IM – Instant Messenger oder Informations-Missbrauch?

Die ursprünglich für Heimanwender konzipierten Instant Messenger (IM) haben sich zu einem vollwertigen Kommunikationsinstrument im Unternehmensumfeld entwickelt. Der Austausch mit Hilfe von IM-Clients ist meist direkter und freundschaftlicher als der über traditionelle Kommunikationsmedien wie Telefon oder E-Mail. Neben den offensichtlichen Vorteilen bergen IM-Programme allerdings auch verschiedene Nachteile in sich: Sie lenken die Mitarbeiter von ihrer eigentlichen Tätigkeit ab und stellen vor allem eine potentielle Lücke im Sicherheitssystem des Unternehmens dar.

Die in Verbindung mit IM stehenden Bedrohungen sind äußerst vielfältig. Erstens existiert eine Vielzahl von Schadprogrammen, die die Anwender des einen oder anderen IM-Protokolls angreifen. Zweitens können Schwachstellen in den Clients als erstklassige Zielscheibe für Hackerattacken dienen. Drittens schließlich werden über IM-Netze pausenlos vertrauliche Informationen übermittelt, die relativ problemlos abgefangen werden können. Gibt es in einem Unternehmen zudem einen Insider, so muss dieser die entsprechenden Informationen gar nicht erst abfangen, sondern sie lediglich per IM-Client an seinen Außenkontakt weiterleiten.

Die vorliegende Studie befasst sich zum einen mit den Risiken, denen ein Unternehmen durch den Einsatz von IM-Clients ausgesetzt ist. Zum anderen zeigt sie mögliche Reaktionen von Unternehmen auf eben diese Risiken. Die Studie hat zum Ziel, die aus der Verwendung von IM-Programmen hervorgehenden Bedrohungen zu definieren und Empfehlungen für die effektivsten Schutzmechanismen vor derartigen Bedrohungen abzugeben.

Grundlegende Schlussfolgerungen

  • Die überwiegende Mehrheit der Befragten (92,4%) ist sich der von IM-Technologien ausgehenden Gefahr bewusst, aber annähernd die Hälfte (48,6%) ist diesbezüglich untätig und ignoriert die daraus entstehenden Risiken für die IT-Sicherheit.
  • Die schwerwiegendste Bedrohung, die aus der Verwendung von IM-Clients resultiert, besteht im Abfließen vertraulicher Daten (42,3%): Eine überaus berechtigte Einschätzung, denn jeder vierte Befragte räumt ein, regelmäßig vertrauliche Angaben per IM-Client zu versenden (24,5%), weitere 15,8% können keine eindeutige Aussage hierzu machen.
  • Knapp die Hälfte der Unternehmen, die sich vor IM-Bedrohungen schützen, blockieren den Traffic (43,8%). Fast ein Drittel setzt zu diesem Zweck auf administrative Beschränkungen (28,6%). Die Befragten ziehen es also vor, den IM-Traffic komplett zu blockieren, anstatt die Nutzung dieses effektiven Kommunikationsinstrument zuzulassen, aber zu kontrollieren.
  • Nur etwas mehr als die Hälfte der Befragten, die zum Schutz vor IM-Bedrohungen den Traffic blockieren, halten diese Maßnahme für effektiv (57,9%). Dem gegenüber sind drei Viertel der befragten Unternehmen der Überzeugung, dass administrative Beschränkungen (74,7%) und die Überwachung des IM-Traffics (78,9%) effektive Methoden zum Schutz vor IM-Bedrohungen sind.
  • Ungeachtet der hohen Risiken ergreifen kleine Unternehmen (bis 100 Computerarbeitsplätze) weitaus seltener Maßnahmen zum Schutz vor IM-Bedrohungen als Großunternehmen (mehr als 500 Computerarbeitsplätze). Auch letztere schützen sich bei weitem nicht immer, nur 66,8% ergreifen entsprechende Maßnahmen.

