer an ein System versucht wird, dessen Betriebssystem zu erkennen. Dies liefert wichtige Informationen zu potentiellen Schwachstellen. Auch Gegenmaßnahmen zur Erkennung durch Administratoren sind implementiert, etwa das sogenannte Stealth Scanning. Die Analyse eines Netzwerks kann auch über die integrierte Nmap Scripting Engine NSE automatisiert werden. Hierfür bringt das Programm eine umfangreiche Sammlung von Beispielskripten mit, die auch parallel eingesetzt werden können. Nmap wird normalerweise ohne grafische Interface betrieben, doch insbesondere die Portierung nach Windows verlangte nach einem solchen. Will man sich also nicht mit der Kommandozeile plagen, kann man auf die GUI Zenmap zurückgreifen. Der Einsatz in modernen Netzwerken ist im Übrigen dank seit der Version 6 voll implementierter IPv6-Unterstützung kein Problem. - Platz 5: Stegano.Net
Stegano.net ist ein kostenloses Steganografie-Tool für Windows XP, Windows Vista und Windows 7. Steganografie ist die Technik, beliebige Daten in einer Menge an größeren, unauffälligen Daten beliebigen Typs zu verstecken. Stegano.Net implementiert seit der Version 2.0.1.0 aus dem Kreis dieser Methoden das Verstecken von beliebigem Text und von Dokumenten in Bilddateien in den Formaten JPG und PNG. Zwar hat Steganographie ein Grundproblem, nämlich dass bei Kenntnis der Methodik die versteckten Daten problemlos zurückgewonnen werden können, doch dies umgeht Stegano.Net, indem die zu versteckenden Daten zuerst verschlüsselt werden. Leider erwähnt der Autor nicht, welche Algorithmen für die Verschlüsselung und das Verbergen der Nachricht zum Einsatz kommen, die Sicherheit der eingebetteten Informationen ist also letztlich ungewiss. Doch für hochkritische Daten, die in jedem Fall analysiert werden, ist Steganografie mithilfe von Bildern ohnehin nicht geeignet. Für weniger problematische Anwendungen oder schlicht den Spaß für zwischendurch reicht Stegano.Net aber allemal. Entsprechend leicht ist das Tool auch zu bedienen: Ein-Klick-Installation, selbsterklärende Schaltflächen, weniger Optionen und ein einfaches Interface eröffnen das Programm jedem potentiellen Nutzer. Dieser muss lediglich die Container-Datei angeben, bei Wunsch die Verschlüsselung mit Passwort aktivieren und den zu verschlüsselnden Text angeben. Ein Klick auf "Verbergen" versteckt die Daten, ein Klick auf "Sichtbar machen" zeigt sie wieder an. - Platz 4: Sandboxie
Installationsprozess eines Programms berwachen, um es dann in eine Sandbox zu verkapseln. Bedient wird es durch eine einfache Oberfläache, die durch ein Tray-Icon gestartet wird. Sie enthält auch einen Dateimanager, der die während des Betriebs der Sandbox virtuell veränderten Dateien auflistet. Außerdem lassen sich hier alle Inhalte der Sandbox löschen, um sie wieder in den Nullzustand zurückzuversetzen. So lassen sich Sicherheitsrisiken minimieren und neue Programme gefahrlos und ohne das Risiko von dauerhaften Performance-Verlusten testweise installieren. - Platz 3: Offline NT Password
Das Tool Offline NT Password ist ein kostenloses Konsolenwerkzeug, mit dem Administratoren Windows-Passwörter zurücksetzen können. Man sollte das Tool chpwnt eigentlich nicht sehr oft benötigen. Allerdings wird der eine oder andere Administrator froh sein, die kostenlose Software zur Hand zu haben. Hübsch ist es nicht, dafür funktioniert es tadellos und tut genau das, was von ihm verlangt wird. Offline NT Password unterstützt Windows von der Verson NT 3.5 bis hin zu Windows 7 und 2008. Auch bei den 64-Bit-Versionen von Windows funktioniert das Tool - Platz 2: LastPass
