Echtzeit-Kommunikation per Instant Messaging erfordert nicht nur topaktuellen Antivirenschutz und ein umsichtiges Verhalten. Unternehmen stehen vor der Herausforderung, entsprechende Tools in ein Schutzkonzept zu integrieren.
Die Zahl der Sicherheitslücken bei weit verbreiteten Instant-Messaging-Programmen (IM) nimmt weiter zu. Auch das von Microsoft veröffentlichte Security-Bulletin[1] für den Monat September zeigt eine Schwachstelle beim Windows Live Messenger[2] sowie MSN Messenger[3].
Der Instant-Messaging-Client verarbeitet Webcam-Sitzungen und Video-Chats nicht korrekt, so dass ein Angreifer beliebigen Code ausführen kann, lässt der IT-Konzern verlauten. Dazu muss er sein potenzielles Opfer "nur" zu einer entsprechenden Webcam- oder Video-Chat-Sitzung einladen.
Oftmals werden die Nutzer von vermeintlichen Bekannten aber auch auf "coole" Webseiten gelockt, wo dann ein Schädling auf sein Infektionsopfer wartet. Auch Skype[4] gerät wiederholt in die Schusslinie, nachdem das Unternehmen ohnehin durch Systemausfälle von sich Reden gemacht hat.
Die Ebay-Tochter warnte die Nutzer des Netzwerkes kürzlich vor einer neuen Wurmvariante. Der von den Entwicklern als Ramex.a[5] und von Symantec als Pykspa.d bezeichnete Schädling weist das typische Verhalten eines Instant-Messaging-Wurms auf. Sobald er sich auf dem PC eingenistet hat, nimmt er mit allen Nutzern in der Skype-Liste Kontakt auf.
In den Nachrichten befindet sich dazu ein Link zu einem Bild, hinter dem sich allerdings eine verschleierte ausführbare Datei (SCR) versteckt, die den Wurm automatisch installiert. Dass in diesem und auch in vielen anderen Fällen die meisten Antivirenanbieter bereits Updates für ihre Software veröffentlicht haben, um den Schädling vor der Infektion zu eliminieren, ist für die Endanwender jedoch oftmals nur ein geringer Trost.
Denn die Schutzarmada der gängigen Abwehrprogramme lässt sich prinzipiell umgehen, gibt Sicherheitsanbieter Akonix[6] zu bedenken, da laut dem Unternehmen nur die wenigsten Virenscanner in der Lage sind, die auf dem Client per IM empfangenen Daten überhaupt zu überprüfen. Der anschließende Scan bleibe dann meist wirkungslos, da das System bereits kompromittiert sei.
Mit Hilfe ausgefeilter Social-Engineering[7]-Techniken sind die Autoren außerdem in der Lage, dem Anwender komplett gefälschte Nachrichtenblöcke zu unterschieben. Im Prinzip gelten zwar dieselben Empfehlungen wie bei der E-Mail-Nutzung, nämlich keine verdächtigen Anhänge und Links anzuklicken. Die Nachrichten können aber auch von bekannten Kontaktadressen stammen, und die Individualisierung der Angriffsmuster schreitet unaufhaltsam voran.
Die Gutgläubigkeit der Nutzer tut ein Übriges. Nach einer Studie von Trend Micro sind mobile Kommunikatoren wesentlich risikofreudiger als klassische PC-Anwender. Je mobiler ein Endanwender sei, desto wahrscheinlicher versendet er vertrauliche Informationen über potenziell unsichere Instant-Messaging- oder Web-Mail-Dienste versenden.
So gaben immerhin gut die Hälfte der deutschen Laptop-Nutzer gegenüber Trend Micro an, schon einmal ausführbare Dateien über das Unternehmensnetzwerk heruntergeladen zu haben. Bei Desktop-Nutzern waren es im Vergleich dazu nur 41 Prozent. Erschwerend kommt hinzu, dass sich die Grenzen zwischen privater Nutzung und betrieblichen Anwendungen immer mehr vermischen.Inzwischen haben auch die Firmenchefs die Vorteile der zahlreichen IM-Dienste wie Aim, Yahoo Messenger, Google Talk, MSN Messenger, ICQ oder Jabber erkannt. Sie akzeptieren die schicken Tools zunächst unter der Prämisse, dadurch nicht nur eine raschere Kommunikation zu ermöglichen, sondern auch einer produktiven oder zumindest effizienteren Zusammenarbeit nicht im Wege zu stehen.
Auch professionelle Anwendungen wie IBM Lotus Notes sind längst flächendeckend auf den Zug aufgesprungen. Allerdings gibt es eine relativ große Produktauswahl und derzeit keinen einheitlichen Standard. Die Nutzung von IM ist im Unternehmensnetzwerk zwar immer häufiger anzutreffen, jedoch keineswegs ungefährlich, so Sicherheitsspezialist Infowatch in der Studie "IM - Instant Messenger oder Informations-Missbrauch?[8]".
Zu schaffen machen den Spezialisten im Unternehmen außerdem heterogene, von synchronen und asynchronen Tools geprägte Lösungslandschaften. Das Management der Inhalte wird durch das von der Open-Source-Szene geprägte Web 2.0[9] kaum einfacher, obwohl dies gelegentlich behauptet wird.
Neben den technischen Tools zur Verbesserung der Kommunikation, neudeutsch "Workflow", stehen vor allem Wertschöpfungspotenziale im Vordergrund, mit dessen Hilfe sich eine bessere Zusammenarbeit nicht nur mit einer internen Effizienzsteigerung verbinden lässt, sondern auch mit konkreten kundenwerten Vorteilen verknüpft ist. Im Fachjargon nennt sich dieser meist sehr stark auf das Customer Relationship Management (CRM[10]) gemünzte Trend "Real Time Collaboration" (RTC).
