Web 2.0: Segen oder Fluch für Unternehmen?
Immer mehr Unternehmen nutzen Web 2.0 Applikationen wie Firmenblogs, Wikis, Streaming Media, Podcasts oder Rich Interactive Applications als Teil von Business-Applikationen oder internen Portalen. Die Vorteile liegen auf der Hand: Bessere Kommunikation und Zusammenarbeit. Es gibt jedoch eine Schattenseite: Web 2.0-Anwendungen haben höhere Anforderungen an die Sicherung der Netze und stellen die Effizienz der vorhandenen Sicherheitsarchitektur aus diesem Grund nicht selten in Frage. Dessen sind sich die wenigsten Unter¬nehmen bewußt. Welche Gefahren birgt Web 2.0 und wie können sich Unternehmen davor schützen?
Neue Gefahren für Web 2.0
Ein grundlegender Unterschied zum Internet der ersten Generation liegt in der Interaktivität. Früher waren die User hauptsächlich Konsumenten, heute wird jeder zum aktiven User und kann Content aller Art ins Internet stellen und - dank firmeneigenen Web 2.0-Tools - auch in das Intranet. Die Verbreitungschancen für Malware sind dadurch erheblich höher. Texte, Fotos oder Videos, die Mitarbeiter und Partner über externe Datenträger beispielsweise in Firmenwikis stellen, durchlaufen im Vorfeld oft keinerlei Sicherheitsprüfung.
Dazu kommt, dass es für das Internetprotokoll http keine Sicherungsmechanismen per se gibt. So luden beispielsweise Hacker im November 2006 schädlichen Code auf Wikipedia, über das Malware an die Rechner völlig ahnungsloser Besucher verteilt wurde. Nicht mehr die E-Mail ist Haupttransporteur von Trojanern oder Würmern, sondern Webseiten, die keinerlei Verdachtsmomente liefern.
Immer mehr werden Angriffe ganz gezielt und durchdacht an Einzelpersonen gerichtet. Dabei verknüpfen Hacker mehrere Dienste (wie E-Mail, Web und Instant Messaging) zu einem intelligenten, mehrschichtigen Angriff („Blended Threat“). Die einzelnen Malware-Filter der Unternehmen arbeiten als Einzellösungen oft nicht optimal zusammen und bieten so Angriffsmöglichkeiten hinsichtlich dieser kombinierten Attacken.
Webbasierte Kommunikationstools wie Corporate Webmail und Instant Messaging ermöglichen es, geschütztes Wissen an unberechtigte Dritte weiter zu geben (Data Leakage). Neben dem Verlust geistigen Eigentums kann dieser Zustand Unternehmen in Konflikt mit dem Ge¬setzgeber bringen, wenn rechtliche Vorschriften zum Datenschutz nicht eingehalten werden oder kompromittierte Inhalte das Unternehmen verlassen (Stichwort Compliance).
Ebenso wie http wird auch das verschlüsselte Protokoll HTTPS zunehmend zweckentfremdet. Ursprünglich für die Sicherungen von Banktransaktionen entwickelt, nutzen auch Web 2.0-Anwendungen wie Hosted Customer Relationship Management (z.B. SalesForce.com) den Dienst, ebenso wie webbasierte E-Mail-Services. Als verschlüsselte HTTPS-Daten wird die Webmail über Port 443 der Firewall geleitet, wodurch sie sowohl den Virenschutz auf dem Mail Gateway als auch die Filter nahezu aller Firewalls und Web Proxies umgeht. Letztere konzentrieren sich ausschließlich auf Port 80. Sicherheitsexperten bezeichnen SSL deshalb als eine der gefährlichsten Sicherheitslücken in den Unternehmen.
Eine weitere Entwicklung im Web 2.0: Instant Messaging löst zunehmend das FTP-Protokoll zur Peer-to-Peer-Dateiübertragung ab. Kommen die Daten nicht über http oder FTP herein, werden sie auch nicht durch die Virenscanner auf Desktop- und Serverebene geprüft. Über einen eigenen Filter für IM verfügen bisher nur wenige Unternehmen.