Umfragemethode

Die Umfrage wurde im Zeitraum vom 1. Mai bis zum 1. Juni 2007 durchgeführt. An der Umfrage in Form eines Online-Fragebogens (siehe Anhang) auf SecurityLab.ru beteiligten sich 1101 Besucher dieses Portals aus verschiedenen Ländern. Die dort gestellten Fragen richteten sich im Wesentlichen an das professionelle Publikum von SecurityLab.ru, das sich traditionell aus erfahrenen Experten in den Bereichen IT und IT-Sicherheit rekrutiert.

Wir möchten darauf hinweisen, dass die erste russische Studie zur Sicherheit von IM-Clients im Unternehmensumfeld Mitte 2005 von der Firma InfoWatch durchgeführt wurde. Ungeachtet der Tatsache, dass sich die Befragten der gegenwärtigen und der vergangenen Studie wesentlich voneinander unterscheiden, lassen sich doch gewisse Gemeinsamkeiten feststellen. Daher konzentriert sich der Vergleich der gegenwärtigen Ergebnisse mit den vor zwei Jahren ermittelten Daten ausschließlich auf allgemeine Tendenzen.

Die im Folgenden aufgeführten Werte sind auf ein Zehntel Prozent aufgerundet. In einigen Fällen übersteigt die Summe der Antworten 100%, da die entsprechende Frage mehrere Antworten zuließ.

Befragungsprofil

In Abbildung 1 ist die Verteilung der Befragten hinsichtlich der Anzahl von Computerarbeitsplätzen in ihrem Unternehmen dargestellt. Der größte Teil der befragten Mitarbeiter (61,3%) arbeitet in kleinen Unternehmen mit nicht mehr als 100 Computerarbeitsplätzen. Auf mittlere Unternehmen (101 bis 500 Computerarbeitsplätze) entfallen 21,7%. Der restliche Anteil der Befragten repräsentiert Großunternehmen (17,0%). Im Folgenden werden die Umfrageergebnisse in Abhängigkeit von der Größe des Unternehmens, dem die Befragten angehören, eingeteilt.

Abb. 1. Anzahl von Computerarbeitsplätzen

Verwendete IM-Clients

Den Umfrageergebnissen in Abbildung 2 zufolge verwendet die überwiegende Mehrheit den Service ICQ (74,3%), was von einer hohen Popularität dieses Programms zeugt. Mehr als die Hälfte der Befragten nutzen neben ICQ allerdings auch andere IM-Programme (54,3%), was die Wahrscheinlichkeit möglicher Risiken zusätzlich erhöht. Im Vergleich zu den Umfrageergebnissen von vor zwei Jahren hat sich die Situation kaum geändert: 12,8% der Befragten verwenden keinen IM-Client, wobei der Einfluss der unterschiedlich hohen Anzahl von Befragten auf diesen Faktor als unerheblich angesehen werden kann.

Abb. 2. Verwendete IM-Clients

Ganz offensichtlich sind IM-Technologien zu einem vollwertigen Instrument der Geschäftskommunikation geworden. Vermutungen über ein mögliches Aussterben auf Grund von Sicherheitsproblemen wurden durch die gegebene Entwicklung entkräftet. Die Vorteile, die der Einsatz von Instant Messengern im Geschäftsumfeld mit sich bringt, sind so entscheidend, dass viele Unternehmen IM-Clients trotz der offensichtlichen Sicherheitsproblematik nutzen. Genau dieser Umstand ist auch Kriminellen bewusst, was wiederum unausweichlich zu einer Verbreitung von Schadprogrammen führt, die Schwachstellen in Instant Messengern ausnutzen. Auch die internen Bedrohungen sind nicht zu unterschätzen, insbesondere Insider, die IM-Kanäle nutzen.

