Längst nicht immer ist es erforderlich, zum Ausspähen von Personen oder Firmengeheimnissen in ein Unternehmensnetz einzudringen. Durch die zunehmende Komplexität von Anwendungen und Datenformaten sowie die Leistungsfähigkeit moderner Suchmaschinen werden allzu oft pikante Details offenbar. Immer wieder gelangen interne Informationen ungewollt ans Licht der (Internet-)Öffentlichkeit, weil entweder Dienste (Web- und File-Server, Drucker usw.) irrtümlich oder fahrlässig auch nach extern zur Verfügung stehen, Dateien bei näherer Betrachtung Daten beherbergen, die vordergründig bereits gelöscht oder anderweitig "unsichtbar" sind, oder weil man schlichtweg Möglichkeiten zum Wissensgewinn unterschätzt, die Dritte aus vermeintlich harmlosen Informationen ziehen können.
Beispiele für mehr oder minder prominente, peinliche Pannen findet man recht regelmäßig in den Schlagzeilen: Erst Mitte März gab es zu lesen, dass die US-amerikanische Zeitung Chicago Tribune über gewöhnliche Online-Recherche tausende CIA-Mitarbeiter identifizieren konnte, von denen zumindest "einige" verdeckt arbeiten (s. bspw. ![[externer Link]](../../../../images/link.gif)
www.heise.de/newsticker/meldung/70752/). Durch geeignete Internet-Suche eine Powerpoint-Präsentation mit Kundennamen und internen User-Zahlen auf einem Unternehmensrechner einer Weltfirma der Informationstechnik zu finden, mutet dagegen schon beinahe als harmlos an.
In diesem Beitrag geht es dabei gar nicht einmal vorrangig um versehentlich zugängliche Dateien oder Dienste, die zusätzliche Angriffsfläche für "Google Hacking" bieten (siehe hierzu <kes> 2005#5, S. 6). Vielmehr sollte man bereits bedenken, dass Internet-Suchmaschinen eine zunehmende Zahl von Dateiformaten "verstehen" und so auch deren Inhalte durchforsten und indexieren. Schon heute sind dies standardmäßig außer HTML- und Text- auch PDF- und Word-Dateien, von denen die beiden letzteren durchaus Informationen enthalten, die bei "normaler Betrachtungsweise" nicht unbedingt offensichtlich sind.
"Marktführer" Google durchsucht derzeit auch schon Postscript (.ps), Excel (.xls), PowerPoint (.ppt), das Rich Text Format (.rtf) "sowie weitere – die Liste der unterstützten Dateitypen wird kontinuierlich erweitert", wie es auf den dortigen Hilfeseiten heißt. Schon heute sind zudem beispielsweise E-Mail-Dateien aus Outlook Express mit der Erweiterung .eml über Google erreichbar, obwohl der Dateityp noch nicht "offiziell" unterstützt wird – Google meldet zwar "unerkennbares" Dateiformat, indexiert die Inhalte aber dennoch: Die Anfrage "filetype:EML intext:subject intext:from" lieferte Ende März 2006 weit über 30 000 Treffer.
Doch zurück zu den "unsichtbaren" Inhalten: Office-Programme wie Word, Excel oder Powerpoint speichern eine ganze Menge Informationen, die dem Anwender oft nicht bewusst sind (dies gilt übrigens auch für diverse Nicht-Microsoft-Programme, beispielsweise für Adobes PDF oder WordPerfect-Dateien, vgl. bspw. www.metadatarisk.org). Die einfachste Untersuchung eines solchen Dokuments erfolgt bereits über die "Datei-Eigenschaften": Hier findet man Angaben zur Historie eines Dokuments, eventuell Titel von Vorgängerdokumenten und auch Angaben zum Autor. Es ist bisweilen schon interessant zu sehen, welchen Weg "Dateivorlagen" genommen haben – beispielsweise wenn ein ursprüngliches Angebot an die Firma A mit neuen Informationen für den Wettbewerber B überschrieben wird, unter "Thema" aber noch Angaben zu Firma A zu lesen sind.
Selbst mit Word vertraute User stehen oft vor einem Rätsel, wenn Modifikationen aus früheren Versionen aufgezeigt werden, weil der oder gegebenenfalls die Autoren zunächst im Änderungsmodus gearbeitet und dann vergessen haben "alle Änderungen akzeptieren" anzuklicken. Wird beispielsweise nur "endgültig" markiert, so findet sich die gesamte Entwicklungshistorie des Textes oft automatisch wieder, auf jeden Fall aber geschieht dies bei der Option "endgültige Version enthält Markups". Nun sollte dies zwar eigentlich keine Neuigkeit mehr sein, die tägliche Praxis zeigt aber dennoch, dass immer wieder derart abgespeicherte Dokumente die Runde machen.
