Ich hatte letzte Woche ja schon kurz erwähnt, dass laut MessageLabs 'Intelligence Report' für Juni 2007 gezielte Angriffe gegen Führungskräfte zunehmen. Statt Trojaner an irgendjemandem in einem Unternehmen zu schicken, sammeln die Angreifer Informationen über Führungskräfte und schicken denen dann möglichst gut angepasste Mails mit entsprechenden Anhängen. Die notwendigen Informationen liefern ihnen ihre Opfer frei Haus: Durch die Nutzung von Social Networks.

Dazu mal ein paar Zitate aus vergangenen Ausgaben vom "Standpunkt Sicherheit":

Standpunkt Sicherheit KW 01/07, 2. Januar:
"Ein weiteres Gebiet mit dem Potenzial zu ganz neuen Sicherheitsproblemen ist das Phänomen 'Web 2.0'. Zum einen wird die Verbreitung klassischer Schädlinge wie Würmer und Trojaner darüber zunehmen. Zum anderen: Social Networks schreien doch geradezu nach Social Engineering. Mal sehen, was sich daraus noch entwickelt."

Standpunkt Sicherheit KW 05/07, 29. Januar:
"Fischen mit sozialem Netz, oder: Phishing im Social Network
Dass mein vorletzter Satz im ersten 'Standpunkt Sicherheit' dieses Jahres so schnell akut wird, hätte ich nicht gedacht: 'Social Networks schreien doch geradezu nach Social Engineering.' Am Donnerstag wurde auf Full-disclosure unter dem Titel 'A Recent Phishing Evolution?' über eine neue Phishing-Masche berichtet. [...]"

Standpunkt Sicherheit KW 19/07, 7. Mai:
"Social Engineering kommt...
Schon im Standpunkt vom 2. Januar hatte ich geschrieben, dass ich Social Engineering für eine der kommenden Bedrohungen halte. Im aktuellen Halbjahresbericht 2006/II (PDF) der Schweizer Melde- und Analysestelle Informationssicherung MELANI wird dies in einem Schwerpunkt bestätigt. Einen Punkt möchte ich in diesem Zusammenhang besonders hervorheben: Leute, achtet darauf, wem ihr welche Informationen gebt. Und zwar nicht nur direkt, auch indirekt. Social Networks sind ja ganz nett – liefern möglichen Angreifern aber auch einen Haufen nützlicher Informationen. [...]"

Eigentlich lässt das ja nur einen Schluss zu: Finger weg von Social Networks. Aber nutzt das was? Auf den ersten Blick: Ja, natürlich, denn damit wird den Angreifern die Informationsgrundlage entzogen. Aber einige Leute finden Social Networks als für sich persönlich nützlich. Lohnt es sich für die, über einen Ausstieg nachzudenken? Nur, um Angreifern keine Informationen zu liefern: Eindeutig nicht. Ich beteilige mich an keinem Social Network - und trotzdem schwirren genug Informationen über mich im Netz rum. Die müsste ein Interessent zwar erst einmal sammeln und bekommt sie nicht wie bei den Social Networking Sites auf dem goldenen Tablett präsentiert, aber vorhanden sind sie. Mit Ausnahme eines gerade für die Trojaner-Versender interessanten Punktes: Kontakte. Wer mir einen Trojaner schicken und dabei eine vertraute Adresse als gefälschten Absender angeben will, muss erst einmal lange suchen. Und wird höchstwahrscheinlich nichts finden. Aber nur deshalb auf die Teilnahme an Social Networks zu verzichten wäre stark übertrieben.

Und außerdem: Wenn die Katze bzw. in diesem Fall die Daten erst einmal aus dem Sack ist, kann man sie nicht wieder einfangen. Dazu noch zwei Zitate:

Standpunkt Sicherheit KW 20/07, 14. Mai:
"Heute mal ein paar Bemerkungen zum Datenschutz. Auslöser ist ein Komiker, der seinen Realnamen nicht genannt haben möchte. [...]"
und
Standpunkt Sicherheit KW 20/07, 21. Mai:
"[...] Datenbankeinträge, vor allem über das Internet zugängliche, führen nun mal teilweise ein Eigenleben. Was an der einen Stelle eingegeben wurde, landet meist relativ schnell in den Archiven der Suchmaschinen und im 'Internet Archiv'. [...]"

Ein Ausstieg aus einem Social Network würde also nicht viel nutzen: Die Daten sind im Netz unterwegs und längst sonstwo gespeichert. Also, wie schon im Standpunkt vom 7. Mai: "Leute, achtet darauf, wem ihr welche Informationen gebt." Und ansonsten: Weiterhin viel Spaß im Web 2.0.

Was die Trojaner betrifft, sollte man auf drei Dinge achten:

1. Verstand einschalten und nicht auf alles klicken, was einem in die In-Box segelt. Auch nicht, wenn es von einem vertrauenswürdigen Absender stammt.
2. System und Programme auf dem aktuellen Stand halten. Die meisten bisher bekannt gewordenen Angriffe nutzen bekannte Schwachstellen aus, für die meist schon Patches verfügbar sind.
3. Virenscanner nutzen und aktuell halten, auch wenn die gegen einen gezielten Angriff mit einem speziell entwickelten Schädling wenig bis gar nicht helfen. Das sollte man übrigens auch im Hinterkopf behalten: Selbst der aktuellste Virenscanner mit den neuesten Virensignaturen kann nicht alle Schadprogramme erkennen. Ein Restrisiko bleibt. Und dem begegnet man am besten mit Punkt 1 und 2.

Es gibt noch weitere Schutzmöglichkeiten, z.B eine Firewall, die dem Trojaner das 'nach Hause telefonieren' erschwert, oder ein Intrusion Detection System, das einen aktiven Trojaner aufspüren kann. Aber als Grundlage reichen die drei Punkte aus. Eigentlich sogar der erste, wenn man seinen Klickfinger unter Kontrolle hat und der Trojaner keine Schwachstelle im Mailprogramm ausnutzt, die ohne Interaktion auskommt.

Carsten Eilers