LastPass hebt sich deutlich vom großen Markt der Passwort-Tresore ab. Das System vertraut vollständig auf die Cloud, in der sämtliche Passwörter verschlüsselt abgespeichert werden. Zwar lässt sich dies auch manuell umsetzen, indem etwa die Passwortdateien von KeePass online abgelegt werden, doch LastPass erweitert diesen Ansatz deutlich. Erstens werden die Passwörter sowohl online als auch offline in mehrere Backups abgelegt, sind also auch bei einem Geräteausfall und einer versehentlichen Löschung sicher. Außerdem bietet das Programm eine große Vielfalt von Plugins für Browser, Desktop-Programme sowie Smartphone-Apps. Auf diesem Weg lässt sich beinahe jede Passworteingabe durch LastPass abfangen und automatisch bei dem Dienst speichern, wie man es beispielsweise von den integrierten Passwortmanagern von Browsern kennt. Die erneute Eingabe der Passwörter geschieht dann plattformübergreifend auf allen Systemen mit LastPass-Integration. Unabhängig davon, ob momentan ein Windows-PC, ein Mac, ein Linuxrechner oder ein mobiles Betriebssystem verwendet werden, muss nur das aktuelle Masterpasswort eingegeben werden, und LastPass sendet das Login automatisch. Dem gegenüber muss bei anderen Cross-Platform-Managern der Nutzername und das Kennwort meist manuell kopiert und eingefügt werden. Selbst bei der Anmeldung an diversen Diensten greift LastPass ein und generiert auch für den unwichtigsten Account ein starkes Passwort. Diverse Zusatzfunktionen wie etwa eine virtuelle Tastatur zur Abwehr von Keyloggern, ein Importmodus für Passwörter anderer Manager oder ein Notiztresor sind ebenfalls dabei. Die Grundversion von LastPass ist kostenlos, will man hingegen fortgeschrittene Funktionen wie die Mobil-Apps verwenden, fällt ein geringer jährlicher Beitrag an. - Platz 1: KeePass
KeePass ist der wohl bekannteste digitale Safe für vertrauliche Informationen aller Art. Insbesondere ist die Software dazu gedacht, Passwörter, PINs, TANs und ähnliche Zugangsinformationen abzuspeichern und zu verwalten. Hierfür legt das Programm eine mit AES stark verschlüsselte Datenbank mit einem SHA256-gehashten Hauptpasswort an. Auch die anderen Sicherheitsfeatures sind eine Erwähnung wert: Die Passwörter werden auch innerhalb des Speichers verschlüsselt gehalten, sodass eine Auslagerung des RAM auf die Festplatte keine Konsequenzen hat, und auch die Eingabe des Hauptpassworts kann gegen Keylogger gesichert werden. Alternativ kann ein Keyfile zum Einsatz kommen, für weiter gesteigerte Sicherheit können die Methoden auch kombiniert werden. Praktisch ist darüber inaus, dass KeePass portabel ist - insbesondere bei einer derartigen Anwendung ist das ausgesprochen praktisch, um Zugangsdaten auf mehreren PCs verwenden zu können. Ähnlich verhält es sich mit der Passwortdatenbank: Diese besteht nur aus einer Datei, kann also bequem zu Online-Diensten wie Dropbox geliefert werden. Dort lässt sie sich mit den diversen Versionen von KeePass weiterverarbeiten, denn das Programm ist explizit plattformkompatibel ausgelegt. Die mit "Professional" bezeichnete PC-Version ist mit Mono-Unterstützung geschrieben, läuft also neben Windows auch auf allen anderen Mono-Plattformen (Mac OS X, Linux, BSD), und auch für diverse mobile Systeme existieren Clients. Auch der Komfort kommt übrigens nicht zu kurz: Passwörter können zum Beispiel vollautomatisch auf passenden Websites eingetragen werden, und die Datenbanken anderer Passwortsafes lassen sich leicht importieren. Außerdem ist ein Plugin-System vorgesehen. Einzig eine vollautomatische Synchronisierung der Passwortdatenbank lässt das Programm leider vermissen. KeePass ist Open Source und damit kostenlos auf der Seite des Teams erhältlich.
Informationsquellen
Der High-Tech-Verband Bitkom hat einen Leitfaden für Unternehmen herausgegeben, in dem die Eckpunkte der Nutzung von sozialen Netzwerken in Firmen festgelegt sind. Das PDF-Dokument mit dem Titel "Social Media Guidelines" steht hier kostenlos zum Download bereit:
Der Beitrag "Schwachstelle Mensch" von David Emm, Sicherheitsforscher bei Kaspersky Lab, geht auf die psychologischen Faktoren ein, die Social-Engineering-Attacken zum Erfolg verhelfen. Hier geht es zum Artikel.
Hintergrunddaten, Praxisbeispiele und weitere Informationsquellen zum Thema Social Engineering hat Philipp Schaumann, österreichischer Spezialist für IT- und Informationssicherheit, zusammengetragen. Auf seiner Web-Site beleuchtet er auch die Schwachstellen traditioneller Schutzkonzepte.
Ein Interview der Computerwoche (Juli 2010) mit Steve Munford, Chef der IT-Sicherheitsfirma Sophos. Munford geht darin unter anderem auf IT-Schutzkonzepte und ihre Vor- und Nachteile in Bezug auf Social-Engineering-Angriffe ein.