Setzt ein versierterer "Spürhund" Text- oder Binäreditoren ein, erlangt er oft zusätzliche Informationen über Änderungen, Namen von Bearbeitern und Lesern sowie Angaben zu Verzeichnissen, in denen das Dokument gespeichert oder gedruckt wurde. Teilweise lassen solche Informationen auch auf interne Strukturen schließen, die eigentlich Außenstehenden nicht zugänglich sein sollten.
Trotz enger Personalressourcen sollten Anwender von Office-Programmen daher in Unternehmen eine Schulung erhalten, um sich der Tragweite solcher Anwendungen und ihrer Dokumente bewusst zu werden. Anschließend sind für den Gebrauch strikte Regeln aufzustellen:
Auch für PDF-Dateien gilt vor der Weitergabe ein Bearbeitungsverbot und die Dateien sind möglichst gegen Verändern und Kopieren zu schützen. Man beachte: Auch PDFs sind nicht immer das, was sie scheinen! So kann beispielsweise in der Bildschirm- und Druckdarstellung geschwärzter und somit vordergründig "nicht vorhandener" Text durchaus über die Textentnahme per Zwischenablage wieder lesbar werden.
Nicht offenkundige "Metadaten" enthalten mittlerweile auch viele Grafikformate. Unzählige JPGs tragen zum Beispiel eine Unmenge von Informationen (sog. EXIF-Daten) wie Belichtungszeiten, Aufnahmedatum, Kamera-Typ und Ähnliches mit sich. Diese Angaben können oft bereits über die Datei-Information moderner Betriebssysteme ausgelesen werden.
Darüber hinaus enthalten manche Bilddateien auch ein Vorschaubild. Selbst wenn das Hauptbild durch Ausschnitte, Schwärzungen oder beispielsweise unkenntlich gemachte Gesichter überarbeitet wird, bleibt diese Vorschau bei vielen Grafikprogrammen erhalten und so kann anschließend mit einem Grafik-Editor dennoch das (wenngleich geringer aufgelöste) Original betrachtet werden. Je nach Inhalt und Überarbeitung des Fotos kann dies peinliche oder sogar rechtlich relevante Folgen haben, zum Beispiel wenn Autonummern geschwärzt oder im Newsletter bei Fotos Personen "weggeschnitten" werden sollten.
Generell sollte man daher genutzte Dateiformate immer wieder einmal auf unerwünschte "Informations-Lecks" hin untersuchen. Dabei kann (nunmehr im Positiven) eine Internet-Recherche helfen, entsprechende "Aufklärungs-Tools" oder Angriffspunkte zu finden. Und auch dem Prüfer kann der Blick mit einem Hex-Editor gegebenenfalls unerwartete Informationen offenbaren.
"Sag mir deine E-Mail-Adresse ich sage dir, was für ein Mensch du bist..." Man sollte nicht unterschätzen, wie viele Informationen über eine Person im Internet auffindbar sein können. Trägt ein Mitarbeiter eine "persönliche" Adresse wie beispielsweise petra.mustermann@example.com, so können auch Externe versuchen, hier – möglicherweise unerwünschte – Schlüsse zu ziehen. Oft sind innerhalb von wenigen Minuten zahlreiche Informationen herauszufinden. Die meisten dürften relativ "ungefährlich" sein, doch auch Angaben zu Ehepartner, Kontakten und privaten Aktivitäten (z. B. Sport oder Clubzugehörigkeiten) sind nicht selten in – vordergründig harmlosen – Quellen wie Vereins- oder Hotelgästebüchern, Newsgroups oder Chatrooms zu finden.
Längst nicht immer ist Internet-Benutzern klar, welche ihrer Daten ein Web-Dienst öffentlich macht oder welche Aussagen archiviert werden. Das alles ist meist kein Problem, solange es um Golf, Reiten oder Computerschrauberei geht. Besuche von Swingerclubs oder Homosexuellen-Bars, heikle politische oder anderweitig "unvorsichtige" Aussagen könnten hingegen für bestimmte Personen peinliche Folgen haben und den Betreffenden erpressbar werden lassen – vor allem dann, wenn er im Unternehmen eine exponierte Stellung innehat. Das große Problem ist hierbei erneut die einfache und schnelle Suche und Verknüpfbarkeit der immensen Informationsmengen, die das Internet heute bereitstellt.
Zum Schutz eines Unternehmens kann daher schon beitragen, das Gros der Mitarbeiter nach außen hin weitestgehend anonym zu halten und somit Angriffpunkte zu vermeiden. So stellt sich durchaus die Frage, ob jeder Mitarbeiter wirklich eine "persönliche" E-Mail-Adresse für den externen Mailverkehr benötigt oder ob diese nicht per Sicherheitsrichtlinie auf interne Zwecke beschränkt werden oder ganz entfallen sollte. Zudem ist der private Gebrauch von Firmen-E-Mail-Adressen möglichst zu untersagen.
