Secure Blogging: Die dunklen Seiten der Internet-Tagebücher

Noch sind solche Szenarien nicht ganz realistisch, aber auch die Konzerne haben die potenziellen Kehrseiten erkannt. „Als Technologie- und Dienstleistungskonzern verfügt IBM über zahlreiche Experten. Darum sind intellektueller Austausch, Innovation und Zusammenarbeit fundamental für unseren Geschäftserfolg“, bekräftigt Uwe Kissmann, Head of Security & Privacy Consulting Services bei IBM.

Das Unternehmen motiviert seine Mitarbeiter aktiv zum Bloggen. Zur internen Weblog-Plattform, dem so genannten „Blog Central“, haben Mitarbeiter weltweit Zugang. Risiken nimmt das Unternehmen dabei durchaus in Kauf: „Was mögliche Gefahren angeht, bauen wir auf unsere Unternehmenswerte, zu denen Vertrauen und Verantwortung gehören“, hofft Kissmann. Mit einer entsprechend rigide gehandhabten Policy, etwa Zugriffsrechte und Passwörter der Administratoren auf Blog-Routinen, versucht Big Blue dieses Problem in den Griff zu bekommen.

Methoden der Angreifer
Technisch gesehen sind Blogs/RSS analog zu Web-Applikationen (HTTP- und HTTPS-Protokolle), die zahlreiche und meist bekannte Schwachstellen offerieren. Die wichtigsten Techniken der Angreifer sind:
XSS
Injection (z.B. SQL-Injection)
Angriffe auf die Session/Cookies/SessionIDs
Path Climbing
Session Hijacking
Hidden Field Manipulation

Problematisch ist dabei, dass Weblogs tiefer ins IT-Geschehen eingreifen, als mancher unbedarfte Nutzer glaubt. IBM etwa hat seine Blogging-Tools auch in die Groupware oder Content-Management-Systeme integriert. „Zwar sehen wir noch keine gezielten Attacken, mit denen Malware auf Weblogs eingeschleust wird, aber das Risiko auf häufig frequentierten Plattformen ist trotzdem sehr hoch“, bekräftigt Maksim Schipka, Antivirus-Architekt im Global Operation Center bei Messagelabs. Er hält es durchaus für möglich, über derartige Schwachstellen an sensible Kundendaten zu gelangen.

„Der Grad der Bedrohung ist in erster Linie von den Sicherheitseinstellungen der Betreiber von Blogging-Systemen abhängig“, gibt Gernot Hacker, Sicherheitsexperte bei H+BEDV, zu bedenken. Grundsätzlich kann Schadcode in unterschiedlicher Form gepostet werden. Dabei handelt es sich nicht automatisch um ausführende Dateien – bereits die Verlinkung mittels URL oder einem Skript reicht aus. „Da fast alle Blogging-Systeme das Posten von Bildern erlauben, genügt auch schon der Upload eines modifizierten Bildes, das eine Sicherheitslücke ausnutzt“, sagt Hacker. Ein Beispiel ist das erst kürzlich aufgetauchte WMF-Schwachstelle in Windows, welche durch bloßes Anzeigen im Internet Explorer aktiviert wurde.

Themenseiten: Big Data, Datenschutz, Security-Praxis, Spam

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Secure Blogging: Die dunklen Seiten der Internet-Tagebücher

Kommentar hinzufügen
  • Am 2. März 2006 um 16:06 von evelyn. kunz

    blog,blog´s,bloggen,blogging
    hier ist meiner
    http://xaidos.blog.de/

    evelyn.kunz

    • Am 3. März 2006 um 18:06 von Steffi Lotsen

      AW: blog,blog´s,bloggen,blogging
      lustiger ist allemal http:\www.kallewirsch.de

  • Am 10. Februar 2006 um 20:57 von Peter

    Ja und um hanz sicher zugehen….
    am besten noch personalausweis und biometer scan einbauen. Und um ganz sicher zugehen am besten gar keine blogs zulassen…
    Echt.. diese panik mache wegen spam ist echt krank. in 99 % der fälle bekommen die leute viren weil sie keinen viren scanner haben , oder zu dum sind einfach bei Xp die mit gelieferte Firewall zu installieren ! Man geht ja auch nicht auf der Autobahn fussball spiele oder ?. Das internet ist doch nicht mal sicher in China wo alles von deren Dikatur gefiltert wird. Was sich mache sicherheits experten so für ideen einfallen lassen nur um ihr arbeitsplatz zurechtfertigen ist wirklich funny. Ihr sollte mal lieber einen Arikel schreiben wie Google, und andere Grosse internet firmen ihre user auspionieren um deren verhalten protokoliern um diese information zur Liegal Spam werbe zwegen benutzen. Oder wie grosse ISP ips etc speichern über monaten obwoll sie damit gegen das grundrecht verstossen und nicht mal ärger geswegen bekommen.

    • Am 11. Februar 2006 um 15:56 von Alexander Kappner

      AW: Ja und um hanz sicher zugehen….
      Da hast schon recht damit, aber meinst du nicht, dass z.B. eine Bank für ihre User verantwortlich ist (auch für die "DAUs")? Und wenn jetzt auf einer seriösen Weblog-Seite plötzlich Viren o.ä. auftauchen, wäre der Ruf der Seite natürlich komplett dahin. Andererseits kann man auch nciht die Blogs und Rechte der User zu stark beschneiden, denn sonst würde das Konzept eines Weblogs ad absurdum geführt. Die vorgeschlagenen Lösungen sind also sicher kein Nonsens.

    • Am 11. Februar 2006 um 19:05 von Peter

      AW: AW: Ja und um hanz sicher zugehen….
      Ja.. und das ist das problem das der Betreiber dafür haftbar gemacht werden kann ! genau das sollte man ändern.Dann müsste man nicht als Webportal besitzer nicht mit einem Beim im knast sitzen. Aber auf so eine tolle idee kommt ja jeder. Was auch viel damit zu tun hat das das internet einfach immer noch zu neu ist und die leute die die entscheidungen bezüglich der rechtslage fällen einfach kein plan von der materie haben. Und zum Thema serös in letzter zeit sehe ich auf seiten die ja serös sein wollen oder waren .. Werbung für Ilove,Firstload,… usw für abzocker anbiether die nix anderes machen als damals 0190 sex dialer. Kunden mit kostenlosen contend locken und dann abkassieren. das mal zum thema serös.Wenn ein portal betreiber geld bekommt für seine werbung da wiegt er meisten nicht mehr ab was da genau mit beworben wird. Das wird bei den deutschen blog seiten auch nicht andere sein. Ps..( warum Ilove unserös sein soll ?… ganz einfach Abosystem + halb nackte fake frauen um männern anzulocken, tun Neu.de z.b nicht )

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *