Rubrik: Fachbeiträge/Grundlagen

Wie Sicherheitsverantwortliche die Risiken von Datenlecks durch Social Media wirksam einschränken können

Risiko Datenverlust und Malware-Attacken durch Social Media

Von Alexei Lesnykh, Business Development Manager bei DeviceLock

(20.12.11) - Für viele Unternehmen sind Social Media-Dienste zu einem wichtigen Kommunikations-mittel geworden, das zahlreiche geschäftliche Prozesse unterstützt. Die interne und externe Interaktion mit sozialen Netzwerken kann für den Aufbau der Marke, die Stärkung des Unternehmensimage und der Kundenbindung, zur Anwerbung und Einstellung neuer Mitarbeiter, zur Förderung der Teamarbeit, zur Abkürzung von Entwicklungszyklen und zur Verbesserung der Reaktionsfähigkeit beim technischen Kundendienst genutzt werden. Personalleiter suchen über LinkedIn und Xing nach geeigneten Kandidaten, F&E-Teams veröffentlichen ihre Entwicklungs-handbücher in Unternehmens-Wikis und das technische Support-Personal verwendet Instant Messengers, um in Echtzeit über kritische Punkte des Produkts zu diskutieren. Sogar das CRM stützt sich schon von Natur aus auf soziale Kommunikation, die an die speziellen Bedürfnisse des Business angepasst ist.

Die rasante Entwicklung der Unterhaltungselektronik hat die "Consumerization" der Unternehmens-IT vorangetrieben und zur Entwicklung des Phänomens "Bring your own computer" (BYOC) geführt. Auch das ist ein Grund, weshalb die Social Media-Kommunikation in einem Unternehmen unvermeidbar ist. Es ist fast unmöglich, das Bloggen, Chatten oder den Besuch der persönlich bevorzugten sozialen Netzwerke über das eigene Notebook oder Smartphone zu verhindern, wenn diese Geräte für geschäftliche Zwecke verwendet werden.

Doch die Social Media-Nutzung bietet Unternehmen nicht nur Vorteile, sie sorgt auch für Probleme. Wie eine der jüngsten Umfragen des Ponemon Institute zu den Risiken von sozialen Netzwerken bestätigt, hat die Social Media-Nutzung im Unternehmen nicht nur die Produktivität der Mitarbeiter und die Bandbreite des Netzwerks reduziert oder die Auseinandersetzung mit bedenklichen Inhalten erfordert, sondern auch zwei Sicherheitsbedrohungen stärker in den Vordergrund gerückt - Virus- oder Malware-Infektionen und Datenlecks. Infektionen werden verursacht, wenn die Mitarbeiter Dateien und Daten auf die Computer herunterladen, die sie für geschäftliche Zwecke verwenden. Zu Datenlecks kommt es, wenn die Mitarbeiter zufällig oder ganz bewusst vertrauliche Unternehmens-daten an Ziele senden, die außerhalb des Unternehmensnetzes liegen.

Ein Antivirusprogramm kann zwar das Malware-Risiko erheblich senken - aber keine Datenlecks schließen. Die Datenleck-Szenarien im Zusammenhang mit Social Media sind vielschichtiger. Daher machen sich viele IT-Sicherheitsbeauftragte derzeit Gedanken darüber, wie sie den hierdurch riskierten Datenverlust effektiv bekämpfen können.

Social Media-Richtlinien werden häufig ignoriert

Zunächst ist eine gut ausgearbeitete und akzeptable Nutzungsrichtlinie für Social Media die Grundvoraussetzung für den sicheren Umgang mit diesen Netzwerken im Unternehmen. Fehler, Neugier, Nachlässigkeit und Fehlverhalten sind allerdings unvermeidliche menschliche Charakterzüge, so dass auch die besten Social Media-Richtlinien häufig nicht vollständig eingehalten werden.

Aus diesem Grund müssen IT-Sicherheitsbeauftragte zusätzlich zu den organisatorischen Maßnahmen eine Sicherheitslösung auswählen und umsetzen, die eine Weitergabe sensibler Unternehmensdaten über ein Datenleck an den Endpunkt-Geräten der Mitarbeiter effektiv verhindert, wenn sie aus persönlichen oder beruflichen Gründen in sozialen Netzen kommunizieren. Die Herausforderung besteht dabei darin, dies zu erreichen, ohne die Social Media Sites und -Dienste komplett zu blockieren. Dies könnte nämlich die Produktivität der Mitarbeiter einschränken und ihre Motivation beeinträchtigen.

Eine solche Lösung macht es erforderlich, bei einem Austausch in den sozialen Netzwerken zwischen persönlichen, unternehmensbezogenen, öffentlichen und vertraulichen Informationen zu unterscheiden. Daher muss sie sich auf die Daten konzentrieren und den Inhalt berücksichtigen. Da die legitime Kommunikation im Rahmen von sozialen Netzwerken (d.h. Kommunikation unter Einhaltung der entsprechenden Richtlinien) nicht beeinträchtigt werden darf, muss die Lösung außerdem Entscheidungen treffen und sie unmittelbar umsetzen. Hierzu sind Methoden erforderlich, die den Inhalt in Echtzeit analysieren. Unter den vielen vorhandenen IT-Sicherheitstechnologien kann nur die Data Leak Prevention (DLP) diesen Anforderungen wirklich gerecht werden.

