Vielen Firmen ist nicht bewusst, dass bei der Nutzung von Instant Messaging und Peer-to-Peer-Kommunikation durch die Mitarbeiter die IT-Netze quasi nackt daliegen. Damit sind diese jeglichen Angriffen und Infektionen aus dem Internet durch Viren, Würmer, Spyware-Applikationen oder mehrschichtige Angriffe wie Blended Threats ausgesetzt.
Im Rahmen der aktuellen Studie, die durch das Global Internet Threat Center von SurfControl durchgeführt wurde, gaben 7.593 Firmen Auskünfte zu ihren IT-Security-Richtlinien bei der Internet-Nutzung am Arbeitsplatz. Während mehr als 90 Prozent der Umfrageteilnehmer aussagten, sie verfügten über klare Sicherheitsvorschriften für den Internet- und E-Mail-Zugang am Arbeitsplatz, existieren bei nahezu der Hälfte, nämlich bei 49 Prozent, keinerlei Regularien zur Nutzung von IM- und P2P-Applikationen durch die Mitarbeiter. Die Experten von SurfControl warnen eindringlich, dass Firmen dadurch einer ganzen Reihe von neuen Sicherheitsrisiken ausgesetzt sind, die sich über Instant Messaging und Peer-to-Peer massenhaft verbreiten.
"So attraktiv und nutzerfreundlich Instant Messaging und Peer-to-Peer-Anwendungen für die Mitarbeiter auch sein mögen, die Risiken für die Unternehmen bei dieser Form der Internet-Kommunikation stehen dazu in keinem Verhältnis", so Gernot Huber, Marketing Manager Central Europe von SurfControl. "Es kann und darf nicht sein, dass hierbei geeignete Vorschriften und Schutzmaßnahmen fehlen. Ich brauche keine Hightech-Schutzmauer zu errichten, wenn in der Mitte ein riesiges Loch klafft. Die Kosten, die durch übertragene Viren, Würmer, Spyware-Applikationen und Blended Threats über Instant Messaging und Peer-to-Peer entstehen, sind für kein Unternehmen tragbar", warnt Gernot Huber.
(weiter auf der nächsten Seite)
Einfach zu nutzen
Die allgemeine Verfügbarkeit von IM- und P2P-Applikationen im Internet und ihre kinderleichte Anwendung hat dem Instant Messaging und der Peer-to-Peer-Kommunikation zu einem regelrechten Siegeszug verholfen. Laut Osterman Research gibt es in etwa 90 Prozent aller Firmen mittlerweile Mitarbeiter, die im Jahr 2004 mindestens eine Art von IM-Applikationen genutzt haben. Immer mehr Berufstätige entdecken IM als eine schnelle, einfache und zuverlässige Möglichkeit, mit Kollegen und Kunden zu kommunizieren.
Gleichwohl erkennen nur wenige Organisationen die Nutzung von Instant Messaging als offizielle Kommunikationsform für den Geschäftsverkehr an. Nach einer jüngst durchgeführten Studie der American Management Association haben 78 Prozent der Mitarbeiter, die IM am Arbeitsplatz nutzen, bereits kostenlose IM-Software aus dem Internet heruntergeladen, ohne sich der Risiken durch solche Downloads bewusst zu sein.
Am beunruhigendsten ist die Tatsache, dass in sämtlichen gängigen Instant-Messaging-Clients nach wie vor gravierende Angriffspunkte für Buffer Overflows und Denial-of-Service-Angriffe sowie unzureichende Verschlüsselungen vorliegen, die von Angreifern auch entsprechend ausgenutzt werden.
(weiter auf der nächsten Seite)
Kaum zu kontrollieren
Paradoxerweise nannte die Mehrheit der Teilnehmer der SurfControl-Studie den Schutz vertraulicher Daten als einen ihrer wichtigsten Sicherheitsaspekte. 83 Prozent räumten diesem Thema sogar "höchste Priorität" ein.
Gernot Huber von SurfControl verweist speziell auf diesen Widerspruch und betont, dass gerade die Datenübertragung per IM und P2P keinerlei Kontrolle über die Art der vermittelten Inhalte bietet. Denn diese Datentransfers sind fast immmer unverschlüsselt beziehungsweise haben keine kryptografische Signatur, was es externen Angreifern ermöglicht, an vertrauliche Firmendaten über Netzwerk-Snooping, gefälschte Personenangaben (Impersonation-Attacken) und Hijacking-Angriffe zu gelangen. Der Nachweis solcher Transaktionen ist dann im Nachhinein praktisch unmöglich.
Dazu Huber weiter: "Ohne entsprechende Überwachung werden Instant-Messaging-Applikationen allzu leicht zum Medium für die versehentliche oder vorsätzliche Offenlegung sensibler Firmeninformationen, seien es nun finanzielle Angaben, Personalakten oder Kundendaten. An dieser Stelle muss die Geschäftsleitung gemeinsam mit dem IT-Management und der Personalabteilung ein Dreierbündnis aufbauen, um wirkungsvolle Nutzungsrichtlinien zu entwickeln, die dann von den Mitarbeitern auch konsequent eingehalten werden."
(weiter auf der nächsten Seite)
Abwehrmaßnahmen
SurfControl rät zu folgenden Vorsorgemaßnahmen:
Einführung und Gewährleistung von klaren firmeninternen Richtlinien zur Nutzung von Instant Messaging und Peer-to-Peer-Anwendungen am Arbeitsplatz. Aufklärung aller Mitarbeiter in Bezug auf Sicherheitsrisiken und Aufforderung zur konsequenten Einhaltung der Vorschriften mit dem deutlichen Hinweis auf Konsequenzen bei einer etwaigen Missachtung. Mitarbeiter sollten niemals Links in unaufgefordert eintreffenden oder verdächtigen IM-Kommunikationen öffnen. Allein der einfache Besuch einer Website kann eine Vielzahl von Sicherheitsrisiken zur Folge haben. Implementierung eines Content-Filter-Tools, das in Echtzeit die Anwendung von Instant-Messaging-Applikationen (AOL/ICQ, MSN und Yahoo!) sowie der gängigsten P2P-Netzwerke (Gnutella, FastTrack, WinMX) feststellen und blockieren kann.
Weitere Informationen zum Einsatz von Content-Security-Richtlinien finden sich auch in einem Whitepaper von SurfControl mit dem Titel "Developing An Internet Access Policy" bei SurfControl.
Über aktuelle Sicherheitslücken informieren Sie die Security Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hochkritischen Lücken per Security Alert informieren zu lassen. Den tecCHANNEL Security Newsletter können Sie hier kostenlos bestellen. Dort haben Sie auch die Möglichkeit, eine tägliche Zusammenfassung zu abonnieren. (mec)
|
tecCHANNEL Buch-Shop |
|
|---|---|
|
Literatur zum Thema Sicherheit |
Titelauswahl |
|
Titel von Pearson Education |
|
|
PDF-Titel (50% billiger als Buch) |