Surfen am Arbeitsplatz

31. März 2011 10:40; Akt: 31.03.2011 10:58 Print

Was tun, wenn Facebook und Co. gesperrt sind

von Gérard Moinat - Viele Firmen untersagen ihren Mitarbeitern das grenzenlose Surfen im Internet. Doch es gibt Tricks, die Sperren zu umgehen.

storybild

Spiegeln von Websites ist eine Möglichkeit, eine Firewall zu umgehen. (Bild: Keystone)

Zum Thema
Fehler gesehen?

Für jeden, der bei Schweizer Banken, Versicherungen oder beim Bund arbeitet, ein altes Lied: Facebook-Zugang gesperrt, Abrufen von Gratis-Mail-Accounts untersagt und Twitter nicht erreichbar. Der Arbeitsbeginn am frühen Morgen ein einziger Frust.

Schuld daran sind sogenannte Firewalls und Proxyserver, mit denen Firmen ihr Netzwerk absichern um die Angriffsfläche für Viren möglichst klein zu halten. Eine Firewall definiert, wer in einem Netzwerk mit wem über welche Kanäle kommunizieren kann, erklärt Christoph Bucher. Er ist Hacking- und Cracking-Experte am Institut für Wirtschaftsinformatik an der Hochschule Luzern.

«Eine Firewall kann zum Beispiel festlegen, dass ein Benutzer aus dem Firmennetzwerk nicht direkt die Webseite von Online-Shops im Internet aufrufen kann», so Bucher. Der Grossteil der Unternehmen betreibt dazu einen firmeneigenen Proxyserver. Der Aufruf ist nun lediglich über diesen Server möglich, der quasi als «Vermittler» zwischen dem internen Firmennetzwerk und dem Internet dient.

Praktisch jedes Unternehmen filtert

Fast alle Firmen hätten gewisse Massnahmen implementiert, um den Datenstrom aus dem Internet zu kontrollieren, sagt Serge Droz, Leiter der Sicherheitsabteilung von Switch, der Internet-Domain-Registrierungsstelle der Schweiz. «Jede Organisation wird beispielsweise E-Mails mit schädlichen Inhalten wie Viren etc., aber auch Spam filtern.»

Auch blockieren die meisten Proxys URLs, respektive Domains, die auf einer Blacklist stehen. Ruft ein Benutzer eine verbotene Webseite auf, so wird der Benutzer die Webseite nicht zu Gesicht bekommen, so Bucher.

Neben dem Sperren von URLs haben Firmen auch die Möglichkeit, Inhalte zu analysieren und zu filtern. Droz: «Beispielsweise Bilder mit vielen Rosatönen.» Proxys können Inhalte auch auf «verbotene» Worte hin untersuchen oder sie können feststellen, ob versucht wird, gefährliche Daten in Form von Viren, Würmern, Trojanern und anderer Malware zu übertragen, so Bucher.

Haufenweise Umgehungsmöglichkeiten

«Gemeinsam ist diesen Methoden», streicht Droz heraus, «dass sie sehr unzuverlässig sind und leicht umgangen werden können.» Beispielsweise indem man über einen öffentlichen Proxyserver surft. Dabei sorgt man dafür, dass der Verbindungsaufbau ins Internet eben nicht über den restriktiven Proxy der Firma erfolgt, sondern über einen frei zugänglichen, öffentlichen Proxyserver – ohne Installation von Software. Auf dem eigenen Computer kann man damit indirekt Webseiten abrufen, so dass die Sperre auf dem Firmen-Proxy wirkungslos bleibt.

Eine einfache Google-Suche nach «Open Proxies» liefert entsprechende Listen solcher öffentlichen Proxys. Man braucht dann bloss noch den Webbrowser so zu konfigurieren, dass statt des Firmen-Proxys die Verbindung über einen öffentlichen Proxys aufgebaut wird. Die Geschwindigkeit einer solchen Verbindung ist jedoch oft «ziemlich lahm», so Bucher. Zudem hat der Betreiber des öffentlichen Proxy die Möglichkeit, sämtliche über ihn aufgebaute Verbindungen (inhaltlich) zu analysieren.

