Nicht auf "Ich liebe Dich" klicken, keine Wunderpillen kaufen und Nacktfotos berühmter Schau-spielerinnen ignorieren: Hartnäckig hält sich die Mär, man müsse nur eine Handvoll Regeln beachten, dann sei der eigene Rechner vor Angriffen sicher. Gefährlich ist diese Auffassung vor allem deshalb, weil sich Menschen an ihrem Arbeitsplatz besonders sicher fühlen vor Hackerangriffen. "Die allermeisten Unternehmen haben noch nicht begriffen, dass sich das Bedrohungsszenario grundlegend geändert hat", sagt Christoph Hardy, Unternehmenssprecher beim Security-Spezialisten Sophos aus Mainz. "Mails mit infizierten Anhängen spielen fast keine Rolle mehr, weil es dagegen wirkungsvolle Abwehrtechniken gibt."
Viel problematischer sind Mashup-Attacken, bei denen verschiedene Informationsquellen verknüpft werden. Da kaum noch ein Arbeitnehmer Privates und Berufliches voneinander trennt, entstehen daraus neue Gefahren für das Unternehmen. Beispiel: Ein Mitarbeiter interessiert sich für Golf und würde seinen Sport gerne mal auf Hawaii nachgehen. Zu Hause surft er auf die Seite der entsprechenden Reiseanbieter und fängt sich dabei unbemerkt ein Spionage-Tool ein. Jetzt steht sein weiteres Surfverhalten unter Beobachtung. "Nachdem er die vierte Seite mit Hawaii-Reiseangeboten besucht hat, ist er reif für den Köder", erklärt Hardy, "eine Mail mit einem Link namens Hawaii für Golfer." Klickt er im Büro darauf, ist es passiert. Die Mail wurde nur für ihn geschrieben. Im schlechtesten Fall können die Täter durch dieses Einfallstor auf Entwicklungs- oder Kundendaten zugreifen.
Das Vermischen von Privatem und Beruflichem ist mittlerweile gerade bei Führungskräften Teil des Lebensstils; Vorstände haben ihren eigenen Blog, und da schreiben sie nicht nur über die letzte Business-Konferenz, sondern auch schon mal über ihre Erfahrungen als Hobby-Rosenzüchter oder Teilzeit-Vater. Schließlich wollen alle den Chef zum Anfassen. Und in Blogs muss es sowieso tüchtig menscheln. Laut dem aktuellen "Security threat report" von Sophos ist Googles Blog-Werkzeug "Blogger" das weltweit meistgenutzte Einfallstor für Malware.
Offenes Scheunentor Facebook
Ähnlich gefährdet sind jene virtuellen Kontakthöfe, auf denen sich Menschen von der Hausfrau bis zum Vorstandsmitglied freiwillig exhibitionieren. "Facebook und StudiVZ sind ein offenes Scheunentor," so Hardy. "Und wenn ich an das Online-Adressbuch Plaxo denke, kriege ich graue Haare."
Blogs und Kontakthöfe haben dem Internet einen neuen Charakter gegeben, aus dem Informations- wurde ein Kommunikationsmedium, das die unterschiedlichsten Kanäle anbindet und miteinander vernetzt. "Derzeit erleben wir eine Konvergenz der Unternehmenskommunikation. Dabei geht es nicht nur um E-Mail. Heute haben wir Instant Messaging, das Web, interaktive Zusammenarbeit und Blogs", so Brian Burke, Research Manager der Abteilung Sicherheitsprodukte beim Marktforschungsunternehmen IDC.
Die Konvergenz bietet nicht nur den Unternehmen selbst, sondern auch Cyber-Gangstern ganz neue Möglichkeiten. Sie setzen immer häufger sogenannte Mashup-Techniken ein, Schädlinge, die die Eigenschaften von Spam, Phishing und Malware kombinieren und ihre Angriffe parallel über E-Mail, Mobiltelefon und soziale Netzwerke starten. Betroffene sollen quasi weichgekocht werden, indem sie die Botschaft "jemand hat ein Auge auf Dich geworfen" gleichzeitig über SMS, Mail und - zum Beispiel - ihr Facebook-Profil erhalten. Die Nutzer werden dazu verleitet, sich auf einer Webseite anzumelden. Mit den bereits beschriebenen Folgen ...
Mashup-Attacken werden zunehmen, weil es einen Trend hin zu immer mehr Konvergenz gibt: Laut Aussage des eco-Verbandes der deutschen Internet-Wirtschaft beschäftigen sich Unternehmen "heute wesentlich intensiver mit dem Thema und formulieren deutlich konkretere Absichten als noch im vergangenen Jahr". Und bei Konvergenz geht es nicht mehr nur um eine ver-besserte unternehmensinterne Kommunikation: Auch Online-Marketing-Kampagnen sind heute gezielt so angelegt, dass ihre Botschaften die Kunden auf den unterschiedlichsten Wegen erreichen können.
