Web 2.0: Sophos rät zu sensiblem Umgang mit neuen Internet-Anwendungen

August 03, 2006 Sophos Press Release

Web 2.0 ist in aller Munde - sowohl bei Anwendern als auch in Unternehmen. Der von Tim O'Reilly, Geschäftsführer des O'Reilly Verlags, ins Leben gerufene Begriff steht für eine Vielzahl neuer, interaktiver Technologien, Dienste und Anwendungen im Internet. Web-Applikationen, Instant Messaging, Wikis und Weblogs bieten Unternehmen vor dem Hintergrund der zunehmenden Mobilität der Mitarbeiter sowie zur Unterstützung des Wissensmanagements und der Kommunikation mit Kollegen, Partnern und Kunden enormes Potenzial. Doch neben den Vorteilen bringen Internet-basierte Applikationen und Dienste auch neue Sicherheitsgefahren mit sich. Die Risiken reichen von der Verbreitung von Schadprogrammen via Instant Messaging bis hin zur gezielten Datenmanipulation und Industriespionage. Der Computersicherheits-Spezialist Sophos rät Internet-Anwendern und Unternehmen daher zu erhöhter Vorsicht bei der Nutzung von Web 2.0-Anwendungen und empfiehlt die Implementierung eines integrierten Sicherheitskonzeptes.

Pino von Kienlin, Geschäftsführer der Sophos GmbH, kommentiert: "War das Thema Web 2.0 bis vor kurzem noch Zukunftsvision, beginnen Web-Anwendungen, Social-Software-Dienste und Kommunikationstools wie Instant Messaging, sich auch in Unternehmen zu etablieren. Tatsächlich versprechen die neuen Technologien weit reichende Chancen für die interne und externe Kommunikation. Gleichzeitig aber steigt auch das Risiko, Opfer krimineller Hacker zu werden, die ihrerseits die Möglichkeiten der neuen Internet-Generation für sich entdecken."

Nicht nur für Internet-Anwender und Unternehmen eröffnet Web 2.0 eine Reihe neuer Betätigungsfelder: Werden Office-Anwendungen, wie Kalender oder Textverarbeitungsprogramme, die heute noch auf dem Desktop laufen, zunehmend ins Internet verlagert, sind die Eingaben und Daten der Nutzer mehr oder weniger frei im Web verfügbar und können so durch Hacker ausspioniert werden. Auch offene Schnittstellen zur Integration verschiedener Webseiten, Online-Dienste und Datenbanken bieten potenzielle Angriffsflächen: Inhalte wie Kundendaten können abgefragt, für kriminelle Aktivitäten manipuliert oder missbraucht werden. Viren-, Trojaner-, Denial-of-Service- oder Spam-Angriffe sind ebenso wenig sicher auszuschließen. So könnten beispielsweise Nachrichten in Newsfeeds vorsätzlich verändert, Spam-Meldungen massenweise in Weblogs platziert, vertrauliche Nutzerdaten gestohlen oder Web-Anwendungen außer Kraft gesetzt werden. Hinzukommen gerade für Unternehmen rechtliche Fragen danach, welche Informationen beispielsweise von Mitarbeitern über Firmen-Blogs kommuniziert und welche Daten in Web-Anwendungen preisgegeben werden dürfen.

Pino von Kienlin weiter: "Erste Schadcodes, die sich über Web 2.0-Techniken verbreiten, wurden bereits entdeckt. So verbreitet sich zum Beispiel der Ende Juni entdeckte Wurm Cuebot-K über den AOL Messenger mit dem Ziel, Dritten den Zugang auf den Rechner zu ermöglichen. Es ist nur eine Frage der Zeit, bis Cyberkriminelle und Datendiebe Web 2.0-Applikationen und -Services für ihre Zwecke missbrauchen. Anwender und Unternehmen sollten darauf vorbereitet sein und sich entsprechend schützen, um böse Überraschungen und den Verlust ihrer Daten zu vermeiden."

Um die IT-Sicherheit und den Schutz der Daten zu gewährleisten, bedarf es neben einer verstärkten Aufklärung der Anwender und deren verantwortungsbewussten Umgang mit vertraulichen Informationen vor allem des Einsatzes integrierter IT-Sicherheitslösungen, die Systeme, Netzwerke und Daten zuverlässig vor unberechtigten Zugriffen schützen und sämtliche Schadprogramme, unerwünschte Applikationen und Hacking-Attacken blocken. Der Schutz muss dabei auf allen Ebenen der IT gewährleistet sein – sowohl am Endpoint wie auch am Gateway. Darüber hinaus empfiehlt Sophos die Verschlüsselung von Daten, die zwischen einzelnen Web-Anwendungen, Datenbanken und Rechnern ausgetauscht werden, um unberechtigte Zugriffe und Datendiebstahl zu vermeiden. Unternehmen sollten ebenso Richtlinien im Umgang mit Web-Anwendungen und Social-Software-Diensten definieren und ihre Mitarbeiter im sicheren Umgang mit neuen Technologien schulen.