Social Media sicher nutzen mit DLP

Heute werden zahlreiche DLP-Lösungen auf dem Markt angeboten. Welche die effektivste für den sicheren Umgang mit sozialen Netzwerken in einem Unternehmen ist, hängt von folgenden Kriterien ab:

Zunächst sollte ein Gleichgewicht zwischen den Social Media-Diensten, die das Unternehmen kontrollieren muss, und dem Umfang der Social-Media-Abdeckung erreicht werden, die von einer DLP-Lösung angeboten wird. Je mehr Dienste kontrolliert werden, desto besser. Generell sollten zumindest die beliebtesten sozialen Netzwerke und Instant Messenger einbezogen werden, wie etwa Google+, Facebook, Twitter, LinkedIn, XING, Live Journal sowie Skype, ICQ/AOL, Windows Live Messenger, Jabber, IRC und Yahoo! Messenger.

Ebenso wichtig ist, dass die DLP-Lösung umfassende, granular konfigurierbare Kontrollfunktionen für die verschiedenen Datenkanäle bietet. So können zum Beispiel DLP-Gateways Mitteilungen von Mitarbeitern über den Arbeitsplatz-PC in soziale Netze inhaltlich vollständig kontrollieren Egal, ob der Austausch ins Internet oder mit Kollegen innerhalb des Unternehmens stattfindet.

Gleichzeitig entsteht durch die Allgegenwärtigkeit moderner Funknetze ein Worst-Case-Szenario für die Social Media-Sicherheit in Unternehmen, wenn mobile Endgeräte, wie Notebooks und zunehmend auch Smartphones und Tablets genutzt werden. Denn das Endgerät eines Benutzers, das ihm persönlich oder dem Unternehmen gehört, kann auch bei Nutzung im Büro nicht nur die "Perimeter Security", sondern das gesamte Unternehmensnetz ganz einfach umgehen, indem eine Verbindung zu mobilen 3G-Netzen oder in der Nähe befindlichen externen W-LAN-Zugriffspunkten hergestellt wird. Dies gilt gleichermaßen für die Remote-Nutzung während einer Geschäftsreise, bei Kundenbesuchen oder im Home Office.

Netzwerkresidente Sicherheitslösungen können die Kommunikation über mobile Endgeräte nicht kontrollieren. Daher müssen Unternehmen die Kontrolle über Social Media direkt auf dem geschützten mobilen Computer mit Hilfe von DLP-Software durchsetzen. Ein "DLP-Agent" analysiert und filtert am Endpunkt den Inhalt des gesamten Datenaustauschs über soziale Netzwerke nach den Sicherheitsrichtlinien des Unternehmens - unabhängig davon, wo und wie der Endpunkt mit dem Internet oder dem Unternehmensnetzwerk verbunden ist.

Bei Smartphones und Tablets mit Google Android oder Apple iOS kann die Social Media-Kontrolle derzeit noch nicht so gut umgesetzt werden wie bei Laptops mit Windows- oder Mac-Betriebssystemen. Denn es ist zurzeit nicht möglich, DLP-Agenten auf Android- oder iOS-Geräten einzusetzen, ohne die Nutzungseinschränkungen des Betriebssystems zu überwinden oder einen "Root"-Zugriff auf das Gerät herzustellen. Dies ist für die IT-Sicherheit des Unternehmens keine akzeptable Methode. In den nächsten Jahren sollen jedoch einige innovative Cloud-basierte Sicherheitslösungen auf den Markt kommen, die Pannen mit Unternehmensdaten über Social Media-Mitteilungen von Smartphones und Tablets verhindern.

Bei der Bewertung, wie gut die DLP-Lösung die genutzten Social-Media-Kanäle abdeckt, sollte man nicht vergessen, dass die beliebtesten Social Media-Netze, wie Google+, Facebook, Twitter, und Instant Messengers, eine Standardverschlüsselung (z.B. HTTPS, FTPS) oder eine unternehmens-eigene Verschlüsselung (z.B. Skype) verwenden, um die Netzwerkkommunikation zwischen dem Endpunkt und der Social Website oder dem Peer-Endpunkt zu schützen. Es ist besonders wichtig, dass die DLP-Agenten an den Endpunkten die übertragenen Daten noch unverschlüsselt extrahieren und den Inhalt filtern können. In einigen Fällen, kann diese Kontrollmöglichkeit anders als beim DLP-Gateway nur am Endpunkt umgesetzt werden, zum Beispiel dann, wenn der Inhalt verschlüsselter Skype Instant Messages überwacht werden soll.

Um sicherzustellen, dass alle Social Media-Kanäle abgedeckt sind, muss ein DLP-Agent auch die Netzwerkkommunikationskanäle kontrollieren, die über HTTP und Socks-Proxies umgeleitet werden. Häufig werden solche Proxies von Mitarbeitern verwendet bzw. automatisch konfiguriert. Erfolgt die Inhaltsbasierte Kontrolle nicht, ist ein Datenleck offen. Dies kann als Einfallstor für Schadprogramme oder zum Abgreifen sensitiver Firmendaten genutzt werden.

Unternehmen verhindern Datenlecks durch Mitteilungen in sozialen Netzwerken zuverlässig, wenn sie eine DLP-Lösung mit einer umfangreichen Social Media-Abdeckung und fein abgestimmter DLP-Kontrolle aller Datenkanäle einsetzen. DLP-Lösungen können zudem auch das Risiko einer Malware-Einschleusung reduzieren. Datentypfilter verhindern, dass ausführbarer Code über einen Social-Media-Austausch heruntergeladen wird. (DeviceLock: ra)