Die Sicherheit von Skype im Unternehmensumfeld

Einführung

VoIP (Voice over IP, Telefonieren über Computernetzwerke) entwickelt sich gegenwärtig im Eiltempo. In Anwenderkreisen ist die Software Skype am bekanntesten und am weitesten verbreitet, denn im Vergleich zu einem gewöhnlichen Telefonnetz ist eine Verbindung über Skype bei gleicher Sprachqualität wesentlich billiger. Ein weiterer Vorteil des Programms stellt die bequeme Bedienung dar: Skype wird installiert und ein Mikrofon angeschlossen, schon kann man mit anderen Usern weltweit sprechen, Dateien und Textnachrichten austauschen usw.

Jedoch verbreitet sich die Skype-Software nicht nur unter Heimanwendern, sondern zunehmend auch in Unternehmensnetzwerken. Das ist nicht verwunderlich, da die Kosten für nationale und internationale Gespräche erheblich reduziert und die Kommunikation zwischen Niederlassungen und einzelnen Mitarbeitern erheblich vereinfacht werden. Außerdem sind für die Installation und Verwendung der Utility keine Administrator-Rechte erforderlich. Mitarbeiter können die Software kostenlos aus dem Internet herunterladen und auf der Unternehmens-Workstation installieren. Unterdessen entsteht jedoch ein völlig neues Problem: zusätzliche Risiken für die IT-Sicherheit aufgrund des unkontrollierten Einsatzes von Skype im Unternehmensnetzwerk.

Die vorliegende Studie ist das erste russische Projekt, das sich mit Sicherheitsaspekten von Skype in Unternehmensnetzwerken beschäftigt. Die Studie hat das Ziel, Spezialisten im Bereich IT aufzuzeigen, welche Gefahren von Skype im Unternehmensnetzwerk ausgehen können, mit Skype zusammenhängende Gefahren beleuchten und Gründe dafür erläutern.

Das Sicherheitsproblem Skype ist heute aktueller denn je, denn aufgrund seiner Verbreitung zieht es die Aufmerksamkeit sowohl von Insidern als auch von Hackern auf sich, die mithilfe von Skype auf einfachem Weg wertvolle Daten stehlen können. Schon heute sind mehrere Schwachstellen bekannt, die bereits mehrfach ausgenutzt wurden.

Datum Schwachstelle
November 2004 Die entdeckte Schwachstelle ermöglichte einem Hacker, die vollständige Kontrolle über einen Anwender-PC per Buffer-Overflow in Skype zu erhalten.
April
2005
Skype schloss die Zugangsrechte nicht immer akkurat. Ein Hacker hat so mit der bereits empfangenen Authentifizierung Originalanwendungen durch modifizierte ausgetauscht.
Oktober 2005 Über ein Schlupfloch hat ein Übeltäter per Buffer-Overflow Zugang zum System erhalten.
Oktober 2005 Eine Lücke in Skype ermöglichte eine Remote-Attacke auf einen Computer.
Mai
2006
Eine neue Lücke barg die Möglichkeit, eine Datei von PCs zu stehlen, indem ein Datenpaket an User geschickt wurde, das Skype abstürzen ließ.
Dezember
2006
In mehreren Ländern verbreitete sich ein Wurm, der Workstations, auf denen Skype eingesetzt wurde, im Chatmodus infizierte.

Umfrage-Methode und Befragungsprofil

Die Studie wurde gemeinsam von InfoWatch und dem Online-Portal SecurityLab.ru im Zeitraum vom 15.01.2007 bis 30.01.2007 durchgeführt, an der sich 1242 Besucher des Portals beteiligten. Die Aufarbeitung der Statistiken sowie die Analyse erfolgten durch InfoWatch. Die dargestellten Daten sind auf Zehntel Prozent aufgerundet. In einigen Fällen übersteigt die Summe der Antworten 100 Prozent, da die Frage mehrere Varianten zuließ.


Beruf der Befragten im IT-Bereich

Teilnehmer der Studie waren mehrheitlich Spezialisten für Datensicherheit (37,1 Prozent), gefolgt von System-Administratoren (34,3 Prozent) und Anwendern (28,6 Prozent). Insgesamt sind etwa 71 Prozent der Befragten sind demnach in der IT-Industrie tätig.