Die Unternehmen sind nicht blöd: Sie kennen diese Methoden und sperren deshalb auch etliche Zugänge. Das Problem aber: «Die Liste verfügbarer Proxies ändert ständig und deshalb ist ein Sperren aller Proxies praktisch unmöglich», erklärt Thomas Dübendorfer Präsident der Information Security Society Switzerland (ISSS). Firmen, die sich den Aufwand leisten und solche Listen nachführen, sind gemäss Droz lediglich grosse Organisationen in einem regulierten Umfeld wie beispielsweise der Finanzindustrie.

Alternative: Anonymisierdienste

Doch es gibt andere, noch ausgefeiltere Methoden, die es sogar möglich machen zu verschleiern, was man im Internet aufruft. «Mit sogenannten SSL Proxies kann man den Verkehr zum Proxy auch gleich noch verschlüsseln, sodass nur noch wenige Firewalls mitbekommen, welche Website man tatsächlich aufruft», sagt Dübendorfer.

Dazu verwendet man einen Anonymisierdienst: Das Prinzip dabei ist dasselbe wie beim Verwenden eines öffentlichen Proxyservers – der Aufruf der gesperrten Webseite erfolgt nicht über den Firmen-Proxy, sondern über einen «alternativen» Weg. «Verschiedene Webseiten bieten die Möglichkeit an, andere Webseiten anonym aufzurufen», sagt Bucher.

Für technisch versiertere Anwender gibt es auch VPN (virtual private network)-Software, die beliebige verschlüsselte Kommunikation nach aussen ermöglicht. Ebenfalls lassen sich auf dem Computer Programme installieren, welche den gesamten Netzwerkverkehr anonymisieren.

Surfen über Smartphone und Padcomputer

Eine bedeutend harmlosere Variante ist das Verwenden eines fremden Netzwerkes statt des Firmennetzwerkes. Andrea Back vom Institut für Wirtschaftsinformatik an der Universität St. Gallen weiss von Bekannten, die beispielsweise ihr privates Smartphone oder Padcomputer ins Büro mitnehmen, und diese nutzen, um frei ins Internet zu gehen. Beispielsweise um zu Twittern oder YouTube-Videos anzuschauen. «Dazu muss man nicht hacken», so Back.

Eine andere Methode: Mittels sogenanntem «Tethering» lässt sich via Smartphone auch mit dem PC/Laptop eine Verbindung ins Internet aufbauen, wenn Smartphone und Rechner miteinander verbunden werden. Bucher: «Ist vom Büro aus der WLAN-Hotspot des benachbarten Internet-Cafés erreichbar, ergibt sich dadurch eine weitere Möglichkeit, ‚ungehindert’ zu surfen.»

Führen vor Verbieten

Technische Schutzmauern alleine würden den Zweck kaum je erfüllen, weiss Droz. Denn in vielen Fällen führten technische Massnahmen zum gegenteiligen Effekt. «Mitarbeiter sind sehr kreativ, wenn es darum geht, Massnahmen, deren Grund sie nicht sehen und die sie am Arbeiten hindern, zu umgehen.» Und dies führe dann oft zu noch grösseren Löchern in der Sicherheits-Infrastruktur.

Droz sind Fälle bekannt, in denen Mitarbeiter sich für wenig Geld GSM-fähige Netbooks kauften und die gesamte Firmenkorrespondenz auf ein privates Mail-Konto weiterleiten, weil sie von dort, über ihr Netbook, ungehindert arbeiten können. Wichtig sei deshalb, dass Firmenchefs und Sicherheitsverantwortliche das Warum einer Massnahme klar begründen.

Zudem werde oft vergessen, dass es nicht nur Risiken, sondern auch Chancen gibt. «Mitarbeiter haben so schneller Zugriff auf Information und können in ihrem Social Network einen Kollegen um Hilfe bitten.» Diese wird dann, bei entsprechendem Zugriff, in der Regel auch innert Kürze geliefert. Droz: «Gute Chefs haben Mitarbeiter, die verantwortungsbewusst surfen.»