Eine andere potentielle Gefahrenquelle ist die Programmiersprache AJAX, auf der Web 2.0-Anwendungen basieren. Nachdem die Sprache recht jung ist, gibt es bisher kaum Standards zum sicheren Programmieren. Dies verleitet Hacker dazu, alten Angriffsschemata wie XSS (Cross Site Scripting) neues Leben einzuhauchen und sie in AJAX-Umgebungen zu erproben. Ein Beispiel: Die jüngsten Wurmangriffe auf MySpace und Yahoo! - beide basieren auf AJAX – nutzen die AJAX-Komponente XHR aus, um sich zu verbreiten.
Sicherheitsmaßnahmen für das Web 2.0
Um gezielte Web 2.0 Angriffe abzuwehren, sollten die verschiedenen Sicherheitslösungen an der Schnittstelle zum Internet integriert sein. Dies vereinfacht auch deren Verwaltung. Optimalerweise tauschen die vorhandenen Web-, Email- und Netzwerk-Gateway Sicherungs¬systeme Informationen zum Datenverkehr aus, um jederzeit auf dem aktuellen Stand zu sein. Im Mindestfall nutzen die Systeme ein gemeinsames Richtliniensystem.
Ideal ist ein übergeordnetes Frühwarn- oder Reputationssystem. Secure Computing verbindet beispielsweise seine Appliances für Web und Messaging Security sowie seine Firewall über das Reputationssystem TrustedSource. Tausende von global bei Kunden installierten Sicherheitslösungen speisen in Echtzeit Informationen zu Empfängern und Absendern in das System, das anhand dieser Daten Risikobewertungen für IP-Adressen, URLs und Domainnamen erstellt. E-Mail- und URL-Filter sowie Firewalls nutzen die Reputationen, um verdächtigen Datenverkehr vor dem tatsächlichen Angriff zu blocken. Reputationen helfen nicht nur, potentielle Web 2.0-Gefahren vom Netzwerk fernzuhalten, sondern sorgen auch für bessere Durchlaufzeiten und geringere Bandbreitenbelastung.
Pro-aktive Gefahrenabwehr ist ein zentrales Thema bei Web 2.0-Umgebungen. Sich allein auf Signaturen zu verlassen, ist angesichts der Fülle von möglichen neuen Einfallstoren und der Geschwindigkeit, mit der Malware mutiert, nicht länger ausreichend. Neben der pro-aktiven Abwehr durch globale Reputationen empfiehlt sich ergänzend eine lokale Verhaltensanalyse des Webverkehrs.
Daneben sollte es für alle Protokolle, die nicht generell für das firmeneigene Netzwerk gesperrt sind, Filtertechnologien geben. Eine Application Layer Firewall sollte eine Vielzahl von Proxies bieten, darunter auch für das VoIP-Protokoll SIP. Die Web Gateway-Lösung kombiniert optimalerweise Filter für die verschiedenen Protokolle. Sowohl der eingehende als auch der nach außen gehende Datenverkehr wird geprüft. Ideal sind ergänzende Algorithmen, um die Gefahr von Data Leakage zu hundert Prozent auszuschließen.
Zudem empfehlen sich Medien- und Inhaltsfiltersysteme, um Richtlinien hinsichtlich der gemein¬sa¬men Nutzung von Mediendaten (MP3), des Downloads von ausführbaren Programmen, ActiveX-Elementen und JavaScript-Dateien umzusetzen - ungeachtet des Netzwerkprotokolls, das diese Dateien verwenden.
Beim Reporting gilt folgende Formel: Je lösungsübergreifender und je anschaulicher aufbereitet, desto höher die Chance, dass Sicherheitslücken geschlossen werden können. Auch diesbezüglich punkten integrierte Systeme.
Fazit
Web 2.0 Anwendungen erfreuen sich aus gutem Grund immer größerer Beliebtheit. Sie erhöhen jedoch auch das Risiko: Malware, Data Leakage und Zweckentfremdung von SSL sind nur einige Gefahren, die durch Web 2.0 begünstigt werden. Zu empfehlen sind eng verzahnte Sicherheitslösungen am Gateway, die pro-aktiv arbeiten und parallel auch den Datenverkehr von innen nach außen (outbound) kritisch unter die Lupe nehmen.
Kommentare
Bitte beachten Sie unsere Informationen zum Datenschutz.
blog comments powered by Disqus
© 2012 FEiG & PARTNER