Das denkbare Spektrum an Anwendungen ist vielfältig und umfasst jenseits von Instant Messaging auch Gruppenchat, Themenmanagement, Whiteboard Collaboration, Application und Desktop Sharing, Co-browsing, Voice over IP sowie Video- und Audio-Conferencing-Tools. Neben Branchengrößen wie IBM, Microsoft, Novell, Lotus, SAP und Oracle tummeln sich zahlreiche Integrationsspezialisten.
Diese sehen sich mit einer fast unüberschaubaren Anzahl an proprietären und offenen Lösungsansätzen konfrontiert, die sich mit Blick auf die IT-Sicherheit nur schwerlich überblicken lassen. Laut IBM lassen sich mittlerweile sogar mobile Endgeräte wie PDAs in eine serviceorientierte Architektur (SOA[11]) einbinden. Über Instant Messaging sind entsprechende Anwendungen auf mobilen Endgeräten wie dem Blackberry verfügbar. Dabei gilt es, die bekannten Sicherheitsrisiken nicht außer Acht zu lassen.
Die flächendeckende Einführung derartiger Tools begründen die Unternehmenslenker vor allem mit dem Argument, dass Call Center, Kundendienst und Help Desks profitieren, weil die Mitarbeiter mit Hilfe von IM-Anwendungen rascher als bislang auf verstreute Informationsbestände zugreifen könnten. Die Zeit wird zeigen, ob sich der mobile Zugriff mit Blick auf das Management der IT-Sicherheit noch handhaben lässt.
Das primäre Risiko, mit dem Unternehmen konfrontiert sind, besteht nach Auffassung der Experten von Infowatch vor allem im Abfluss vertraulicher Daten. Oftmals nutzen die Anwender gleich mehrere IM-Programme, was die Wahrscheinlichkeit möglicher Risiken zusätzlich erhöht. Aber nur etwas mehr als die Hälfte der von der Kaspersky-Tochter befragten Anwender schützt sich ganz gezielt vor möglichen Gefahren. Die Ergebnisse der Studie[8] zeigen, dass das am häufigsten genannte Risiko eines Abflusses vertraulicher Unternehmensdaten insbesondere die Fahrlässigkeit der Mitarbeiter ist. Aber auch geplante Insider-Aktionen sind ein Faktor. Allerdings lässt sich dieser sensible Bereich nur schwer messen. Fakt ist, nur knapp über die Hälfte der Befragten sind sich überhaupt sicher, dass sie niemals vertrauliche Informationen über IM verschickt haben.
Bislang reagieren die Verantwortlichen eher mit sprunghaften Ad-hoc-Maßnahmen als mit klaren Regeln für die Benutzer, wie etwa den Traffic einfach zu blockieren. Leistungsfähige Tools, die den Netwerkzugriff regeln, finden besonders in sensiblen Bereichen wie der Finanzbranche Eingang. Einzelne Applikationen wie Peer-to-Peer-Anwendungen oder Instant-Messaging-Programme lassen sich auf den Rechnern von Bankangestellten komplett unterbinden. Häufig wird die Verbotspolitik jedoch mit dem Argument begründet, dass die IT-Abteilung dadurch keine unnötige Bandbreite beansprucht.
Noch wenig verbreitet sind bislang Kontrollmaßnahmen wie das Monitoring. Die Einführung derartiger Tools ist offensichtlich nicht nur mit technischen Problemen verbunden, sondern sieht sich auch einem gewissen Misstrauen seitens der Mitarbeiter ausgesetzt.
Die sukzessive Einführung von integrierten Lösungen rund um Unified Communications macht die Definition einer adäquaten Schutzstrategie rund um Instant Messaging komplizierter. Die "neue Generation echtzeitbasierter IP-Kommunikation" erschwert für die Security-Professionals den Überblick über die zahlreichen Kommunikationslandschaften.
Die Einführung von klaren Regeln (Policies) fällt schwer. Sie ist nach Auffassung von Infowatch aber die beste aller möglichen Lösungen, um die Risiken zumindest zu minimieren, die aus IM-Programmen resultieren. Andererseits besteht bei den Anwendern durchaus eine gewisse Skepsis, ob die Regeln im Alltag tatsächlich greifen. Bremst das Unternehmen nämlich dynamische Kommunikationsrituale all zu sehr aus, kann dies von den Mitarbeitern als eine Art "Überwachungsstaat" angesehen werden.Nach Meinung der Experten steht künftig die gesetzeskonforme Archivierung[12] des Traffics hoch im Kurs. Schon das Speichern von Informationen verringere die Wahrscheinlichkeit eines Datenlecks, so die Experten von Infowatch. Nicht nur verhielten sich die Anwender dadurch umsichtiger als zuvor. Trete dennoch ein Informationsleck auf, so sei zudem die Spur zum Betrüger anhand der gespeicherten Daten rückverfolgbar. Hinzu komme, dass das Anlegen von IM-Archiven mittlerweile eine Voraussetzung zahlreicher Normen und internationaler Standards darstelle.
Dennoch lässt sich nach Meinung von Experten die häufig unübersichtliche Landschaft an IM-Anwendungen nicht so einfach in die unternehmensweite Compliance[13] integrieren - zumal derzeit vielerorts Web-2.0-Tools und interaktive Anwendungen nur so aus dem Boden sprießen, wodurch kaum noch ein Verantwortlicher den vollständigen Überblick über die "coolen" Kommunikationsinseln behalten kann.
URLs in diesem Artikel:[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/
[13] = http:/