07.07.2008

IM im Unternehmen: Knackpunkt IT-Security

Marktforscher sehen goldene Zeiten für Instant Messaging (IM). Laut Prognosen soll mobiles Instant Messaging herkömmliche Nachrichtendienste wie SMS oder E-Mail in nicht allzu ferner Zukunft überrunden. Elf von 100 Nachrichten, die weltweit über ein mobiles Endgerät oder einen stationären PC verschickt werden, sind Instant Messages. Das zeigt eine aktuelle Studie des Marktforschungsunternehmens TNS in 30 Ländern.

Schätzungen zufolge nutzen bereits sechs Millionen Deutsche Instant-Messaging-Dienste sowohl für private als auch für geschäftliche Zwecke. Ähnlich wie bei der Internetnutzung findet man in vielen Unternehmen derzeit eine Mischform aus „offiziellem“ und privatem Gebrauch. Die weit verbreitete Annahme, dass IM die Arbeitskräfte während der Arbeitszeit störe, wurde von amerikanischen Forschern widerlegt. Ganz im Gegenteil wirke sich IM positiv auf die Produktivität aus, weil es den knappen und konstruktiven Informationsaustausch am Arbeitsplatz fördere, so das Ergebnis einer Untersuchung der Universitäten Ohio State und California.

Sicherheitsrisiken durch IM

Instant Messaging bereitet den Unternehmen eher in einem anderen Bereich Schwierigkeiten: nämlich bei der IT-Sicherheit. Phishing-Attacken, Spam, Spyware, Viren und Würmer nutzen Instant Messenger immer häufiger als bequemes Einfallstor in die firmeneigene Infrastruktur. IM bietet Hackern und Verbreitern von SPIM (Spam über IM) und Schad-Software eine neue Plattform für ihre Aktivitäten.

Darüber hinaus bestehen weitere Sicherheitsrisiken: die verwendeten Standards können kaum kontrolliert werden; Kommunikation findet meist unverschlüsselt statt und kann leicht ausgespäht werden; Privatgespräche können überhand nehmen oder ein eventueller Austausch von illegalen Inhalten stattfinden; leicht kann es zu einer versehentlichen oder bewussten Weitergabe von sensiblen Daten kommen; und schließlich mangelt es an der Protokollierung der Kommunikation, wodurch bestimmte Vorschriften (z.B. Archivierungspflichten) verletzt werden.

Sicherheitsrichtlinien und EIM-Systeme

Momentan reagieren viele deutsche Unternehmen mit einer Blockade der IM-Kommunikationsprotokolle per Firewall-Konfiguration. Dadurch wird allerdings eine durchaus sinnvolle Anwendung für die Mitarbeiter gesperrt, was wenig förderlich für die Motivation am Arbeitsplatz ist. Besser ist die offizielle Einführung von Benutzerrichtlinien, sogenannten Policies: die Mitarbeiter sollten gezielt geschult werden und die Einhaltung der Regeln notfalls durch Strafmaßnahmen durchgesetzt werden. Eine wichtige Sicherheitsregel ist beispielsweise, dass die Benutzer nicht einfach beliebige IM-Software installieren dürfen.

Eine weitere, sehr effektive Vorgehensweise ist die Einführung eines Enterprise-Instant-Messaging-Systems (EIM): durch entsprechende Firewall-Konfigurationen lassen sich die meisten ungesicherten IM-Clients wirkungsvoll sperren. So wird gewährleistet, dass die Mitarbeiter nur die intern erlaubten und sicheren Instant Messenger verwenden. Diese Methode ist kostengünstiger als die zweite Variante, nämlich einen internen IM-Server einzuführen. Für größere Unternehmen mit hohen Ansprüchen an die Datensicherheit ist ein EIM-System mit eigener Hard- und Software allerdings durchaus ratsam.

Autor: FN