M 4.253 Schutz vor Spyware
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Benutzer
Bei Spyware handelt es sich um eine Schadsoftware, die private und vertrauliche Daten heimlich sammelt und an einen Angreifer bzw. an Dritte übermittelt. Durch folgende Mechanismen kann die Gefahr vor Spyware erheblich minimiert werden:
-
Aktualisierung der Sicherheitsrichtlinien
Die aktuelle Sicherheitsrichtlinie einer Behörde bzw. eines Unternehmens muss auf die zusätzlichen Gefahren durch Spyware aktualisiert werden. Hierbei sollte auch klar definiert werden, wie bei einem Spyware-Befall eines IT-Systems vorgegangen werden muss. -
Sensibilisierung der Benutzer
Die Mitarbeiter sind in geeigneten Schulungen oder durch ein Informationsportal im Intranet über die Problematik von Spyware zu unterrichten. Ebenso ist auf die entsprechenden Inhalte in der Sicherheitsrichtlinie hinzuweisen. -
Vermeidung der Darstellung von Webseiten mit aktiven Inhalten
Bei der Internetnutzung sollten Webseiten mit aktiven Inhalten (ActiveX, JavaApplets bzw. JavaScript) vermieden werden. Dies kann durch geeignete Einstellungen im Browser oder durch den Einsatz eines Web-Proxies geschehen. Hierbei ist zunächst zu klären, ob eine strikte Einhaltung dieser Richtlinie eventuell die eigentliche Arbeit nicht behindert. -
Regelmäßiges Einspielen von Software-Updates
Viele Hersteller veröffentlichen regelmäßig Aktualisierungspakete für ihre Software, um bekannte oder mögliche Fehlerquellen und Schwachstellen zu beheben. Diese Updates sollten relativ zeitnah auch eingespielt werden, um der Spyware diesen Zugang zum IT-System zu verwehren. Vorerst muss allerdings geklärt werden, ob durch die Aktualisierung der Software nicht noch andere Probleme entstehen. Die Aktualisierung eines Testsystems wird daher dringend empfohlen, bevor ein Produktivsystem aktualisiert wird. -
Beobachtung der Netz-Protokolle
Ein regelmäßiger Blick in die Protokolldateien des Netzes bringt ebenfalls viele Hinweise zu Tage. Oft sind verhältnismäßig große Datenmengen innerhalb bestimmter Zeitintervalle, z. B. alle 15 Minuten, ein Anzeichen für unerwünschten Datenverkehr. Stellt sich heraus, dass diese Datenmengen immer zu der gleichen Gegenstelle geschickt werden, so ist es wahrscheinlich, dass eine Spyware im internen Netz aktiv ist. Intrusion Detection Systeme (IDS) unterstützen hier die automatische Suche nach solchen Ungewöhnlichkeiten.
Heute erkennen viele Anti-Viren-Programme bereits Spyware, bevor sich diese unbemerkt auf dem IT-System installieren kann. Deshalb sollte stets darauf geachtet werden, dass das eingesetzte Anti-Viren-Programm, wenn möglich täglich, mit aktuellen Viren-Informationen ausgestattet wird. Unterstützt das eingesetzte Anti-Viren-Programm nicht die Erkennung von Spyware, so ist es empfehlenswert, ein eigenes Anti-Spyware-Programm als Einzelprodukt auf den einzelnen IT-Systemen oder als Gateway-Lösung zu installieren.
Ergänzende Kontrollfragen:
- Wurden die Sicherheitsrichtlinien mit den Gefahren und Maßnahmen zu Spyware aktualisiert?
- Sind alle Mitarbeiter auf die Gefahren von Spyware ausreichend sensibilisiert?
- Unterstützt das eingesetzte Anti-Viren-Programm die Erkennung von Spyware? Wenn nein, gibt es ein geeignetes Anti-Spyware-Programm für die Institution?