Vertrauliche Informationen sollten geschützt sein – sind es aber oft nicht. Viele Dokumente, die nicht für die Allgemeinheit zugänglich sein dürften, liegen offen auf Firmen-Servern. Über das Internet kommt jeder an die Infos heran – es ist nicht mal ein Passwort nötig, um sie zu lesen. Man findet die Dateien per Google: Jeder, der die richtigen Suchbefehle kennt, kann auf sie zugreifen. Die Suchmaschine indiziert stur alles, was ihre Roboter beim Abgrasen des Internets finden. Google erfasst also auch Dokumente, die auf nicht-öffentlichen Servern liegen und lediglich durch fehlerhafte Einstellungen permanent oder vorübergehend von überall her einsehbar sind.
Das gilt übrigens nicht nur für Dokumente, sondern auch für Netzwerk-Geräte wie Überwachungskameras und Drucker. Diese besitzen eingebaute Mini-Webserver, damit sie sich per Browser einstellen oder steuern lassen. Fehlen Firewall und Passwortschutz, lassen sich die Konfigurationsseiten oft über Google aufspüren.
Vertrauliche Dokumente finden
Gibt man bei Google Vertraulichkeitsklassifizierungen wie »internen Gebrauch« oder »internal use« ein, erhält man über eine Million Ergebnisse. Ergiebig sind auch Begriffe wie »vertraulich« oder »confidential«. Auf Anhieb ist zu erkennen: Hier wird so einiges aufgelistet, das definitiv nicht für eine breitere Öffentlichkeit bestimmt ist.
Suche auf Dokumente eingrenzen: Google lässt sich anweisen, nur nach bestimmten Dateitypen zu suchen, etwa nach Word- oder Excel-Dokumenten. Dies verfeinert das Ergebnis, denn die meisten internen Dateien werden mit Office-Anwendungen erstellt. Google kennt viele Formate, die sich über Parameter vorgeben lassen. Diese Schalter kann man einfach hinter den Suchbegriffen anfügen, etwa für Word »filetype:doc«, für Excel »filetype:xl«, für Powerpoint »filetype:ppt« und für PDF »filetype:pdf«.
Eine Suchabfrage sieht dann beispielsweise folgendermaßen aus wie »internen gebrauch filetype:doc«. Bequemer läuft die Selektion von Dateitypen auf der Seite »Erweiterte Suche«. Die Dokumente lassen sich zum Teil auch betrachten, ohne dass der Finder zum ungesicherten Server Kontakt aufnehmen muss. Das ist möglich, wenn neben einem Google-Treffer der Link »HTML-Version« steht. Diese Version generiert Google, damit man sich die gefundene Datei im Browser ansehen kann, ohne die betreffende Anwendung.
Server-Verzeichnisse von Firmen
Viele Site-Betreiber reservieren auf ihren Servern Platz für die Datensicherung und für Dateien und Programme, auf die etwa alle Angestellten zugreifen können. Oft werden diese Bereiche so weit geöffnet, dass Mitarbeiter im Außendienst und im Home Office Zugriff darauf haben. Manchmal kommt es zu fehlerhaften Einstellungen der Firewall oder des Server.
Brisante Dokumente und peinliche Schnappschüsse: Auf »Für alle«-Freigaben befinden sich häufig Daten, die das Unternehmen nicht verlassen sollten. Oft ist es gar nicht mal das aktuelle Budget oder die geheime Strategie für die nächsten Jahre. Mal sind es die Fotos vom letzten Betriebsfest, mal MP3-Audiodateien, die jemand am Rande der Legalität den Kollegen zur Verfügung stellt. Über Google lassen sich diese internen Bereiche leicht finden, wenn die IT-Verantwortlichen der Firmen sie unzureichend geschützt haben. Die Inhalte der Verzeichnisse auf dem Server beginnen meist mit »Index of /«.
Wer Google nun einfach danach suchen lässt, bekommt allerdings zu viele Resultate – man muss weiter selektieren. »Index of /" +PDF«
liefert ein übersichtlicheres Ergebnis. Sie finden damit Server, auf denen Unterverzeichnisse namens PDF und Dateien mit der Endung PDF existieren. Das Suchergebnis lässt sich verfeinern, indem man die Option „Seiten aus Deutschland“ aktiviert. Häufig stößt man so auf Firmenberichte sowie auf Examens- und andere wissenschaftliche Arbeiten.
MP3s und Filme
Rechtlich äußerst spannend wird es, wenn die Suchanfrage »Index of /" +MP3« lautet und so gezielt MP3-Dateien aufspürt. Was da alles zur allgemeinen firmen-internen Verwendung auf Server geladen wurde und sich nun weltweit downloaden lässt, bleibt besser unkommentiert. Ähnlich sieht es bei Video-Dateiformaten wie ASF, AVI, MPG oder WMV aus. Hineinschauen dürfen Sie in solche ungeschützten Verzeichnisse schon, aber vom Download urheberrechtlich geschützter Dateien sollten Sie absehen.
Backup-Server als Fundgrube
Verwenden Sie in Ihrem Unternehmen zur Datensicherung ein Server-Laufwerk? Dann sollten Sie sicher sein, dass es richtig konfiguriert ist. Andernfalls können nicht nur deutsche Surfer, sondern Internet-Nutzer aus aller Herren Länder auf die Daten zugreifen, die dort liegen. Mit der Suchanfrage „Index of /backup“ (mit Anführungszeichen) kann man auf ungesicherte Daten zugreifen. So stoßen Neugierige auf Bewerbungsschreiben, Firmen-Mails und teure Anwendungs-Software, die Nutzer in ein Backup-Verzeichnis kopiert haben.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.