Sicherheitslücke Instant Messaging. Zwar hinken deutsche Unternehmen bei der geschäftlichen Nutzung von Instant Messaging hinterher. Private Instant Messaging findet jedoch zum Erstaunen vieler IT-Leiter längst in deutschen Firmen statt. Um die Absicherung dieses neuen Mediums sorgen sich nur wenige.

Sicherheitslücke Instant Messaging

Mit Risiken behaftet

Auch aus Deutschland liegen bereits Zahlen vor. So hat der Sicherheitsanbieter Bluecoat Anfang 2004 unter 130 deutschen Resellern und Unternehmen eine Studie über die Nutzung von Instant Messaging (IM) durchgeführt. Danach haben 43 Prozent der befragten Firmen ihren Mitarbeitern die IM-Nutzung verboten (siehe Grafik). Das Interesse der Angestellten an Instant Messaging scheint jedoch groß zu sein: Mehr als die Hälfte würde die Einführung von IM im Unternehmen begrüßen. Als Grund nennen die Befragten die Verbesserung der Kommunikation mit Kollegen und Geschäftspartnern in nationalen und internationalen Projekten.

Doch selbst die Unternehmen, die die Einführung von Instant Messaging für geschäftliche Zwecke ablehnen, sind ohne zusätzliche Sicherheitsmaßnahmen nicht vor privatem Instant Messaging gefeit. "Angesichts der Tatsache, dass es in schätzungsweise 80 Prozent aller Firmen-Netzwerke Nutzer von Private Instant Messaging gibt, ist davon auszugehen, dass die Risiken wesentlich größer sind als allgemein angenommen", so Martino Corbelli von Surfcontrol. Gerade die private Nutzung eines Yahoo- oder AOL-Instant-Messaging-Clients dürfte für viele IT-Manager und Systemadministratoren nur schwer zu kontrollieren sein. Der Produktivitätsverlust stellt nur ein Problem dar. Zusätzlich sind die Unternehmen auch der Gefahr von Virenangriffen ausgesetzt. Tatsächlich bestehen im Zusammenhang mit Private Instant Messaging die gleichen Risiken wie bei der Nutzung von Internet und E-Mail. Der Unterschied ist aber, dass die Mehrheit der Firmen inzwischen Verhaltensregeln für die Nutzung von Internet und E-Mail am Arbeitsplatz erlassen haben und viele von ihnen auch technische Lösungen einsetzen, um die Einhaltung dieser Richtlinien zu wahren. Private Instant Messaging wird dagegen häufig ungeschützt über das Firmen-Netzwerk genutzt. Hierbei entsteht ein echtes Sicherheitsrisiko für all jene Unternehmen, die ihre interne Policy nicht überholen und spezielle Sicherheitsmaßnahmen für die verschiedenen Arten von PIM-Traffic implementieren. Denn die existierenden Technologien wie Firewalls und Virenschutz-Software reichen in der Regel nicht aus. "Viele IT-Verantwortliche wiegen sich in der trügerischen Sicherheit, ihre Mitarbeiter könnten einen AOL- oder Yahoo-IM-Client nicht ohne Administrationsrechte installieren", erklärt Michael Hartmann, Territory Sales Manager DACH bei Blue Coat. "Selbst wenn etwa der Port 5189, den Yahoo benutzen würde, gesperrt ist, würde sich der Client einfach einen anderen offenen Port in der Firewall suchen", ergänzt Hartmann.

Hersteller von Antiviren-Lösungen lässt IM-Problem kalt

Martino Corbelli, Director of Marketing Surfcontrol: "Die Risiken von Instant Messaging sind wesentlich größer als allgemein angenommen."

Foto: Surfcontrol

Als einer der ersten Content-Filtering-Anbieter hat Surfcontrol einen Instant-Message-Filter entwickelt, der auf der Technologie seiner E-Mail- und Web-Filter-Lösungen aufbaut. Der Surfcontrol Instant Message Filter verhindert anhand von Signaturerkennungstechnologien, dass gefährliche Internetinhalte über Instant-Messaging- und Peer-to-Peer-Netzwerke an Unternehmen übertragen werden.

Instant-Messaging-Filter-Funktionalitäten bietet auch der Sicherheitshersteller Blue Coat. "Wir sichern mit unseren Proxys jedoch nur Private Instant Messaging ab", so Michael Hartmann von Blue Coat. Die entsprechenden IM-Funktionalitäten können Nutzer der Blue-Coat-Produktlinie Proxy SG ab Betriebssystem-Release 3.0. extra lizenzieren lassen. Für das mittlere SG-Modell, das 7800 Euro kostet, müssen Kunden für den IM-Filter zusätzlich 800 Euro und bei beispielsweise 1000 Lizenzen noch einmal elf bis zwölf Euro pro Benutzer und Jahr bezahlen.

Das Interesse von Antiviren-Herstellern an der IM-Problematik ist erstaunlich verhalten. Viele scheinen noch nicht begriffen zu haben, dass E-Mail nicht mehr allein das Hauptmedium für den Angriff von Viren, Würmern und Trojanern ist. "Instant Messaging ist vom Gefahrenpotenzial her für uns noch kein Thema", erklärt Uwe Rehwald, Vertriebsleiter des Antiviren-Spezialisten Norman, "aber wir behalten es im Auge." Auch Stefan Angerer, Geschäftsführer von Norman, sieht noch keinen Bedarf an Sicherheitslösungen für Instant Messaging, hält aber die Aufgabe mit überschaubarem Aufwand für lösbar. Group Technologies denkt zumindest ernsthaft über eine Sicherheitslösung für Instant Messaging nach. "Noch eine Proxy-Lösung wie Surfcontrol und Blue Coat wollen wir nicht herausbringen", meint Frank Kresse, Chief Technology Officer (CTO) und Vorstand von Group. Geplant sei laut Kresse, in der ersten Hälfte 2005 ein eigenes IM-Security-Produkt auf den Markt zu bringen. Seit Ende letzten Jahres ist Antigen 7.5 for Instant Messaging von Sybari erhältlich. Die Sybari-Lösung setzt auf den IM Manager von IM Logic auf, der neben dem Live Communications Server 2003 von Microsoft Corporate Instant Messaging in abgeschotteter - interner - Firmenumgebung ermöglicht und verteilte Standorte mit einbeziehen kann.

Großes Interesse an der Sicherheitsproblematik von Instant Messaging zeigen Anbieter von Content-Security-Lösungen. Der neue Instant Messaging Attachment Manager des Sicherheitsexperten Websense soll es IT-Administratoren ermöglichen, abgestufte Sicherheitsregeln für Instant Messaging in Firmen einzurichten. Unternehmen sollen sich so besser vor bösartigem Code, Spyware oder Viren schützen, die durch Instant-Messaging-Dateianhänge eingeschleust werden, oder auch die Übertragung von urheberrechtlich geschützten Musik- und Videodateien unterbinden. Der IM Attachment Manager ergänzt laut Hersteller die bislang bereits in Websense Enterprise vorhandenen Funktionen zur Verwaltung von Instant-Messaging-Anwendungen. Auch Wettbewerber Webwasher hat einen IM-Filter angekündigt. Zusammen mit dem amerikanischen Startup Akonix entwickelte Webwasher eine Lösung, die alle nicht erlaubten IM-Protokolle unterbindet.