2005-09-02 17:03:58

Das Scheunentor zum World Wide Web

Bei Instant Messaging und Peer-to-Peer-Anwendungen versagt das Sicherheitsdenken, so eine aktuelle SurfControl Studie.

Fritz Katz

Druckversion

Fast die Hälfte der ca. 7.600 vom Global Internet Threat Center befragten Firmen treffen keine Sicherheitsmaßnahmen für diese Anwendungen, und zwar meistens aus Unwissenheit. Vielen Firmen ist nicht bewusst, dass bei der Nutzung von Instant Messaging und Peer-to-Peer-Kommunikation durch die Mitarbeiter die IT-Netze quasi nackt daliegen und damit jeglichen Angriffen und Infektionen aus dem Internet ausgesetzt sind, seien es nun Viren, Würmer, Spyware-Applikationen oder mehrschichtige Angriffe wie Blended Threats. Während mehr als 90 Prozent der Umfrageteilnehmer aussagten, sie verfügten über klare Sicherheitsvorschriften für den Internet- und Email-Zugang am Arbeitsplatz, existieren bei nahezu der Hälfte, nämlich 49 Prozent, keinerlei Regularien zur Nutzung von IM- und P2P-Applikationen durch die Mitarbeiter.

Instant-FalleDie allgemeine Verfügbarkeit von IM- und P2P-Applikationen im Internet und ihre kinderleichte Anwendung hat dem Instant Messaging und Peer-to-Peer-Kommunikation zu einem regelrechten Siegeszug verholfen. Laut Osterman Research gibt es in etwa 90 Prozent aller Firmen mittlerweile Mitarbeiter, die im Jahr 2004 mindestens eine Art von IM-Applikationen genutzt haben. Immer mehr Berufstätige entdecken IM als eine schnelle, einfache und zuverlässige Möglichkeit, mit Kollegen und Kunden zu kommunizieren. Gleichwohl erkennen nur wenige Organisationen die Nutzung von Instant Messaging als offizielle Kommunikationsform für den Geschäftsverkehr an. Nach einer jüngst durchgeführten Studie der American Management Association haben 78 Prozent der Mitarbeiter, die IM am Arbeitsplatz nutzen, bereits kostenlose IM-Software aus dem Internet heruntergeladen, ohne sich der Risiken durch solche Downloads bewusst zu sein. Am beunruhigendsten ist die Tatsache, dass in sämtlichen gängigen Instant Messaging Clients nach wie vor gravierende Angriffspunkte für Buffer Overflows und Denial-of-Service-Angriffe sowie unzureichende Verschlüsselungen vorliegen, die von Angreifern auch entsprechend ausgenutzt werden. Wissen nicht, was sie tunParadoxerweise nannte die Mehrheit der Teilnehmer der SurfControl-Studie den Schutz vertraulicher Daten als einen ihrer wichtigsten Sicherheitsaspekte. 83 Prozent räumten diesem Thema sogar „höchste Priorität“ ein. Gerade bei der Datenübertragung per IM und P2P gibt es keinerlei Kontrolle über die Art der vermittelten Inhalte. Denn diese Datentransfers sind fast immer unverschlüsselt bzw. haben keine kryptografische Signatur, was es externen Angreifern ermöglicht, an vertrauliche Firmendaten über Netzwerk-Snooping, gefälschte Personenangaben (Impersonation-Attacken) und Hijacking-Angriffe zu gelangen. Der Nachweis solcher Transaktionen ist dann im Nachhinein praktisch unmöglich.

Unser-Tipp:Ohne entsprechende Überwachung werden Instant-Messaging-Applikationen allzu leicht zum Medium für die versehentliche oder vorsätzliche Offenlegung sensibler Firmeninformationen, seien es nun finanzielle Angaben, Personalakten oder Kundendaten. An dieser Stelle muss die Geschäftsleitung gemeinsam mit dem IT-Management und der Personalabteilung ein Dreierbündnis aufbauen, um wirkungsvolle Nutzungsrichtlinien zu entwickeln, die dann von den Mitarbeitern auch konsequent eingehalten werden.“