31. Juli 2008 - Sicherheitslücken in Corporate Blogs

Vermeiden Sie undichte Stellen in der PR-Arbeit!

Blogs, ursprünglich private Internet-Tagebücher, werden nun auch bei Unternehmen für die PR-Arbeit eingesetzt. Firmen erreichen mit diesen Corporate Blogs neue Kundengruppen im Internet und stärken ihr Marken-Image. Gleichzeitig setzen sie sich jedoch unbekannten Gefahren und Attacken aus dem Internet aus. Erfahren Sie, wie Sie den Datenschutz online sichern können.

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Im Oktober 2006 staunten Google-Nutzer nicht schlecht, als sie im offiziellen Google-Blog lasen, dass der Internet-Dienst sein erst kurz zuvor begonnenes Programm „Click-to-Call“ plötzlich beenden wolle.

Auch große Anbieter sind verletzlich

Selbst Google war überrascht, denn diese Nachricht stammte nicht aus der eigenen PR-Abteilung. Einem Hacker war es gelungen, den Blog von Google (http://www.blogger.com) zu manipulieren.

Die Sicherheitslücke wurde zügig geschlossen. Doch der fade Geschmack bleibt, dass sogar ein Blog-Anbieter wie Google trotz umfangreicher Sicherheitsmaßnahmen angreifbar ist.

Nutzen Sie das Potenzial der Blogs

Weltweit gibt es zur Zeit über 55 Millionen private und geschäftliche Blogs. Ihre Anzahl verdoppelt sich gegenwärtig alle fünf Monate. Ein Grund für das rasante Wachstum ist die intuitive Bedienbarkeit eines Blogs.

Leider wird dabei häufig vergessen, dass ein Blog mehr ist als eine schnelle Möglichkeit zur Online-Publikation. Es ist eine dynamische Website mit zahlreichen, zum Teil unsicheren Schnittstellen nach außen.

Aber denken Sie auch an die Gefahren

Während sich Unternehmen eine Stärkung des Marken-Image und eine engere Kundenbeziehung von Corporate Blogs versprechen, versuchen Hacker, die Blogs als Drehscheibe zur Verteilung von Schadprogrammen zu nutzen, den Ruf eines Unternehmens zu schädigen oder Wirtschaftsspionage zu betreiben. Selbst die Beeinflussung eines Aktienkurses durch eingeschleuste Falschmeldungen ist denkbar.

Die umfangreichen Funktionen eines Blogs und die darin veröffentlichten Informationen bergen viele Gefahren, wenn man die undichten Stellen eines solchen Systems nicht schließt.

Die wichtigsten potenziellen Risiken

Die potenziellen Gefahren für ein Corporate Blog betreffen insbesondere

  • Missbrauch von Standard-Funktionen
  • unbewusste Weitergabe von Passwörtern
  • eingeschränkte Möglichkeiten zur Löschung und Änderung von Inhalten
  • unklare Informationspolitik in manchen Unternehmen

Haben Sie ein Auge auf die Kommentarfunktionen und beschränken Sie sie

Die Möglichkeit, einzelne Beiträge eines Blogs durch die Leser kommentieren zu lassen, schafft einen direkten Kontakt zum Kunden. Gleichzeitig können jedoch auch Spammer die Kommentarfunktion nutzen, um ein Blog mit unerwünschten Texten, aber auch mit Schadprogrammen zu kompromittieren.

Achten Sie deshalb auf

  • externe Hyperlinks oder JavaScript-Code in Kommentaren
  • den Einsatz der Anti-Spam-Plugins
  • kritische Moderation von Kommentaren

Sichern Sie den Newsfeed-Generator

Über sogenannte Newsfeeds können Kunden über aktuelle Änderungen in einem Blog informiert werden. Diese Informationen können von den Kunden mit einem modernen E-Mail-Programm empfangen werden.

Newsfeeds enthalten eine Verknüpfung zum neuen Blog-Beitrag (Post). Wurde der Newsfeed-Generator manipuliert, landen die nichtsahnenden Kunden auf einer gefälschten Website, die z.B. für Phishing genutzt werden kann, um an Kundendaten zu gelangen.

Unterbinden Sie Vorveröffentlichungen

Um die Aktualisierung eines Blogs zu erleichtern, ist es oft möglich, Texte bereits vor der Veröffentlichung ins System einzustellen. Die Blog-Software sorgt dann selbstständig für die rechtzeitige Publikation.

Verfolgt man jedoch bei der Titelvergabe der Beiträge ein durchschaubares System, können kundige Leser die Beiträge unter Umständen bereits früher als vorgesehen abrufen. Gerade bei Pressemeldungen von Aktiengesellschaften ist dies ein lohnendes Ziel für Hacker.

