Der Feind im Haus: Wenn Mitarbeiter Daten stehlen

Schutz gegen solche Hintertüren erhält man nur durch ein sehr gutes, aber für die Benutzer auch restriktives Firewallkonzept. Es reicht nicht aus, seinen Benutzern alle Ports außer 80 und 443 zu sperren. Zwar kann ein Programm wie Hamachi, das diese Ports als Tunnel nutzt, nur mit Administratorrechten installiert werden, jedoch lässt sich auch ein SSH-Client durch HTTP oder HTTPS tunneln.

Das funktioniert wiederum ganz ohne Administratorrechte. Dazu kann man ein Programm wie corkscrew oder Proxytunnel einsetzen. PuTTY hat eine Proxy-Unterstützung für HTTP bereits eingebaut und benötigt nur für HTTPS ein externes Programm, siehe Bild 5. Wie der SSH-Server muss der Proxy dazu nicht im Firmennetz stehen, sondern kann von einem externen Angreifer im Internet betrieben werden. Alternativ lässt sich jeder öffentliche Proxy im Internet nutzen, der den Connect-Befehl unterstützt. Letztere findet man aber kaum noch.

Um solche Angriffe tatsächlich auszuschließen, muss eine Layer-7-Firewall eingesetzt werden, die eine Tunnelung von anderen Protokollen durch HTTP und HTTPS erkennt. Dabei sollte immer zwischen Einschränkungen der Benutzer beim Internetzugang und dem Schutzbedürfnis der eigenen Daten abgewogen werden.

Themenseiten: Big Data, Datendiebstahl, Datenschutz, Hacker, Privacy, Security-Praxis

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Der Feind im Haus: Wenn Mitarbeiter Daten stehlen

Kommentar hinzufügen
  • Am 5. Mai 2010 um 19:34 von Tom

    Erst mal gründlich schlau machen!
    „Das Beispiel Conficker zeigt, dass viele Unternehmen ihre Intranet-Server nicht regelmäßig updaten.“

    Dieser Satz zeigt leider die Unwissenheit des Autors. Auch in einem System bei dem alle Windows-Updates eingespielt sind, kann sich der Conficker Wurm über Administrative Netzwerkfreigaben weiterverbreiten. Das -auch von Microsoft- vielbeschworene Windows-Update hilft nur gegen das Eindringen von außen (übers Internet).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *