ICT & Technik

IT-Sicherheit und Social Media

Vom Umgang mit Facebook & Co. in Unternehmen

01.06.2012
IT-Sicherheits-Experten und besonders Hersteller von IT-Security-Lösungen werben mit neuer Funktionalität namens Applikationskontrolle. Die Resonanz ist gross – doch sind die Einsatzbereiche dieses «Features» vielen noch nicht wirklich klar. Anhand des Phänomens «Social Media» wird aufgezeigt, wo die besonderen Gefahren drohen und wie man diese eindämmen kann. Und wo IT-Security ihre Grenzen haben wird.
PDF Kaufen

Im Zuge der Bewerbung von sogenannten Next Generation-Firewalls fallen zwei Termini besonders ins Auge: Applikationskontrolle und Identität des Users. Es liegt auf der Hand, dass es inzwischen nicht mehr genügt, einzelne Ports oder Protokolle zu kontrollieren (im Sinne von blockieren, einschränken und/oder monitoren). Dies sind Fähigkeiten, über die herkömmliche Security-Appliances weitgehend einheitlich verfügen. Malware nach heutigen Massstäben bedient sich anderer Methoden, um Schäden unterschiedlichster Art zu erzeugen. So sind es u.a. sogenannte Web-Applikationen, die als Transportmedium zum Einschleusen von Malware oder zum Ausspähen von Daten (u.a. Zugangsdaten, PIN-Nummern oder auch Kommunikationsinhalte) zum Einsatz kommen.

Web-Applikationen

Die Problematik beim Verständnis von Applikationskontrolle liegt oft genau hier begründet: Was ist eine Web-Applikation und welche Schutzmechanismen finden an welcher Stelle sinnvoll Verwendung? Zur grundsätzlichen Unterscheidung dient an dieser Stelle die folgende Regel: Web-Applikationen, die innerhalb des Unternehmens bereitgestellt werden (Mail-/Mitarbeiter-Portale, Shop-Systeme usw.), müssen vor der unberechtigten oder sinnentfremdeten Nutzung von aussen (= i.d.R. ausserhalb des Unternehmens) geschützt werden. Dies erreicht man durch sogenannte Web Application- und/oder XML-Firewalls, die herkömmliche Security-Lösungen ergänzen müssen. Web-Applikationen, die ausserhalb des Unternehmens bereitstehen (Shops, Banking, Auktionen, Social Media usw.) müssen in ihrer Nutzung durch die eigenen Mitarbeiter kontrolliert werden. Kontrolle heisst hier sowohl die Berechtigung zur Nutzung der Applikation in Teilen oder auch als Ganzes als auch die Dauer der Nutzung. Hier greifen Lösungen, die sich als Next Generation- oder UTM- oder Multifunktionsfirewall bezeichnen lassen. In beiden Fällen ist für eine sinnvolle Anwendung die eindeutige Erkennung der Nutzer-Identität notwendig. Applikationskontrolle im allgemeinen Sprachgebrauch bezeichnet also den Einsatz von Security-Appliances zur Kontrolle der Nutzung von Web 2.0-Applikationen ausserhalb des Unternehmens.

Was macht Social Media?

Zurück zu Social Media. Auch hier zunächst ein paar Worte zur Klärung der Begrifflichkeit. «Sozial» bedeutet «zur Gruppe gerichtet» oder «wechselseitige Bezüge als eine Grundbedingung des Zusammenlebens» oder «Bezug einer Person auf eine oder mehrere andere Personen». Umgangssprachlich bedeutet es in etwa «die Fähigkeit einer Person, sich für andere zu interessieren, sich einfühlen zu können, das Wohl anderer im Auge zu behalten oder fürsorglich auch an die Allgemeinheit zu denken» bzw. «anderen zu helfen und nicht nur an sich selbst zu denken». Interessante Definitionen, wenn man sich die tatsächliche Nutzung sogenannter sozialer Medien genauer anschaut.

Facebook als «das» soziale Medium mit inzwischen ca. 800 Millionen Nutzern weltweit dient hervorragend als Beispiel für die Notwendigkeit von Applikationskontroll-Mechanismen in Unternehmen. Allerdings nur dann, wenn man es nicht zu technisch betrachtet – sondern aus Sicht des Anwenders selbst.

Was macht den Reiz und die rasante Verbreitung von Facebook aus? Auf der einen Seite sicherlich die Nutzung als ideale Werbeplattform mit riesiger Reichweite und hervorragend aufbereiteten Nutzerprofilen (= Eckdaten, Bedürfnisse, Interessen und Gewohnheiten der Anwender). Auf der anderen Seite aber eben auch und vor allem die Möglichkeit, sich als Individuum aus der immer häufigeren Einsamkeit in eine virtuelle Welt mit vielen virtuellen Freunden zu flüchten. So erlangen Menschen plötzlich eine Aufmerksamkeit, die ihnen bisher nie zuteil wurde. Jede Gefühlsregung und jedes Erlebnis wird umgehend von zig anderen – zum grössten Teil real völlig unbekannten – Anwendern kommentiert. Man nimmt überdies am (vermeintlichen) Weltgeschehen teil, erhält alle (?) wichtigen Informationen und landet schnell und unbemerkt inmitten einer neuen sozialen Umgebung.