Beschränken Sie die Upload-Funktion

Da viele Blogs neben Texten auch Bilder zur Informationsvermittlung nutzen, gibt es in der Regel eine entsprechende Upload-Funktion, die es ermöglicht, Dateien auf den Server zu übertragen. Hacker können manipulierte Dateien als Bilder ausgeben und sie so in das System einschleusen.

Prüfen Sie die Passwortverwendung

Passwörter sind die Schlüssel zu jedem Blog. Nutzen Sie den Passwortschutz, aber kontrollieren Sie die Passwortübergaben.

  • Verwenden Sie Passwörter für einzelne Beiträge oder Themen, um einen geschützten Bereich im Corporate Blog zu erzeugen.
  • Schützen Sie den Zugriff auf die Verbindung zur Blog-Datenbank, meist MySQL. Häufig stehen die Zugangsdaten zur Datenbank lesbar in bestimmten PHP-Skripten der Blog-Software.
  • Verwenden Sie kein Mobiles Blogging (Moblogging), also die Übertragung von Blog-Inhalten über ungesicherte E-Mails oder SMS von unterwegs, denn dazu ist meist die Übertragung der Zugangsdaten in Klarschrift notwendig.
  • Kann auf Moblogging nicht verzichtet werden, löschen Sie alle entsprechenden Nachrichten im E-Mail-Client und halten Sie die E-Mail-Adresse des Blogs geheim.

Achten Sie auf vollständige Löschung

Da Blogs zu den veröffentlichten Informationen einen Zeitstempel anlegen, löschen manche Systeme die Inhalte nicht wie gedacht, sondern die Texte werden wie im Änderungsmodus einer Textverarbeitung nur durchgestrichen.

Die Newsfeeds sind wie versandte E-Mails nicht mehr im direkten Zugriff des Blog-Betreibers. Möchten Sie also einen Beitrag ändern oder löschen, können Teile davon bereits an die Kunden verschickt worden sein und liegen lokal auf den Rechnern der Empfänger. Deshalb muss eine Freigabe zur Veröffentlichung und damit für einen Newsfeed genau überlegt sein.

Kontrollieren Sie die Zugriffsrechte

Die meisten Blogs basieren auf der Skriptsprache PHP. Verschiedene Blogs setzen einen Vollzugriffs für das Lesen, Schreiben und Ausführen von Dateien in den Verzeichnissen voraus, in denen auch die PHP-Skripte liegen. Dadurch können diese durch Hacker verändert werden. Oder zusätzliche PHP-Skripte werden eingefügt, die ungewollte Aktionen verursachen können (serverseitiges Cross Site Scripting, XSS).

Sorgen Sie deshalb dafür, dass

  • .htaccess (Hypertext Access) als zusätzlicher Passwortschutz für Verzeichnisse verwendet wird
  • Direktaufrufe von PHP-Skripts verhindert werden
  • keine verräterischen Fehlermeldungen mit Angabe des Pfads zu den PHP-Skripts ausgegeben werden

Erstellen Sie eine Blog-Policy

Die Informationen, die in einem Blog veröffentlicht werden dürfen, müssen genau definiert werden. Auch das Privileg zur Veröffentlichung von Informationen muss geregelt werden, da die meisten Blogs als Standard vorsehen, dass jeder Nutzer veröffentlichen darf.

Sicherheitstipps für Corporate Blogs

Trotz der Risiken ist die Verwendung eines Corporate Blogs für die Kundenbindung sehr vielversprechend. Achten Sie jedoch auf die Implementierung der beschriebenen Sicherheitsmaßnahmen, um auf die Vorteile eines Blogs nicht verzichten zu müssen.

Die wichtigsten Schutzmaßnahmen für Corporate Blogs

  • Verwendung von .htaccess als zusätzlicher Passwortschutz für Verzeichnisse
  • Einsatz von Anti-Spam-Plugins
  • Erlassen einer Corporate Blog Policy
  • Moderation von Kommentaren, Prüfung auf integrierten Code oder unklare Hyperlinks
  • Verhinderung des Direktaufrufs von PHP-Skripts
  • keine Fehlermeldungen mit Angabe des Pfads zu PHP-Skripts
  • regelmäßige Blog-Backups
  • regelmäßige Updates für Webserver, Blog-Software, Datenbank und PHP
  • Änderung des Administrator-Benutzernamens (meist admin), sonst ist die Hälfte des Logins bereits bekannt

Oliver Schonschek
Oliver Schonschek, Dipl.-Phys., ist freier IT-Fachjournalist und Autor bei den WEKA-Werken „Praxishandbuch Datenschutz“ und „IT-Know-how für den DSB“.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln