Kundendaten, Passwörter und die Privatadressen von Mitarbeitern aus dem Intranet – wer gezielt Firmendaten sucht, der wird mit Google und Co fündig. Durch fehlherhaftes Konfigurieren öffnen IT-Verantwortliche die Pforten für Hackerangriffe mit Suchmaschinen. Besonders vom Datenklau betroffen: Der Mittelstand.
DÜSSELDORF. Ein wenig Googeln genügt. Vorausgesetzt, Firmen haben sich durch Fehlkonfigurationen angreifbar gemacht. „Es ist wirklich sehr einfach, Informationen durch Suchmaschinen zu erschließen und daraus Möglichkeiten für Folgeangriffe abzuleiten“, sagt Georg Wambach. Er ist Leiter der Abteilung Sicherheitsberatung bei der Telekom-Tochter T-Systems. Zu seinem Job gehört „ethisches Hacking“: Er versucht Firmennetze auszuspionieren und so Sicherheitslücken zu finden.
Dabei mutet der erste Schritt zum simulierten Such-Angriff harmlos an: Der Hacker gibt Begriffe in Suchmaschinen ein und probiert so, ob sich Interna erschließen lassen. Und das gelingt gerade bei mittelständischen Unternehmen erschreckend oft. Weil sich nicht nur die Guten dieser Methode bedienen, sprechen IT-Spezialisten schon vom „Suchmaschinen-Hacking“.
Wambach zufolge lässt sich über das Web und Öffnungen zum Intranet auf versteckte Dateien, Verzeichnisse von Netzwerkrechnern und damit auch Passwortlisten zugreifen. Auch Textdateien mit Sitzungsprotokollen könnten so gefunden werden. „Ursache ist häufig die unzureichende Trennung des Internetauftritts von den internen Systemen, manchmal sogar die Kombination von Internet- und Intranetserver auf einer unsicheren Plattform“, erklärt der Sicherheitsexperte von T-Systems.
Überdies kann sich die Tür auch öffnen, wenn die IT-Abteilung Inhalte ins interne Netz einpflegt. Die sensiblen Daten werden entlang einer langen Kette zugänglich: Sie beginnt bei dem, der die Inhalte erstellt, geht weiter mit dem Mitarbeiter, der sie fachlich freigibt und reicht von den Marketing-Leuten zu den Server-Spezialisten. „Wenn dieser Prozess nicht durch klar verteilte Zugangsberechtigungen und Freigabeverfahren ordentlich aufgesetzt ist und technisch wirksam unterstützt wird, dann haben Angreifer leichtes Spiel“, sagt Wambach.
Sind entsprechende Links erst mal in der Stichwortliste von Google oder einer anderen Suchmaschine gelandet, dann ist es ohnehin meist zu spät. „Auch wenn das Unternehmen Daten längst vom Webserver genommen hat, schlummern sie Cache von Google weiter“, erklärt Pierre Kroma, IT-Security Consultant beim Sicherheitsdienstleister SySS, zu deren Spezialgebiet ethisches Hacken gehört.
Lesen Sie weiter auf Seite 2: Riskante Manöver auf dem Daten-Highway
Die Seite aus dem Zwischenspeicher von Google, dem Cache, ist der Ansatzpunkt für die nächsten Schritte des Hackers: Auch wenn keine kompletten Verzeichnisse erscheinen, genügt es, dass die Suchmaschine einzelne Dateinamen preisgibt – über die sich zuweilen die Dateien selbst finden lassen. „Besonders kritisch wird es, wenn so auf Kunden- oder Kreditkartendaten zugegriffen wird, was schon geschehen ist“, berichtet Kroma. So gesehen sollte peinlichst bei der Gestaltung oder Aktualisierung der Firmen-Homepage darauf geachtet werden, welche Daten verlinkt sind, denn der Suchroboter einer Suchmaschine sucht Webseiten systematisch nach Daten ab, die über Links verknüpft sind.
Die massentaugliche Hackermethode ist auch dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bekannt. „Im Grunde gibt es diese Möglichkeit, seitdem es Suchmaschinen gibt“, sagt BSI-Sprecher Matthias Gärtner. Es genügten schon Sekunden, in denen Daten auf einem öffentlich zugänglichen Netzrechner gespeichert werden, um die Sicherheit zu gefährden. Beliebt ist auch das riskante Manöver, eine neue Homepage zu Testzwecken online gehen zu lassen, um dann erst Fehlerhaftes und Internes herauszunehmen. Inzwischen legt eine Suchmaschine womöglich eine Kopie im Cache ab (siehe „Klickbares Datenversteck“ am Ende des Artikels).
Gärtners dringender Rat lautet daher: „Man sollte unternehmensinterne Daten nie auf dem Webserver ablegen, auch nicht für kurze Zeit, da sie von dort zu leicht von Fremden ausgelesen werden können.“ Interne und externe Daten sollten grundsätzlich auch auf ganz verschiedenen Rechner liegen – dann werden Geheimnisse auch bei Fehleinstellung durch einen Netzbetreuer nicht sichtbar.
Lesen Sie weiter auf Seite 3: Auf einen Blick: Klickbares Datenversteck
Klickbares Datenversteck
Cache: Programmierer lieben kleine Zwischenspeicher, so genannte Caches. Das Wort kommt aus dem Französischen und bedeutet „Schlupfwinkel, Versteck“.
Beschleunigung: Ein Vorteil des Zwischenspeicherns: Daten, die ein Programm ansonsten langsam nachladen müsste, sind sofort verfügbar, wenn sie im Cache stehen. Statt über die vergleichsweise langsame Internetverbindung kann ein Browser zwischengespeicherte Daten sofort von Festplatte abrufen; statt von der langsameren Festplatte schneller noch direkt aus dem Hauptspeicher des Rechners.
Suchhilfe: Auch die Suchmaschine Google legt Schattenspeicher an – aber aus einem anderen Grund. Google speichert Milliarden von Webseiten auf riesigen Festplatten, um als Zusatzdienst ältere Zustände der Seiten anbieten zu können – beispielsweise falls die Verbindung unterbrochen ist. Zum Auffinden würde es reichen, die Worte darauf zu indizieren.
Nebenwirkungen: Wegen der Schattenspeicherung bleiben auch Seiten, die der Autor bewusst gelöscht oder überarbeitet hat, noch eine Weile in der alten Fassung verfügbar – ein Klick auf „Im Cache“ bei Anzeige der Suchergebnisse genügt.
