Instant Messaging im Unternehmen
Effiziente Kommunikation oder Sicherheitsrisiko?
Die Datenübertragung über Instant Messaging erfreut sich sowohl privat als auch in Unternehmen wachsender Beliebtheit. Instant Messaging, kurz IM, stellt aber zugleich eine zunehmende Bedrohung für die IT-Sicherheit dar, denn auch Phishing-Attacken, Spam, Spyware, Viren und Würmer finden so ein bequemes Einfallstor in die Unternehmensinfrastruktur. Gefragt sind daher Lösungen, die IM-Kommunikation ermöglichen, ohne Kompromisse bei der Sicherheit eingehen zu müssen.
Analysten gehen davon aus, dass weltweit derzeit schon 100 Millionen Menschen an ihrem
Arbeitsplatz auf IM-Techniken zurückgreifen. Bis 2010 soll diese Zahl laut Prognosen weiter
deutlich steigen – mit jährlichen Wachstumsraten zwischen 23 und 40 Prozent. Schätzungen zufolge
nutzen derzeit rund sechs Millionen Menschen in Deutschland diese Form der digitalen Kommunikation
sowohl für private als auch für geschäftliche Zwecke. Es ist somit davon auszugehen, dass heute in
vielen Unternehmen eine Mischform aus privater und "offizieller" IM-Nutzung anzutreffen ist –
ähnlich wie bei der Duldung privater Internetnutzung.
Dass sich Unternehmen für Instant Messaging aufgeschlossen zeigen, ist einleuchtend. Von
verbesserter Effizienz und Projektzusammenarbeit bis hin zur Möglichkeit, IM-Unterhaltungen für
gesetzliche Zwecke zu archivieren: Instant Messaging wird mehr und mehr zu einem
Kommunikationswerkzeug, das so wertvoll und unverzichtbar ist wie E-Mail oder Telefon. Gerade bei
verteilten Firmenstandorten ist IM eine Option für besonders effiziente und kostengünstige
Kommunikation. Mit Kollegen und externen Partnern lässt sich mit Ad-hoc-Kurznachrichten oft
produktiver und schneller zusammenarbeiten als per E-Mail. Auch für Web-Conferencing ist IM gut
geeignet. Weitere Vorteile gegenüber anderen Kommunikationsformen sind die geringen Kosten, die
einfache Bedienung und die Flexibilität. Als direkter Dialog stellt IM in jedem Fall eine sinnvolle
Ergänzung zum Telefonat dar.
Wie auch bei E-Mail, sind bei Instant Messaging jedoch einige sicherheitskritische Aspekte zu
beachten. So lässt sich schon jetzt feststellen, dass Instant Messaging immer häufiger dazu
verwendet wird, um Malware zu verbreiten oder "Social Engineering" zu betreiben. Instant Messaging
bietet Hackern und Verbreitern von Spam und Malware eine neue Plattform für ihre Aktivitäten.
Viren, SPIM (Spam über IM) und andere Malware können über öffentliche IM-Netzwerke ganz einfach in
das Unternehmen eindringen, die Kommunikation unterbrechen und damit die Geschäftsabläufe erheblich
beeinträchtigen. So werden zum Beispiel laut einer Studie der Radicati Group IM-Anwender ungefähr
fünfmal am Tag durch unerwünschte Werbebotschaften belästigt. Die Experten von Radicati gehen davon
aus, dass die SPIM-Belastung in diesem Jahr auf 27 solcher Nachrichten pro Tag und Benutzer steigt.
Eine ähnliche Entwicklung ist für Viren und Malware aller Art zu erwarten. Für viele Unternehmen
heißt die Frage deshalb nicht mehr, ob man IM nutzen solle, sondern wie sich die mit der Technik
verbundenen Risiken in den Griff bekommen lassen.
Unkontrollierter Datenverkehr
Zu den Risiken von Instant Messaging zählen neben Angriffen durch Viren und Würmer unter anderem
auch verschiedene weitere kritische Aspekte: mangelnde Kontrolle über die verwendeten Standards,
fehlende Verschlüsselung der Kommunikation und somit Anfälligkeit für Datenspionage,
unkontrollierte private Kommunikation und eventuell Austausch von illegalen Inhalten,
versehentliche oder bewusste Weitergabe von sensiblen Informationen sowie mangelnde Protokollierung
der Kommunikation und damit gegebenenfalls Verletzung von Compliance-Vorschriften – speziell
Archivierungspflichten. Instant Messaging stellt deshalb Unternehmen nicht nur eine Vielfalt an
neuen Möglichkeiten zur Verfügung, sondern bildet auch ein wachsendes Gefahrenpotenzial.