Dass viele Menschen auch an ihrem Arbeitsplatz bedenkenlos Social Networks, Blogs und andere Kommunikationsplattformen nutzen, liegt auch daran, dass sie die damit verbundene Bedrohung falsch einschätzen. Jene 17-Jährigen, die Viren quasi aus sportlichem Ehrgeiz entwickelt haben, um ihre Programmierfähigkeiten zu beweisen oder - wenigstens für einen Tag - berühmt zu sein, sind längst verschwunden. Heute beherrschen die Szene "normale" Verbrecher, die mit ihrem Tun Geld verdienen wollen.
Kriminelle Wertschöpfungsketten
"Es gibt auf diesem Gebiet regelrechte kriminelle Wertschöpfungsketten," sagt Carsten Casper, Research Director von Gartner. "Eine Firma schreibt die Malware, eine andere verteilt sie über Botnets und leitet das zum Beispiel über Kreditkartennummern erbeutete Geld auf ihre Konten, und die dritte kümmert sich um die Geldwäsche." Letzteres erledigen oft ahnungslose Jobsuchende, die auf Anzeigen wie "Geld verdienen von zu Hause" geantwortet haben. Sie bekommen als Lohn üppige Beträge auf ihr Konto überwiesen. Alles, was sie dafür tun müssen, ist, das Gros des Geldes auf ein anderes Konto weiterzuleiten. So wird aus dreickigem sauberes Geld. Carsten Casper: "Die Strukturen sind denen im Drogenhandel sehr ähnlich. An die Hintermänner kommt man fast nie heran, gefasst werden höchstens kleine Fische."
Malware an Kunden weiterreichen
Dass die Angriffsszenarien so vielfältig sind, heißt nicht, dass es keinen Schutz gibt. Natürlich ist absolute Sicherheit hier - wie in allen anderen Bereichen - eine Illusion, aber das Risiko verringern lässt sich durchaus. Sich intensiv um das Thema zu kümmern ist für Unternehmen gerade wegen des beschriebenen Trends zu gehackten, sprich unterwanderten Web-Seiten existenziell wichtig. "Firmen, deren Internet-Auftritt angegriffen wurde, geben ungewollt Malware an ihre Besucher weiter und erleiden dadurch einen Vertrauensverlust bei ihren Kunden", so Christoph Alme, Leiter des Anti-Malware Research Lab von Secure Computing. Schutz bieten Firewalls mit sogenannter Intrusion-Prevention-Fähigkeit, einer Technik, die genau solche Attacken abwehrt.
Um sich keine Schädlinge einzufangen, genügt es allerdings nicht, nur Zugriff auf bekannte, vermeintlich sichere Web-Seiten zu erlauben. "Was gestern noch sauber war, kann heute schon infiziert sein. Der zusätzliche Einsatz des Virenscanners bleibt auch bei solch einer strikten Policy oberstes Gebot", so Alme. Dabei sollte die Vorsicht nicht hinter den zu schützenden PCs enden, sondern auch einen zentralen Virenschutz am Internet-Gateway einschließen.
Natürlich gilt auch hier der etwas abgedroschene Grundsatz, dass man nicht jedes Problem mit Technik erschlagen sollte. Aber ohne sie geht bei der Sicherheit nichts mehr, davon ist Carsten Casper von Gartner überzeugt: "In der Vergangenheit hätte ich gesagt, Technologie ist nicht so wichtig, Awareness macht 90 Prozent aus. Aber das hat sich geändert: Die Angriffe sind so professionell geworden, so viel kann kein Unternehmen mit seinen Mitarbeitern trainieren, dass es allen Gefahren gerecht wird."
Tröstlich: auch Beschützer vernetzt
Bei allen Horrorszenarien tröstlich ist die Tatsache, dass die Eigenschaften sozialer Netzwerke nicht nur für die Cyber-Gangster hilfreich sind, sondern auch für die Beschützer von IT-Infrastrukturen. Cloudmark, einer der weltweit führenden Anbieter von Lösungen für die Kommunikationssicherheit mit Sitz San Francisco, arbeitet mit einem solchen sozialen Schutznetzwerk. Sobald eines seiner Mitglieder eine Mail als Spam erkannt hat, meldet es diese an die Cloudmark-Zentrale. Die Qualität, sprich Vertrauenswürdigkeit, dieser Meldungen wird dadurch gewährleistet, dass ihre Überbringer bewertet werden, dass heißt, sie bekommen eine "Vertrauenszahl" aufgrund ihrer bisherigen Meldungen. Wenn also viele vertrauenswürdige Mitglieder der Cloudmark-"Wolke" eine Mail als Spam einstufen, dann filtert das System sie heraus.
"Der Vorteil ist, dass sich unser System nicht technologisch mit jedem neuen Schädling auseinandersetzen muss, sondern es bedient sich einfach der Erfahrung der User", so Sascha Siekmann, Entwickler bei Cloudmark. Systeme, die helfen, der wachsenden Sicherheitsbedrohung Herr zu werden, gibt es also. Trotzdem werden die Angriffe weitergehen, und sie werden auch weiterhin Opfer finden. Die zwei wichtigsten Gründe dafür fasst Michael Hülsiggensen, Prokurist des Zahlungssys-teme-Dienstleisters EOS Payment Solutions aus Hamburg, in einem Satz zusammen: "Sicherheit ist nicht ganz billig; gleichzeitig nehmen viele Unternehemen das Gefahrenpotenzial aus dem Internet nicht wahr."