Besonders beunruhigend ist die Tatsache, dass in sämtlichen gängigen Instant Messaging-Clients nach wie vor gravierende Angriffspunkte für Buffer Overflows und Denial-of-Service-Angriffe sowie unzureichende Verschlüsselungen vorliegen, die von Angreifern auch entsprechend ausgenutzt werden.
Denn sie wissen nicht, was sie tun
Paradoxerweise nannte die Mehrheit der Teilnehmer der SurfControl-Studie den Schutz vertraulicher Daten als einen ihrer wichtigsten Sicherheitsaspekte. 83 Prozent räumten diesem Thema sogar "höchste Priorität" ein. Gernot Huber von SurfControl verweist speziell auf diesen Widerspruch und betont, dass gerade die Datenübertragung per IM und P2P keinerlei Kontrolle über die Art der vermittelten Inhalte bietet.
Denn diese Datentransfers sind fast immer unverschlüsselt oder haben keine kryptografische Signatur, was es externen Angreifern ermöglicht, an vertrauliche Firmendaten über Netzwerk-Snooping, gefälschte Personenangaben (Impersonation-Attacken) und Hijacking-Angriffe zu gelangen. Der Nachweis solcher Transaktionen ist dann im Nachhinein praktisch unmöglich.
Dazu Huber weiter: "Ohne entsprechende Überwachung werden Instant-Messaging-Applikationen allzu zum versehentlichen oder vorsätzlichen Eingangstor zu sensiblen Firmeninformationen, seien es nun finanzielle Angaben, Personalakten oder Kundendaten.
An dieser Stelle muss die Geschäftsleitung gemeinsam mit dem IT-Management und der Personalabteilung ein Dreierbündnis aufbauen, um wirkungsvolle Nutzungsrichtlinien zu entwickeln, die dann von den Mitarbeitern auch konsequent eingehalten werden."
SurfControl empfiehlt die Folgendes zur Abwehr von IM- und P2P-Risiken:
- Einführung und Gewährleistung von klaren firmeninternen Richtlinien zur Nutzung von Instant Messaging und Peer-to-Peer-Anwendungen am Arbeitsplatz
- Aufklärung aller Mitarbeiter in Bezug auf Sicherheitsrisiken und Aufforderung zur konsequenten Einhaltung der Vorschriften mit dem deutlichen Hinweis auf Konsequenzen bei einer etwaigen Missachtung
- Mitarbeiter sollten niemals Links in unaufgefordert eintreffenden oder verdächtigen IM-Kommunikationen öffnen. Allein der einfache Besuch einer Website kann eine Vielzahl von Sicherheitsrisiken zur Folge haben.
- Implementierung eines Content-Filter-Tools, das in Echtzeit die Anwendung von Instant-Messaging-Applikationen (AOL/ICQ, MSN und Yahoo!) sowie der gängigsten P2P-Netzwerke (Gnutella, FastTrack, and WinMX) feststellen und blockieren kann
Weitere Informationen zum Einsatz von Content-Security-Richtlinien finden sich auch in einem Whitepaper von SurfControl mit dem Titel "Developing An Internet Access Policy". (rw)