16.06.2005, 13:49 Uhr

Spione für vertrauliche Daten

Reto Grünenfelder, Senior IT-Security Consultant bei HIS Software, Zürich, beantwortet die Leserfrage zum Thema Spyware und deren Gefahrenpotential für Unternehmen.
458.jpg

Frage:

Wie gefährlich ist Spyware für ein Unternehmen? Und wie kann man sich vor Spyware auf Notebooks und Desktops adäquat schützen?

Der Begriff Spyware ist sehr weit gefasst und wird häufig wie folgt charakterisiert: Software, die ohne Wissen des Benutzers und ohne dessen ausdrückliche Zustimmung auf einem PC installiert wird und dort unerwünschte Aktionen ausführt. Dabei können beispielsweise Surfgewohnheiten ausspioniert werden, Start- und Suchseiten des Browsers verändert oder am laufenden Band lästige Werbefenster eingeblendet werden. Es ist leider so, dass viele Unternehmen Spyware nicht ernst nehmen und nur als lästig empfinden, da das Netzwerk durch Informationsbeschaffung und dessen Versand zusätzlich belastet wird.
Der kürzlich in Israel publik gewordene Industriespionageskandal hat jedoch aufgezeigt, dass mit Spyware weit mehr Informationen als nur das Surfverhalten beschafft werden können. Das Besondere an dem Fall: Die Spionage wurde nicht durch klassische «Einschleicher» begangen. Bei den Opfern wurde stattdessen ein Computervirus eingeschleust, ein sogenannter Trojaner, der bei seiner Aktivierung ein Hintertürprogramm installierte, über das die betroffenen Unternehmensnetzwerke ausspioniert werden konnten. Auch wenn es viele Unternehmen nicht wahrhaben wollen - Industriespionage existiert und mit Spyware eröffnet sich eine neue Dimension, -deren Auswirkung nicht abschätzbar ist. Für den Heimbereich genügt eine Anti-Spyware Software wie SpyBot oder Ad-Aware. Für Unternehmen sind diese Programme hingegen nicht effizient, da sie weder über ein zentrales Management verfügen noch in die bestehende Sicherheitsumgebung integriert werden können. Sinnvoll ist eine Kombination der Spyware mit dem Internet Proxy oder eine separate Spyware Lösung mit Proxy Funktionalität. Was sind die Vorteile dieses Lösungsansatzes?
o Durch URL-Filtering kann das Downloaden von bekannten Sites, die Freeware mit integ-rierter Spyware anbieten, unterbunden werden.
o Der Webverkehr kann nach Protokollen, Methoden und Inhaltsarten untersucht werden. Dies erlaubt so genannte «Drive-by»-Installationen zu unterbinden. Whitelists erlauben jedoch «Drive-by»-Installationen bekannter, akzeptierter Software Hersteller.
o Der http-Verkehr kann auf bekannte Spyware-Signaturen untersucht werden - identifizierte Spyware wird blockiert.
o Spyware kann auf den Lap- und Desktops schon installiert sein oder über andere Wege (z.B. Demo, Freeware Software auf CD) auf die Arbeitsplätze gelangen. Mit der Gateway-Lösung wird die auf dem Desktop installierte Spyware identifiziert, sobald die gesammelten Informationen an den externen Spion zurückgeschickt werden. Der Aufbau der Verbindung ins Internet durch die identifizierte Spyware kann so umgehend unterbunden werden.
Was tun, wenn infizierte Arbeits-stationen identifiziert sind? In jedem Fall sollte das Entfernen von Spyware nicht dem Endbenutzer überlassen werden. Mit Gateway-basierten Lösungen ist es beispielsweise möglich, den Benutzer nach positiver Identifikation von Spyware auf eine dedizierte Spyware Site zu leiten. Diese scannt die Arbeitsstation und entfernt die Spyware automatisch. Lässt sich die Spyware nicht entfernen, dann hilft nur das Überspielen eines neuen Images auf die Arbeitsstation.
Spyware ist eine ernst zu nehmende Bedrohung. Es gibt aber ausreichend Massnahmen, um die vertraulichen und für das Unternehmen relevanten Informationen gegen unbefugten Zugriff zu schützen. Auch in diesem Falle gilt: Vorbeugen ist besser als heilen.
Reto Grünenfelder



Das könnte Sie auch interessieren