Der Einfluss von Instant-Messaging-Systemen auf die IT-Sicherheit

Abbildung 3 zeigt die wichtigsten Bedrohungen, die durch den Einsatz von IM-Clients entstehen können. Das mit Abstand am häufigsten genannte Risiko besteht dabei im Abfließen vertraulicher Informationen (42,3%). Mögliche Virusattacken und die unzweckmäßige Nutzung von IT-Ressourcen halten jeweils etwa 20% der Befragten für besonders gefährlich, Spam und Werbung immerhin 10%. Bemerkenswert ist, dass lediglich 7,6% der Befragten die Verwendung von IM-Clients als absolut sicher einstufen.

Abb. 3. IM-Bedrohungen

Die nächste Frage im Rahmen der Studie betrifft die ernsthafteste IM-Bedrohung – das Abfließen vertraulicher Informationen (Abbildung 4). Wie sich zeigt, können nur 59,7% der befragten Personen mit Sicherheit behaupten, nie vertrauliche Informationen über IM-Kanäle zu versenden. Hingegen geben 24,5% an, derartige Informationen von Zeit zu Zeit zu verschicken. Man kann davon ausgehen, dass dieser Anteil in Wirklichkeit weitaus größer ist, da viele Mitarbeiter ein solches Verhalten vermutlich nicht eingestehen möchten.

Abb. 4. Versenden von vertraulichen Informationen

Reglements und Policies

Die Einführung von Policies und Reglements ist die wahrscheinlich einfachste Art und Weise, um die Risiken zu minimieren, die aus der Verwendung von IM-Programmen entstehen. Dennoch sind 62,0% der Befragten in Unternehmen tätig, in denen derartige Reglements nicht angewandt werden. Überdies halten lediglich 14,9% der Befragten die in ihren Unternehmen geltenden Policies auch tatsächlich für effektiv. Die Daten zur Anwendung von Policies in den Unternehmen sind im folgenden Diagramm grafisch dargestellt (Abbildung 5).

Abb. 5. Anwendung von IM-Policies in Unternehmen

Tabelle 1 zeigt die Anwendung von Policies abhängig von der Unternehmensgröße der Befragten. Es fällt auf, dass die Existenz von Reglements und deren effektive Anwendung umso wahrscheinlicher wird, je größer das Unternehmen ist. Hinzu kommt, dass der Abfluss sensitiver Daten für kleine Unternehmen per se eine größere Gefahr darstellt: Während ein Großunternehmen meist in der Lage ist, daraus resultierende Verluste zu verkraften, riskiert eine kleine Firma nach dem Diebstahl einiger wichtiger Dokumente den Bankrott.

Keine Policy Effektive Policy Wirkungslose Policy Weiß nicht
Kleinunternehmen 69,2% 9,3% 10,9% 10,6%
Mittelständische Unternehmen 61,9% 18,0% 11,1% 9,0%
Großunternehmen 39,5% 28,1% 13,7% 18,7%

Tab. 1. Effektivität von Policies in Unternehmen unterschiedlicher Größenordnung

Aus Tabelle 2 lässt sich ablesen, welcher Zusammenhang zwischen dem Versenden vertraulicher Informationen und der Existenz unternehmensinterner Sicherheitspolicies im Bereich IM besteht. Ausgehend von den erhobenen Daten ergeben sich zweierlei Schlussfolgerungen. Zum einen verringert eine effektive Sicherheitspolicy das Risiko des Datenabflusses entscheidend (etwa um die Hälfte), schließt dieses jedoch nicht vollständig aus. Zum anderen werden die gegebenen Risiken durch eine ineffektive Sicherheitspolicy nicht verringert – im Gegenteil: es steigt dann sogar die Wahrscheinlichkeit, dass vertrauliche Daten abfließen. Wenn also ein Unternehmen Regelungen zur Verwendung von IM-Programmen einführt, sollte es unbedingt dafür Sorge tragen, dass diese auch wirkungsvoll sind.