Entscheidungsträger, die keine Schritte ergreifen, um ihre Netze gegen bösartigen IM-Traffic
abzusichern, gehen ein großes Risiko ein. Alarmierend ist vor dem genannten Hintergrund, dass viele
IT-Leiter kaum Einblick in den IM-Einsatz im eigenen Unternehmen haben. Dies liegt daran, dass der
Großteil der Mitarbeiter für das Instant Messaging auf öffentliche Programme wie AOL, MSN oder
Yahoo zurückgreift, die außerhalb der Kontrolle ihrer IT-Abteilung liegen.
Der Bedarf an Security-Lösungen für den IM-Einsatz lässt sich an der Tatsache ermessen, dass
viele Unternehmen in Deutschland momentan per Firewall-Konfiguration mit dem Blockieren der
IM-Kommunikationsprotokolle reagieren. Dadurch beraubt man die Mitarbeiter jedoch einer nützlichen
Anwendung und riskiert auch einen Motivationsrückgang, ähnlich wie bei einer kompletten Untersagung
der Internetnutzung.
Kontrolle zurückgewinnen
Unternehmen, die sich pro Instant Messaging entscheiden, sollten einige Punkte beachten. Durch
die IM-Kommunikation, unabhängig davon, ob offiziell eingeführt oder einfach nur geduldet,
entstehen zusätzliche Schlupflöcher für Angriffe aus dem Internet. Ein Mangel an Kontrolle und
Transparenz erschwert den Administratoren das Management und die Einhaltung von
Sicherheitsvorschriften. Insofern sollten akzeptable Benutzerrichtlinien (Policies) aufgestellt und
durchgesetzt werden, wenn IM als Business-Tool zum Einsatz kommt. Zu derartigen
Security-Richtlinien gehört zum Beispiel, dass die Benutzer nicht einfach beliebige IM-Software
installieren dürfen. Um die korrekte Umsetzung der Richtlinien zu gewährleisten, ist auf jeden Fall
Aufklärungsarbeit im Unternehmen mit einer entsprechenden Schulung von Mitarbeitern zu leisten. Die
Maßnahmen im Fall einer Umgehung der Policies sollten hier auch klar herausgestellt werden.
Eine geeignete Lösung stellt auch ein Enterprise-Instant-Messaging-(EIM-)System dar, das darauf
abzielt, den Benutzern Zugang zu den Collaboration-Funktionen von IM zu geben, ohne dabei
Kompromisse in Bezug auf Sicherheit machen zu müssen. Durch entsprechende Firewall-Konfigurationen
lassen sich die meisten ungesicherten IM-Clients wirkungsvoll sperren, um so zu gewährleisten, dass
die Mitarbeiter nur die intern erlaubten, sicheren IM-Clients verwenden.
Wirksam und wirtschaftlich zugleich kann auch ein Enterprise-Instant-Messaging-System sein, das
das Unternehmen als Managed Service in Anspruch nimmt. Ähnlich wie bei der Auslagerung der E-Mail-
und Websicherheit an einen externen Dienstleister entfallen hier bei der IM-Absicherung Zeit- und
Kostenaufwand für die Implementierung sowie den Betrieb lokaler Soft- oder Hardware. Eine derartige
Lösung verbessert den gesamten unternehmensweiten Einsatz von Instant-Messaging-Techniken deutlich
und schafft systematisch alle Risiken und Bedenken aus der Welt, die mit herkömmlichen
Instant-Messaging- oder File-Sharing-Applikationen einhergehen. Moderne EIM-Lösungen wie zum
Beispiel der EIM-Service von Messagelabs bieten umfassende Funktionen für jeden Bedarf. Bei der
Auswahl einer guten EIM-Lösung gilt es jedoch folgende Kriterien zu beachten: Diese sollte die
nötigen Administrations-Tools, eine Reporting-Funktion auf Webbasis, Datei-Scanning auf
Internetebene und Funktionen zum IM-Logging bereitstellen. Zu den Aufgaben eines zukunftsfähigen
EIM-Systems zählen unter anderem die Verschlüsselung der Kommunikation zwischen Mitarbeitern (auch
unterwegs), ein effektiver Schutz vor allen IM-basierenden Malware-Bedrohungen sowie die zentrale
Speicherung und die Möglichkeit der Protokollierung der IM-Kommunikation. Entscheidend für eine
flexible Nutzbarkeit der EIM-Lösung ist die Kompatibilität mit öffentlichen IM-Diensten wie MSN
Messenger, Google Talk sowie AOL und ICQ über ein gesichertes Gateway zu diesen öffentlichen
IM-Systemen. Für Unternehmenszwecke sollten öffentliche IM-Plattformen dennoch gemieden werden, da
nur eine in sich geschlossene IM-Lösung für effektiven Schutz und Kontrolle sorgt.
Lesen Sie mehr zum Thema
