Eine aktuelle Studie von SurfControl zur Nutzung von Instant Messaging (IM) und Peer-to-Peer-Anwendungen (P2P) am Arbeitsplatz liefert dramatische Ergebnisse: Fast die Hälfte der circa 7.600 befragten Firmen treffen keine Sicherheitsmaßnahmen für diese Anwendungen, und zwar meistens aus Unwissenheit.
Vielen Firmen ist nicht bewusst, dass bei der Nutzung von Instant Messaging und Peer-to-Peer-Kommunikation durch die Mitarbeiter die IT-Netze quasi nackt daliegen und damit jeglichen Angriffen und Infektionen aus dem Internet ausgesetzt sind, seien es nun Viren, Würmer, Spyware-Applikationen oder mehrschichtige Angriffe wie Blended Threats.
Schlangengrube Instant Messaging und Peer-to-Peer
Im Rahmen der aktuellen Studie, die durch das Global Internet Threat Center von SurfControl durchgeführt wurde, gaben 7.593 Firmen Auskünfte zu ihren IT-Security-Richtlinien bei der Internet-Nutzung am Arbeitsplatz an. Während mehr als 90 Prozent der Umfrageteilnehmer aussagten, sie verfügten über klare Sicherheitsvorschriften für den Internet- und Email-Zugang am Arbeitsplatz, existieren bei nahezu der Hälfte, nämlich 49 Prozent, keinerlei Regularien zur Nutzung von IM- und P2P-Applikationen durch die Mitarbeiter.
Experten von SurfControl warnen eindringlich, dass Firmen dadurch einer ganzen Reihe neuer Sicherheitsrisiken ausgesetzt sind, die sich über Instant Messaging und Peer-to-Peer massenhaft verbreiten.
"So attraktiv und nutzerfreundlich Instant Messaging und Peer-to-Peer-Anwendungen für die Mitarbeiter auch sein mögen, die Risiken für die Unternehmen bei dieser Form der Internetkommunikation stehen dazu in keinem Verhältnis", so Gernot Huber, Marketing Manager Central Europe von SurfControl. "Es kann und darf nicht sein, dass hierbei geeignete Vorschriften und Schutzmaßnahmen fehlen. Ich brauche keine High-Tech-Schutzmauer zu errichten, wenn in der Mitte ein riesiges Loch klafft. Die Kosten, die durch übertragene Viren, Würmer, Spyware-Applikationen und Blended Threats über Instant Messaging und Peer-to-Peer entstehen sind für kein Unternehmen tragbar", warnt der SurfControl-Manager.
Kinderleichte Instant-Falle
Die allgemeine Verfügbarkeit von IM- und P2P-Applikationen im Internet und ihre kinderleichte Anwendung hat dem Instant Messaging und Peer-to-Peer-Kommunikation zu einem regelrechten Siegeszug verholfen. Laut Osterman Research gibt es in etwa 90 Prozent aller Firmen mittlerweile Mitarbeiter, die im Jahr 2004 mindestens eine Art von IM-Applikationen genutzt haben.
Immer mehr Berufstätige entdecken IM als eine schnelle, einfache und zuverlässige Möglichkeit, mit Kollegen und Kunden zu kommunizieren. Gleichwohl erkennen nur wenige Organisationen die Nutzung von Instant Messaging als offizielle Kommunikationsform für den Geschäftsverkehr an.
Nach einer jüngst durchgeführten Studie der American Management Association haben 78 Prozent der Mitarbeiter, die IM am Arbeitsplatz nutzen, bereits kostenlose IM-Software aus dem Internet herunter geladen, ohne sich der Risiken durch solche Downloads bewusst zu sein.
Besonders beunruhigend ist die Tatsache, dass in sämtlichen gängigen Instant Messaging-Clients nach wie vor gravierende Angriffspunkte für Buffer Overflows und Denial-of-Service-Angriffe sowie unzureichende Verschlüsselungen vorliegen, die von Angreifern auch entsprechend ausgenutzt werden.
Denn sie wissen nicht, was sie tun
Paradoxerweise nannte die Mehrheit der Teilnehmer der SurfControl-Studie den Schutz vertraulicher Daten als einen ihrer wichtigsten Sicherheitsaspekte. 83 Prozent räumten diesem Thema sogar "höchste Priorität" ein. Gernot Huber von SurfControl verweist speziell auf diesen Widerspruch und betont, dass gerade die Datenübertragung per IM und P2P keinerlei Kontrolle über die Art der vermittelten Inhalte bietet.
Denn diese Datentransfers sind fast immer unverschlüsselt oder haben keine kryptografische Signatur, was es externen Angreifern ermöglicht, an vertrauliche Firmendaten über Netzwerk-Snooping, gefälschte Personenangaben (Impersonation-Attacken) und Hijacking-Angriffe zu gelangen. Der Nachweis solcher Transaktionen ist dann im Nachhinein praktisch unmöglich.
Dazu Huber weiter: "Ohne entsprechende Überwachung werden Instant-Messaging-Applikationen allzu zum versehentlichen oder vorsätzlichen Eingangstor zu sensiblen Firmeninformationen, seien es nun finanzielle Angaben, Personalakten oder Kundendaten.
An dieser Stelle muss die Geschäftsleitung gemeinsam mit dem IT-Management und der Personalabteilung ein Dreierbündnis aufbauen, um wirkungsvolle Nutzungsrichtlinien zu entwickeln, die dann von den Mitarbeitern auch konsequent eingehalten werden."
SurfControl empfiehlt zur Abwehr von IM- und P2P-Risiken:
Einführung und Gewährleistung von klaren firmeninternen Richtlinien zur Nutzung von Instant Messaging und Peer-to-Peer-Anwendungen am Arbeitsplatz.
Aufklärung aller Mitarbeiter in Bezug auf Sicherheitsrisiken und Aufforderung zur konsequenten Einhaltung der Vorschriften mit dem deutlichen Hinweis auf Konsequenzen bei einer etwaigen Missachtung.
Mitarbeiter sollten niemals Links in unaufgefordert eintreffenden oder verdächtigen IM-Kommunikationen öffnen. Allein der einfache Besuch einer Website kann eine Vielzahl von Sicherheitsrisiken zur Folge haben.
Implementierung eines Content-Filter-Tools, das in Echtzeit die Anwendung von Instant-Messaging-Applikationen (AOL/ICQ, MSN und Yahoo!) sowie der gängigsten P2P-Netzwerke (Gnutella, FastTrack, and WinMX) feststellen und blockieren kann.