Eingesetzte VoIP-Tools

Auf Abb. 2 sind die bevorzugten VoIP-Tools der Befragten dargestellt. Die Führungsposition von Skype ist mit 46,8 Prozent klar erkennbar, seine Konkurrenten erhielten insgesamt nur knapp ein Viertel aller Stimmen (25,3 Prozent). Dabei muss jedoch angemerkt werden, dass etwas über ein Viertel (27,9 Prozent) der Befragten keinerlei VoIP-Tools im Intranet verwenden. Ursache dafür sind aller Wahrscheinlichkeit nach die Risiken, die von Skype ausgehen.


VoIP-Tools im Unternehmens-Umfeld

Welche Risiken birgt Skype?

Der größte Teil der Studie beschäftigt sich mit den Risiken, die Skype mit sich bringt, sowie deren Ursachen. Die absolute Mehrheit der Befragten sieht in der Tat eine ganze Reihe Risiken im Zusammenhang mit dem Einsatz von Skype (siehe Abb. 3). Lediglich 5,3 Prozent der Befragten sind der Ansicht, dass die Verwendung von Skype im Unternehmensnetzwerk völlig ungefährlich ist.

Die größte Gefahr geht nach Meinung von 55,6 Prozent der Befragten vom Risiko des Datenabflusses aus. Mit anderen Worten: über die Hälfte der Befragten ist davon überzeugt, dass vertrauliche Unternehmensdaten durch Skype nach außen gelangen können. Den Ergebnissen der Studie zufolge übersteigt das Risiko des Abflusses vertraulicher Daten das Risiko von Hacker-Attacken auf Unternehmensnetzwerke um das Zweifache (55,6 Prozent gegenüber 29 Prozent). Der rechtswidrige Zugriff auf Daten (37,2 Prozent), das Risiko des Datenverlustes (33,2 Prozent) sowie das Eindringen schädlicher Programme auf Workstations (31,7 Prozent) nehmen Zwischenpositionen ein. Weitere 7,4 Prozent kommen auf sonstige Gefahren.


Risiken beim Einsatz von Skype

Lösungen für VoIP – und das betrifft nicht nur Skype – stellen tatsächlich einen ganzen Komplex von Bedrohungen für die Datensicherheit in Unternehmen dar. Programme für Stimm- und Videoverbindungen sind ziemlich einfach und bequem zu missbrauchen, außerdem ist der Einsatz von Skype schwer zu kontrollieren. Darüber hinaus können VoIP-Produkte wie jede andere Software Sicherheitslücken haben, die von Dritten ausgenutzt werden.

Gleichzeitig wird das Risiko durch Hackerattacken nach Ansicht von InfoWatch überbewertet. Grund der Überbewertung ist die historisch entstandene Besorgnis, die das Thema Computer-Hacking bewirkt hat. In Verbindung mit VoIP ist die Gefahr, die von Hackern ausgeht, gegenwärtig jedoch nicht sehr hoch. Es wurde bislang nur ein Fall bekannt, bei dem ein Trojaner über eine Lücke in Skype auf einen Computer eingeschleust wurde. Hierbei muss jedoch angemerkt werden, dass sich der Virus nicht von allein verbreiten konnte, sondern zuvor vom Anwender selbst heruntergeladen wurde.

Bedrohungs-Quellen

Im weiteren Verlauf der Befragung sollten die Teilnehmer Quellen für das Entstehen neuer Gefahren für die Datensicherheit (Abb. 4) nennen. Außer Problemen in VoIP-Programmen selbst, können Sicherheitslücken natürlich auch durch Mängel in der Programm-Umgebung beziehungsweise durch böse Absicht oder Fahrlässigkeit der Anwender entstehen. Es stellte sich heraus, dass die Mehrheit der Befragten (44,6 Prozent) die Hauptquelle der Gefahren im User selbst sehen. Mit anderen Worten: ausgerechnet der Faktor Mensch kann bei der Verwendung von Skype am häufigsten zu Verletzungen der Datensicherheit führen.


Natur der Risiken bei der Verwendung von Skype

Auf dem zweiten Platz (26,7 Prozent) sehen die Befragten Mängel in der Programm-Umgebung von Skype. Hier geht es um Schwachstellen im Betriebssystem oder in den eingesetzten Schutzlösungen sowie um Dritt-Anwendungen, die beim Zusammenspiel mit Skype Gefahrenpotenzial bergen können. Nur 23,4 Prozent der Befragten sind der Ansicht, dass man den Skype-Entwicklern Vorwürfe machen kann. Jeder zwanzigste befragte Spezialist (5,4 Prozent) äußerte letztlich die Meinung, dass die Verwendung von Skype überhaupt keine Gefahr für die Datensicherheit mit sich bringt.

