Wie Browser-Plugins Unternehmensgeheimnisse preisgeben können

13 Sep 2019

Im Juli 2019 entdeckte der Forscher Sam Jadali mehrere Browsererweiterungen für Chrome und Firefox, die den Browserverlauf erfassen und an Dritte weiterleiten. Darüber hinaus stieß er auf eine Plattform, auf der solche Daten gehandelt werden.

Das allein mag für  viele Nutzern noch nicht alarmierend klingen. Was mag schon passieren, wenn jemand feststellt, dass einer Ihrer Mitarbeiter die Website eines Auftragnehmers besucht oder sich mit dem Unternehmenskonto bei einem sozialen Netzwerk angemeldet hat? Schließlich gelangen die Angreifer lediglich an die besuchte Adresse und können nicht auf andere Informationen zugreifen. Also, wen interessierts? Tatsächlich würde all das stimmen, wenn die Erweiterungen nicht regelmäßig auch interne Unternehmensdaten abfangen und weiterleiten würden.

Links, die alles über Sie enthüllen

Die sozialen Netzwerke und offiziellen Websites Ihrer Auftragnehmer und Partner enthüllen vermutlich keine geheimen Informationen. Sie sollten sich mehr Gedanken über „geschlossene“ Seiten machen, auf die lediglich über individuelle Links zugegriffen werden kann. Denn in Wirklichkeit ist die Verschwiegenheit dieser Seiten auch ihr einziger Schutz, da Außenstehende schlichtweg ihre Adresse nicht kennen. Hier einige Beispiele solcher Seiten:

Online-Konferenzen

Angenommen, Ihr Unternehmen hält häufig Webkonferenzen ab, in denen Mitarbeiter aus verschiedenen Abteilungen aktuelle Pläne besprechen, Brainstorming-Sitzungen organisieren oder ganz einfach Informationen und Anweisungen vom Management erhalten. Es gibt viele Plattformen für die Durchführung solcher Konferenzen. Für die Teilnahme an einer solchen Konferenz ist auf einigen dieser Plattformen ein individuelles Passwort erforderlich. Kleine Unternehmen verwenden jedoch häufig kostenlose oder kostengünstige Lösungen, für die lediglich ein Link erforderlich ist, der eine spezifische Kennung enthält, die der Konferenzveranstalter an alle interessierten Parteien weiterleitet.

Nun stellen Sie sich vor, dass einer der Mitarbeiter eine dieser Browsererweiterung, die Informationen an Außenstehende weiterleitet, installiert hat. Sobald er oder sie an der Konferenz teilnimmt, leitet dieses skrupellose Plugin die dazugehörige URL umgehend an einen öffentlichen Marktplatz weiter. Ein Angreifer, der versucht, Informationen über Ihr Unternehmen zu sammeln, erwirbt dann den Browserverlauf Ihres Mitarbeiters, anhand dessen er erkennt, dass gerade eine dieser „frei zugänglichen“ Konferenzen stattfindet.

Niemand hält den Käufer davon ab, ebenfalls an der Konferenz teilzunehmen. Selbstverständlich erhalten die anderen Teilnehmer eine Benachrichtiung über den Beitritt einer weiteren Person. Doch wenn mehrere Dutzend Personen in einem solchen virtuellen Meeting mitwirken – und sich womöglich nicht einmal kennen –  wird sich wohl kaum jemand für einen weiteren, unbekannten Teilnehmer interessieren.

Online-Rechnungen von Anbietern und Lieferanten

Möglicherweise verwenden die Anbieter und Lieferanten Ihres Unternehmens Online-Abrechnungsdienste. Bei einigen solcher Services kann auf Zahlungsrechnungen über einen spezifischen Link zugegriffen werden, der öffentlich zugänglich ist. Wenn ein Angreifer Zugriff auf eine solche Rechnung erlangt, kann er den Namen und die Adresse Ihres Unternehmens und des Zulieferunternehmens, den bezahlten Betrag und andere Informationen ganz einfach herausfinden.

Ja, in den meisten Fällen bleibt es dabei und nichts Schlimmes passiert, wenn solche Informationen in die falschen Hände geraten. Doch für jemanden, der Social-Engineering-Techniken effektiv einsetzt, enthalten diese Rechnungen wertvolle Informationen.

Arbeitsdokumente

Viele Unternehmen nutzen Online-Dienste wie Google Drive für eine bessere Zusammenarbeit. Theoretisch können Sie Außenstehenden den Zugriff auf Dateien verweigern. Doch nicht jeder legt derartige Einschränkungen bei der Freigabe und dem Teilen von Dateien fest. Häufig kann jeder, der über einen Link zu einer Datei verfügt, das Dokument anzeigen und sogar bearbeiten.

Und derartige Dokumente können jegliche Arten von Informationen enthalten: Angefangen bei Kostenvoranschlägen bis hin zu detaillierten persönlichen Informationen von Mitarbeitern.

So schützen Sie sich vor großangelegten Datenlecks

Um das Risiko eines solchen Datenlecks zu minimieren, sollten Sie Ihre Mitarbeiter kontinuierlich daran erinnern, vor der Installation von Browsererweiterungen äußerste Vorsicht walten zu lassen und den Zugriff auf spezifische Dokumente einzuschränken, sofern der von ihnen verwendete Onlinedienst dies zulässt. Grundsätzlich sollte lediglich eine reduzierte Liste überprüfter Browsererweiterungen genehmigt und alles andere als potenziell gefährlich eingestuft werden.

Darüber hinaus sollten Sie die Onlinedienste, die Ihr Unternehmen verwendet, analysieren und diejenigen identifizieren, die den Zugriff ohne weitere Authentifizierungsmaßnahmen über einen Link ermöglichen. Suchen Sie gegebenenfalls nach einer sichereren Alternative.

Abschließend ist die Installation einer zuverlässigen Sicherheitslösungauf jedem Unternehmenscomputer ein absolutes Muss, um jegliche Versuche, eine böswillige Erweiterung oder andere Cyberbedrohungen zu installieren, zu verhindern.