Effektive Policy Wirkungslose Policy Keine Policy
Vertrauliche Informationen werden versendet 14,9% 31,1% 24,0%
Vertrauliche Informationen werden nicht versendet 78,1% 53,1% 60,3%
Weiß nicht 6,9% 16,5% 16,1%

Tab.2. Policies und das Abfließen vertraulicher Informationen

Schutz vor IM-Bedrohungen in der Praxis

Die übrigen Methoden zum Schutz vor IM-Bedrohungen sind in Abbildung 6 dargestellt. Aus den erhobenen Daten folgt, dass sich nahezu die Hälfte der Unternehmen nicht vor IM-Bedrohungen schützt (48,6%). Bei den übrigen Firmen überwiegen verbietende Maßnahmen (Blockierung des Traffics). Rein kontrollierende Maßnahmen (Monitoring) sind bisher nicht weit verbreitet, ihre Einführung ist offensichtlich mit technischen Problemen und dem Widerstand der Mitarbeiterschaft verbunden.

Abb. 6. Maßnahmen zum Schutz vor IM-Bedrohungen

Erwartungsgemäß setzen große Organisationen weitaus häufiger unterschiedliche Maßnahmen zum Schutz vor IM-Bedrohungen ein als kleinere. Enttäuschend ist jedoch die Tatsache, dass der Zuwachs an eingesetzten Maßnahmen im Wesentlichen auf das Konto von verbietenden Maßnahmen geht, etwa der Blockierung des Traffics. Kontrollierende Maßnahmen wenden Unternehmen jeder Größenordnung nur äußerst selten an (zwischen 8 und 10%).

Nach Meinung der Experten von InfoWatch bietet die heutige Technik genügend Werkzeuge zur Einführung von effektiven kontrollierenden Maßnahmen wie etwa Monitoring und Archivierung des Traffics. Durch die Speicherung von Informationen verringert ein Unternehmen die Wahrscheinlichkeit eines Datenlecks entscheidend: Die Anwender sind sich bewusst, dass versendete Informationen gespeichert werden und verhalten sich daher umsichtig. Sollte es trotzdem zu einem Informationsleck kommen, kann ein Betrüger anhand der gespeicherten Daten aufgespürt werden. Hinzu kommt, dass das Erstellen von IM-Archiven eine Voraussetzung vieler normativer Abkommen und internationaler Standards ist.

Administrative Beschränkungen Blockierung des Traffics Monitoring Archivierung Andere Maßnahmen Keine Maßnahme
Kleinunternehmen 13.0% 16.5% 8.1% 0.6% 5.8% 56.0%
Mittelständisches Unternehmen 14.7% 29.4% 7.2% 1.9% 6.2% 40.6%
Großunternehmen 14.9% 30.2% 9.9% 2.2% 10.6% 32.2%

Tab.3. Verhältnis zwischen Schutzmaßnahmen und Unternehmensgröße

Tabelle 4 zeigt einen Zusammenhang zwischen den angewandten Maßnahmen und den gefährlichsten Bedrohungen. Die Umfrageergebnisse lassen einige grundlegende Schlussfolgerungen zu. Erstens sind administrative Maßnahmen und die Blockierung des Traffics universelle Methoden zum Schutz vor den meisten IM-Bedrohungen. Zweitens ist das Monitoring in solchen Fällen am sinnvollsten, in denen das Hauptrisiko für das Unternehmen im Abfließen vertraulicher Informationen besteht. Drittens unternimmt beinahe die Hälfte der Unternehmen, die sich der von IM-Programmen ausgehenden Gefahren bewusst sind, nichts zum Schutz vor diesen Bedrohungen.