Diese «schöne neue Welt» beschneidet dann plötzlich morgens um acht nach Durchschreiten der Bürotür ein gefühlloser und unverständiger IT-Administrator – und gibt sie erst nach Feierabend am späten Nachmittag wieder frei. Was macht das mit dem betroffenen Individuum? Es wird sich einen Grossteil seiner Zeit gedanklich trotzdem in der virtuellen neuen Facebook-Welt bewegen, sich nach Reaktionen auf das letzte Posting sehnen bzw. neugierig auf die Mitteilungen der vielen neuen Freunde sein. Möglicherweise wird «es» mittels Smartphone ständig den Kontakt aufrechtzuhalten versuchen. In jedem Fall aber wird die Produktivität dieser in ihren «Freiheiten» stark beschnittenen Person sinken. Hinzu kommt, dass die Bereitschaft, «neue Wege» um die IT-Sicherheitsbeschränkungen herum zu gehen, drastisch steigt. Die Kenntnis solcher «Umwege» macht dann wieder andere Mitarbeiter zu gefragten und beliebten Kollegen – und so entsteht schnell «Know-how» auf einer breiten Basis, wie Sicherheitslücken, so sie denn vorhanden sind, ausgenutzt werden können.

Weitere Gefahren

Jedoch nicht nur die sinkende Produktivität und die u.U. steigende kriminelle Energie der in ihrer Freiheit beschränkten Mitarbeiter bedeuten eine neue Herausforderung für die IT-Abteilung. Facebook bietet weitaus mehr Gefahrenpotenzial. Es stellt eine Vielzahl von Spielen bereit, die nicht nur Suchtpotenzial haben, sondern über die mangels entsprechender Kontrolle Tür und Tor zum Malware-Eintritt offenstehen. Die kombinierte Chat-/Nachrichten-Funktionalität, ein neues Web-Mail-ähnliches Facebook-Feature, ist inzwischen auch in der Lage, ganze Dateien zu versenden – vorbei an allen Spam- oder sonstigen Filtern.

Zahllose Anwendungen erfordern die Freigabe der eigenen Daten – jedoch ohne genaue Spezifikation, auf «welche» (privaten) Daten diese Applikation denn nun zugreifen kann. Die vermeintliche Attraktivität der jeweiligen Facebook-App, häufig getriggert durch die Aussicht, etwas Aussergewöhnliches über andere zu erfahren oder etwas gewinnen zu können, beschleunigt den Klick auf den «Freigabe» Button. Und schliesslich – und mitunter eine der grössten Gefahren – gibt es inzwischen zahllose Anleitungen zum Hacken eines Facebook-Accounts. Das allein ist schon unangenehm genug, könnte doch ein unautorisierter Account-User unter falschem Namen erheblichen Schaden anrichten. Viel kritischer jedoch ist der Umstand, dass viele Anwender bei Facebook (und auch bei vielen anderen Online-Accounts, wie privatem Mail- Account, ebay, Amazon usw.) ein und dieselben Zugangsdaten verwenden. Nicht selten sogar die Kombination «dienstlicher Mail-
Account-Name/Passwort».

Das Dilemma

Auf der anderen Seite nutzen Unternehmen zunehmend derartige Plattformen für b2c- und auch für b2b-Werbezwecke. Denn modernes Marketing kommt mittelfristig ohne eine gute Social-Media-Marketing-Strategie wohl kaum mehr aus. Hier würde es daher wenig Sinn ergeben, die eigenen Mitarbeiter von der Nutzung eben dieser Werbeplattformen auszuschliessen. Es bedarf also einer intelligenten Lösung, die mehr bietet als das Erlauben einer Webseite und ihrer Anwendungen.

Die Lösung

Der weitverbreitete Glaube, ein gemeiner Webfilter (URL-Filter) könne hier den beschriebenen Trend aufhalten, ist leider falsch. Mittels ständig neuer sogenannter Proxies ist es möglich, anonym und ohne Nutzung der Zielwebseite (wie z.B. www.facebook.com) diese – und die dort vorhandenen Applikationen – dennoch zu erreichen.

Genau an dieser Stelle greift Applikationskontrolle in Kombination mit den Möglichkeiten einer Multifunktions-Firewall. Die Erkennung der Anwendung – unabhängig davon, über welchen Weg (z.B. Proxy) sie genutzt wird – in Verbindung mit der eindeutigen Identifikation des Nutzers ermöglicht dann weitere Mechanismen: Die exakte Kontrolle, welche Teile einer solchen Applikation erlaubt, sind (z.B. Nutzung der Facebook-Pinnwand, aber keine Nutzung von Facebook-Chat oder Facebook Spielen), zu welchen Zeiten und wie lange die Nutzung erfolgen darf (Einrichtung von individuellen Zeitkonten und Zeitfenstern) oder die Kombination der Anwendungsnutzung mit individuellen Bandbreiten-Vorgaben (z.B. Erlaubnis von BitTorrent, aber nur mit stark eingeschränkter Bandbreite).

Fazit

Zieht man zu den bisherigen Ausführungen die Studie über sog. WILBs (Workplace Internet Leisure Browser der University of Melbourne Department of Management and Marketing) hinzu, nach der Mitarbeiter, denen am Arbeitsplatz die private Nutzung des Internets erlaubt ist, deutlich produktiver sind, als solche, denen sie vollständig untersagt ist, so wird deutlich, dass die individuelle Betrachtung von Web 2.0-Anwendungen, also ihre (soziale) Bedeutung für den Anwender und ihr möglicher Einfluss auf die IT-Sicherheit des Unternehmens gleichermassen wichtig sind. Herkömmliche Vorgehensweisen lösen die Problematik ebenso wenig wie der Einsatz von u.U. sogar veralteter Technologie. Fortinet bietet hier mit seiner FortiGate-Produktlinie Lösungen, die nicht nur technologisch richtungsweisend sind, sondern die auch die beschriebenen individuellen Kontrollmechanismen für moderne und mitarbeiterorientierte Unternehmen bereitstellen.