Auf diese Weise sind VoIP-Programme selbst wohl kaum die Hauptquelle der Risiken für Datensicherheit. Bei etwa der Hälfte aller Fälle lag die Schuld für Datenverlust tatsächlich an den Mitarbeitern des Unternehmens, die fahrlässig mit den Daten umgegangen sind oder die Absicht hegten, Daten aus dem Unternehmen zu entwenden. Ein Verbot von Skype würde also dasselbe bedeuten, wie ein Verbot von Internet oder E-Mail. VoIP-Tools sind zwar nützlich und bequem, um jedoch Bedrohungen wie beispielsweise den Verlust vertraulicher Daten auszuschließen, sollten Unternehmen diesen Kanal genauso absichern, wie E-Mail, Internet, Drucker oder USB-Datenträger.

Die Rolle der Sicherheit bei der Verwendung von Skype

Aus den Antworten (Abb. 5) ist ersichtlich, dass die Frage der Sicherheit bei der Entscheidungsfindung, ob Skype im Unternehmen eingesetzt werden darf oder nicht, ein wichtiger Faktor ist. Zwei Drittel der Befragten (66,4 Prozent) sind davon überzeugt, dass die Bedrohung der Datensicherheit die Einführung von Skype in Unternehmen erschwert. Zudem sollte beachtet werden, dass sich die „Ursache des Bösen“ nicht in der Technologie selbst befindet, sondern im fahrlässigen Umgang mit diesem Programm bzw. dessen Einsatz für böswillige Absichten. Ohne die Einführung moderner fortschrittlicher Technologien wiederum ist es unmöglich, ein erfolgreiches Unternehmen zu werden. Gleichzeitig wird die Verwendung neuer Lösungen erschwert, da sie zusätzliche Gefahren der Datensicherheit in sich birgt.


Sind die Gefahren für die Datensicherheit ein Hindernis bei der Einführung von Skype in Unternehmen?

Kehren wir kurz zu den bisherigen Ergebnissen zurück (siehe Schlussfolgerungen): 33,7 Prozent der Spezialisten sind der Ansicht, dass zusätzliche Risiken die Einführung von Skype in Unternehmen nicht behindern – Pragmatiker, die die Vorteile durch die Einführung von Skype objektiv und logisch bewerten. 66,4 Prozent der Befragten sind jedoch gegenteiliger Meinung: die Risiken für die Datensicherheit, die aufgrund der Verwendung von Skype entstehen, sind ein wesentliches Hindernis für die Einführung dieses VoIP-Programms in Unternehmen. Bei näherer Betrachtung und mit dem Wissen, dass die Hauptursache der zusätzlichen Bedrohung die Menschen im Unternehmen selbst sind, mutet diese Einschätzung jedoch sehr subjektiv an. Denn schützt man die Daten selbst, können sie auch nicht über Skype abfließen.

Schlussfolgerungen

  • Skype ist derzeit das populärste aller VoIP-Produkte: Fast die Hälfte aller Befragten (46,8 Prozent) nutzen Skype. Zieht man diejenigen ab, die überhaupt keine VoIP-Software verwenden, steigt der Anteil von Skype als genutzte Software sogar auf 64,9 Prozent.
  • Das Risiko des Verlustes vertraulicher Daten stellt für ein Unternehmensnetzwerk, in dem Skype eingesetzt wird, die größte Gefahr dar, sagen 55,6 Prozent aller Befragten. Mit anderen Worten: die Betroffenen sind durchaus informiert, welche zusätzlichen Kanäle für Datenabfluss in ihrem Netzwerk vorhanden sind.
  • Skype selbst ist wohl kaum direkt am Auftreten zusätzlicher Risiken schuld; vielmehr liegt das Problem am Faktor Mensch, so 44,6 Prozent der Befragten, und nicht an den Schwächen des Programms.
  • Nichts desto weniger finden fast zwei Drittel der Befragten (66,4 Prozent), dass die Gefahren, die von Skype im Unternehmensnetzwerk ausgehen, ein Hindernis bei der Ausbreitung dieser Art Programme darstellt. Nur ein Drittel der befragten Spezialisten (33,7 Prozent) sind davon überzeugt, dass die Probleme mit der Datensicherheit die Verbreitung von Skype in Unternehmen nicht behindern.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.