Unternehmen sind nicht ausreichend geschützt

Sicherheitsrisiko Instant Messaging

12. April 2005
Von Tanja Wolff
Die Hälfte der Unternehmen trifft keine Sicherheitsmaßnahmen bei Instant Messaging (IM) und Peer-to-Peer-Anwendungen (P2P). Zu diesem Ergebnis kommt eine Studie von Surfcontrol, Anbieter von Content-Filterprodukten. Viele Firmen wissen nicht, dass bei der Nutzung dieser Anwendungen die IT-Netze angreifbar werden. Sie sind damit beispielsweise nicht mehr sicher vor Viren, Würmern, Spyware-Applikationen oder mehrschichtigen Angriffen aus dem Netz.

Wegen der allgemeinen Verfügbarkeit von IM- und P2P-Applikationen im Internet und ihrer leichten Benutzung sind die Anwendungen sehr beliebt. Fast jede Firma habe Mitarbeiter, die im vergangenen Jahr mindestens eine Art vom IM-Applikationen genutzt hätten. Künftig werden es sogar immer mehr, die IM als eine schnelle und einfache Möglichkeit entdecken, um mit Kunden und Kollegen zu kommunizieren. Gleichzeitig würden nur wenige Firmen die Nutzung von Instant Messaging als offizielle Kommunikationsform für den Geschäftsverkehr anerkennen.

Viele Mitarbeiter würden zudem die kostenlose IM-Software aus dem Internet herunterladen, ohne sich der Risiken bewusst zu sein. Beunruhigend sei die Tatsache, dass in sämtlichen gängigen Instant Messaging Clients nach wie vor gravierende Angriffspunkte für Buffer Overflows und Denial-of-Service-Angriffe sowie unzureichende Verschlüsselungen existieren. Diese werden von Angreifern auch entsprechend genutzt.

Richtlinien bei der Nutzung von Instant Messaging

"So attraktiv und nutzerfreundlich Instant Messaging und Peer-to-Peer-Anwendungen für die Mitarbeiter auch sein mögen, die Risiken für die Unternehmen stehen dazu in keinem Verhältnis", sagt der Marketing Manager Central Europe von Surfcontrol, Gernot Huber. Daher müssten dringend geeignete Schutzmaßnahmen getroffen werden. Von den Befragten besitzen bisher mehr als 90 Prozent zwar klare Sicherheitsvorschriften für den Internet- und E-Mail-Zugang am Arbeitsplatz. Dagegen verfügen jedoch 49 Prozent über keine Regulierungen von IM- und P2P-Applikationen.

Die Mehrheit der Teilnehmer sieht im Schutz vertraulicher Daten einen der wichtigsten Sicherheitsaspekte. 83 Prozent räumten diesem Thema sogar höchste Priorität ein. Huber verweist speziell auf diesen Widerspruch und betont, dass gerade die Datenübertragung per IM und P2P keinerlei Kontrolle über die Art der vermittelten Inhalte bietet. Denn diese Transfers von Informationen sind fast immer unverschlüsselt oder haben keine kryptografische Signatur. Damit können externe Angreifer über Hijacking-Angriffe oder gefälschte Personenangaben an vertrauliche Firmendaten gelangen.

Zur Startseite