Administrative Beschränkungen Blockierung des Traffics Monitoring Archivierung Andere Maßnahmen Keine Maßnahmen
Abfluss vertraulicher Informationen 14.2% 25.4% 12.0% 1.6% 6.6% 40.2%
Virusattacken 14.3% 18.2% 4.9% 0.4% 5.9% 56.3%
Unzweckmäßige Nutzung der IT-Ressourcen 16.4% 29.1% 5.3% 1.1% 4.3% 43.8%

Tab. 4. Abhängigkeit der Schutzmaßnahmen vom Ausmaß der Bedrohung

Empfehlungen zum Schutz vor IM-Bedrohungen

Das Ziel der vorliegenden Studie besteht nicht allein darin festzustellen, welche Maßnahmen zum Schutz vor IM-Bedrohungen ergriffen werden. Sie soll auch aufzeigen, welche Schutzmaßnahmen nach Meinung der Befragten tatsächlich eingesetzt werden sollten. Wie sich zeigt, differieren die Antworten bezüglich der angewendeten (Abbildung 6) und der als wirkungsvoll erachteten und somit empfohlenen (Abbildung 7) Maßnahmen beträchtlich. Die in Abbildung 7 dargestellten Werte übersteigen 100%, da Mehrfach-Antworten möglich waren.

Abb. 7. Empfohlene Methoden zum Schutz vor IM-Bedrohungen

Im Gegensatz zu den tatsächlich angewandten Maßnahmen überwiegen bei den Empfehlungen solche Methoden, die die Anwender kontrollieren. Zum einen ist das mit der Unbeliebtheit von verbietenden Maßnahmen zu erklären, zum anderen mit den Vorteilen, die sich aus der Verwendung von Instant Messaging für den Geschäftsablauf ergeben.

Effektivität der tatsächlich angewandten Methoden

InfoWatch war bestrebt, im Rahmen der vorliegenden Studie die Effektivität der angewandten Methoden im Verhältnis zu den empfohlenen Maßnahmen zu bewerten. Die erhobenen Daten bestätigen die oben formulierte These, denn lediglich 57,9% der Befragten, die zum Schutz vor IM-Bedrohungen den Traffic blockieren, bezeichnen diese Maßnahme als sinnvoll. In Bezug auf administrative Beschränkungen und Monitoring sind diese Anteile bedeutend höher (74,7% respektive 78,9%). Daraus folgt, dass die Blockierung des Traffics die unbeliebteste und am wenigsten empfohlene Maßnahme zum Schutz vor IM-Bedrohungen ist.

Abschließend veranschaulicht Abbildung 8 die eingesetzten Schutzmaßnahmen bei denjenigen Befragten, welche zugeben, vertrauliche Daten zu versenden. Eine große Mehrheit von 60,3% der Unternehmen, in denen solche Mitarbeiter tätig sind, schützt sich überhaupt nicht vor IM-Bedrohungen. Sollte sich dies nicht ändern, ist es nur eine Frage der Zeit, bis Insider diese Situation ausnutzen.

Abb. 8. Maßnahmen zum Schutz gesendeter vertraulicher Informationen

Fazit

Die vorliegende Studie bestätigt die vor zwei Jahren formulierten Tendenzen. Wie bereits erwähnt, haben sich IM-Technologien zu einem in vielen Firmen verwendeten Standardinstrument der Kommunikation entwickelt. Die Verantwortlichen dieser Unternehmen erkennen nach und nach die Gefahren, die von Instant Messengern ausgehen und beginnen, verschiedene Verfahren zum Schutz vor diesen Bedrohungen einzusetzen. Gleichzeitig verzichten immer noch viele Firmen auf einen solchen Schutz, wodurch diese ein potentielles Angriffsziel für Insider darstellen.

Die steigende Bedeutung von IM-Programmen als Kommunikationsinstrument im Geschäftsumfeld liegt auf der Hand. Die Anzahl von Schutztools wird ebenso beständig zunehmen wie die Nachfrage nach derartigen Lösungen seitens der Kunden. Der Anteil jener Unternehmen, die den Schutz von IM-Kanälen ignorieren, wird dementsprechend sinken. Sowohl die Hersteller von Sicherheitslösungen als auch die Kunden werden sich in dem Maße um einen immer besseren Schutz bemühen, in dem die Bedrohungen zunehmen – sowohl von außen als auch insbesondere durch Insider.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.