Gezielt abgehört

Markus Todt

Wenn Menschen entdecken, dass sie ausspioniert werden, reagieren sie für gewöhnlich ziemlich erbost. Natürlich, denn wer könnte wohl ruhig bleiben, wenn er eine Abhörwanze in seinem Telefon findet oder feststellt, dass seine private Post regelmäßig gelesen wird?

Umso befremdlicher wirkt es, dass von so vielen Benutzern und IT-Verantwortlichen eine moderne Form des Abhörens auf ihren Computern nahezu ignoriert wird. Damit meine ich die weit verbreitete Spyware, eine besonders heimtückische Form von malicious code. Sie sammelt auf dem jeweiligen Computer vertrauliche Daten und schickt sie über die unterschiedlichsten Protokolle ins Internet. Übertragen werden private Informationen, Daten über das Surfverhalten, Passwörter, Kreditkarteninfos, Bankkontendaten oder sensible Firmeninformationen. Im Grunde wird mit Spyware alles ausspioniert, was sich zu Geld machen lässt.

Eine Erklärung für das geringe Bewusstsein gegenüber der Spyware-Gefahr bietet der Umstand, dass sie nicht sichtbar wird. Während Viren oder Spam-Mails zumeist auffälliges Verhalten zeigen, hält sich die Spyware bedeckt und arbeitet im Hintergrund. Die Installation des gefährlichen Codes findet meist ohne Wissen des Benutzers statt. Viele Internet-User wissen also gar nicht, welcher Gefahr sie ausgesetzt sind. Dazu kommt die nach wie vor gängige Vorstellung, dass man hinter einer Firewall gegen alle Bedrohungen aus dem Internet geschützt ist. Im Fall der Spyware stimmt das leider nicht - denn die Funktion einer Firewall besteht nicht darin, aus dem Internet empfangenen Content zu überprüfen. Um vor Spyware sicher zu sein, sind also spezielle, ergänzende Maßnahmen erforderlich.

Für private User oder kleine Betriebe gibt es einfache Möglichkeiten sich gegen Spyware zu schützen, zum Beispiel durch die Verwendung einer Software wie Spybot, die nach dem "Search-and-Destroy" Prinzip arbeitet. Dabei wird Spyware von der Software erkannt und selbsttätig entfernt. Eine wesentliche Einschränkung dieses Lösungsansatzes ist allerdings, dass auf jedem einzelnen Computer in regelmäßigen Abständen ein Suchlauf gestartet werden muss. Das ist eine Aufgabe, die sich im privaten Bereich oder in kleinen Unternehmen noch gut planen und überwachen lässt. Für Unternehmen mit mehr als einer Handvoll Computern ist dieses Verfahren aber nicht mehr zweckmäßig.

Dort sind umfassendere Lösungen notwendig, die das Spyware-Problem mit einem zentralistischen Ansatz in den Griff bekommen. Eine erste Möglichkeit ist zum Beispiel der Einsatz eines URL-Filters, mit dem der Zugriff auf potenziell gefährliche Internet-Seiten unterbunden wird. Darüber hinaus sind Lösungen möglich, die den Befall mit Spyware durch aktive Content-Prüfung unterbinden. Dazu wird am Internet-Gateway des Unternehmens eine Prüfinstanz angeschlossen, die nur unbedenkliche Inhalte passieren lässt. Dieses Verfahren ist sehr ausgereift und setzt unterschiedliche Methoden ein - zum Beispiel wird der Datenstrom gezielt nach Spyware-Patterns durchsucht oder die Kommunikation mit bekannten Spyware-Servern blockiert.

In der Praxis kommen diese Abwehrmöglichkeiten aber oft erst dann zum Einsatz, wenn das Problem sichtbar gemacht wird. Im kommerziellen Bereich heißt das: Bevor das Management bereit ist, in Anti-Spyware Lösungen zu investieren, möchte es Beweise sehen. Beweise dafür, in welchem Ausmaß das Unternehmensnetzwerk bereits digital verwanzt ist. Ich kann also jedem IT-Leiter nur empfehlen, den aktuellen Stand mit einem Spyware-Assessment erheben zu lassen. Damit wird Klarheit bezüglich der unsichtbaren Bedrohung geschaffen - entweder das Netzwerk ist frei von Spyware, dann ist ja alles in Ordnung. Oder, was wesentlich wahrscheinlicher ist, es sind bereits eine Vielzahl von Spyware-Programmen aktiv. Dann gibt es einen Beleg, mit dem die notwendigen Gegenmaßnahmen argumentiert werden können.

www.bacher.at