Nach außen hin – im Internet, aber auch in Werbeanzeigen oder Firmenbroschüren – sollten möglichst keine personenbezogenen E-Mail-Adressen veröffentlicht werden. Statt Name.Vorname@example.com wären dann zumindest hierfür zentrale oder gruppenspezifische E-Mail-Adressen wie info@example.com oder personal@example.com einzurichten. Ist es unumgänglich, E-Mail-Adressen von Mitarbeitern auf Webseiten zu veröffentlichen, dann sollte dies nicht in Textform, sondern als Grafik erfolgen, damit diese Informationen zumindest nicht (oder nur mit deutlich höherem Aufwand) automatisiert auswertbar sind – andererseits erschwert das auch die rechtmäßige Nutzung durch Kunden.
Auch Pseudonyme oder nach festen Regeln aus dem Klarnamen abgeleitete Adressen können helfen: beispielsweise VON@example.com oder NAV@example.com statt VOrname.NAme@example.com. Hier ist es natürlich ebenfalls möglich, bei manueller Durchsicht auf volle Namen zu schließen und diese in anderem Zusammenhang im Internet zu suchen, aber der Aufwand ist deutlich höher.
Auch im täglichen Gebrauch von E-Mails ist Vorsicht angebracht: So werden oft Informationen an einen Verteiler im "CC:"-Feld (Carbon Copy) verschickt – mit dem Effekt, dass anschließend jeder Angesprochene weiß, wer die Nachricht außer ihm noch erhalten hat. Das ist firmenintern sicher oft gewollt; extern ist dies jedoch in vielen Anwendungsfällen zu vermeiden, um Beziehungen zu anderen Unternehmen nicht offen zu legen oder Adressen nicht preiszugeben. Dies gilt umso mehr, wenn es sich um Privatadressen handelt.
Bisweilen verbreitet zudem ein Absender sein Verhältnis zu anderen, wenn zum Beispiel aus der Adressierung hervorgeht, dass (Mit-)Empfänger einer E-Mail im Adressbuch des Absenders unter "Mausi" oder "Purzel" oder anderweitig wertenden Einträgen geführt sind. Auch durch die Kombination mit bekannten E-Mail-Adressen oder Klarnamen offenbarte Spitznamen sind übrigens in Internet-Recherchen eine "gute" Quelle unerwünschter Querverbindungen. Darüber hinaus werden durch offene Verteiler manchmal ganze Freundeskreise sichtbar – mit allen Risiken der "gläsernen Persönlichkeit".
E-Mails an mehrere Empfänger sollten daher im allgemeinen Fall immer über eine Serien-Mail-Funktion an die jeweiligen Adressaten verschickt werden. Eine einfache Alternative ist es, die Nachricht an die eigene Adresse zu senden und alle weiteren Empfänger unter "BCC:" zu erfassen (Blind Carbon Copy). Werden E-Mails weitergeleitet, ist zu überprüfen, ob die enthaltenen Informationen (z. B. ursprüngliche Absender) auch wirklich weitergegeben werden müssen beziehungsweise sollen – wenn nicht, dann gehören sie gelöscht.
Vor einer Weiterleitung sollte man zudem immer die gesamte E-Mail durchsehen: Gerade bei der häufig zu beobachtenden "TOFU"-Methode ("Text oben, Full-Quote unten"), bei der Antworten jeweils oben über einem vollständigen Zitat der vorherigen Korrespondenz ergänzt werden, kann man oft auch beobachten, dass im unteren Teil der Nachricht Textteile enthalten sind, die man vielleicht bei aufmerksamer Betrachtung nicht an einen Dritten versandt hätte.
Auch wenn hier der (exemplarische) Schwerpunkt auf Windows- und Microsoft-Office-Programmen lag: Vergleichbare Risiken bestehen auch in anderen "Welten", beispielsweise Lotus Notes oder Mac-Anwendungen. Um unerwünschte Recherchemöglichkeiten zu erschweren, benötigt ein Unternehmen eine strenge und vom Top-Management und dem Betriebsrat unterstützte und von allen Mitarbeitern "gelebte" Security-Policy. Diese muss genaue Richtlinien enthalten, wie Kommunikationsinfrastrukturen aufzubauen und zu nutzen sind. Wo Unsicherheiten bezüglich IT- oder Sicherheits-Know-how bestehen oder interne Ressourcen fehlen, ist es empfehlenswert, ein IT-Security-Unternehmen mit einer Schwachstellenanalyse zu beauftragen, welche die Kommunikation und damit verbundene Risiken sowie den Aufwand eventueller Gegenmaßnahmen kritisch unter die Lupe nimmt.
Ulrich Bierhahn ist Senior Consultant bei der Intersoft Consulting Services GmbH, Hamburg.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2006#2, Seite 6
| 