Öffentliches Instant Messaging: Auch ein Sicherheitsrisiko
Artikel erschienen in Swiss IT Magazine 2002/29
Wer kennt sie nicht, die bunten Instant-Messaging-Clients von AOL, Microsoft und Yahoo. Schon fast 80 Millionen User nutzen regelmässig diese kleinen Programme für einen kurzen Chat. Damit zählt IM (Instant Messaging) mit E-Mail zu den wahren Killerapplikationen des Internet. Wer IM persönlich ausprobiert hat, weiss, wie schnell es gehen kann, um sich heillos in eine Diskussion zu verstricken. Die Gartner Group prognostiziert, dass bis Ende Jahr 2003 70 Prozent der Firmenangestellten frei verfügbare Instant-Messaging-Programme benutzen werden. IM bietet unbestritten Vorteile gegenüber E-Mail- oder Telefon-Kommunikation. Die Verbreitung von IM-Software wird getrieben durch immer neue Features. So kann man heute mit IM-Software nicht nur chatten, sondern auch Daten austauschen und Voice/Video-Konversationen führen. Mit manchen IM-Lösungen lassen sich sogar online Spiele aufbauen oder ganze Arbeitsstationen fernadministrieren.
Und hier beginnt das Problem: Viele Computerbenutzer wissen nicht, dass sie sich mit ihrem Chat-Vergnügen grossen Sicherheitsrisiken aussetzen. Das ist der Hauptgrund, weshalb viele Firmen ihren Angestellten die Benutzung von IM-Lösungen offiziell untersagen. Doch freilich halten sich nicht alle Angestellten daran: Ein IT-Verantwortlicher hat mir neulich erzählt, dass er bei einem Check vor einem Jahr auf 50 Prozent seiner PCs verbotene Instant-Messaging-Software gefunden habe. Unterdessen hat er aus Sicherheitsgründen alle IM-Programme von den Arbeitsstationen verbannt. Und dies mit guten Gründen. Hier die aus meiner Sicht wichtigsten vier Argumente gegen IM am Arbeitsplatz:
Vulnerabilities: Hacker können Vulnerabilities in den verschiedenen IM-Produkten ausnützen, um kompletten Zugriff auf die Workstations zu erhalten. Und diese werden immer zahlreicher! In allen oben erwähnten Produkten findet man gängige Buffer-Overflow-Vulnerabilities. Mit den immer neuen Features in IM-Applikationen steigt die Anzahl der Schwachstellen noch mehr an. Somit sind die ohnehin schon geplagten IT-Administratoren gezwungen, neben zahlreichen anderen Applikationen auch noch IM-Software permanent zu patchen.
Verschlüsselung: Die Authentifizierung durch Username und Passwort wird bei praktisch allen Anbietern nur schwach oder überhaupt nicht verschlüsselt. Genau so wenig werden Session-Verbindungen für Chat oder Filesharing bei den meisten IM-Anwendungen verschlüsselt. Die Daten werden also im Klartext über das Internet übermittelt. Dies ermöglicht Drittpersonen das Mitlesen der kompletten Kommunikation. Durch Netzwerk-Sniffer, die auf IM-Protokolle spezialisiert sind, wird es zum Kinderspiel, vertrauliche Authentifizierungen und Kommunikationsverbindungen mitzulesen.
Viren, Würmer, Trojaner: Durch die Filesharing-Funktionalitäten werden Würmer, Viren und Trojaner durch bestehende Gateway-Antivirus-Scanner geschleust, da die IM-Tunnels direkt auf den Client terminiert werden, ohne dass ein Scanner auf Gateway-Ebene die Files auf Viren überprüfen kann. Somit muss zwingend gewährleistet sein, dass auf den Clients immer ein mit den aktuellsten Virensignaturen aktivierter Antivirus-Scanner installiert ist. Client-Antivirus-Produkte werden gegenwärtig mit IM-spezifischen Funktionen erweitert. Und dies nicht umsonst: Man erwartet in nächster Zeit eine ähnliche Viren-Welle wie bei den E-Mail-Attachments. Nur: Ein Wurm kann sich über eine IM-Applikation noch viel schneller verbreiten.
Tunneling durch Firewalls: Instant-Messaging-Tools sind extrem flexibel in der Art und Weise, wie sie mit dem Internet kommunizieren. So ist es sehr schwierig, IM-Verbindungen auf Firewalls zu entdecken und zu blockieren. Hat ein IM-User in irgendeiner Form Internetzugriff, so lässt sich dieser in den meisten Fällen auch für IM missbrauchen. Der IM-Client von AOL/Netscape kann über jeden offenen TCP-Port kommunizieren. Auch das Tunneling durch Proxy Server mit Authentifizierung ist kein Problem.
Wie lässt sich nun aber der Einsatz von öffentlichen IM-Produkten in Firmen verhindern? Um es vorwegzunehmen: Zu 100 Prozent lässt sich der Einsatz durch technische Massnahmen nicht ausschliessen. Vor allem gewiefte Benutzer finden immer wieder einen Weg, über externe Rechner trotzdem eine Verbindung aufzubauen. Doch einen grossen Teil der "illegalen" Benutzer kann man am Einsatz hindern, indem man auf der Perimeter-Firewall ausgehende Verbindungen auf die IM-Login-Server von AOL, Microsoft und Yahoo blockiert (eine aktuelle Liste der Login-Server kann unter meiner E-Mail-Adresse angefordert werden).
Weiter ist die Einführung von Internet- und Computer-Benutzungsrichtlinien empfehlenswert. Dort kann man für alle Mitarbeiter den Einsatz von Instant-Messaging-Software regeln. Vielfach sind solche Regelungen in grösseren Firmen Teil des Arbeitsvertrages. Standardisierte Client-Installationen, wo der Benutzer keine Rechte besitzt, zusätzliche Software zu installieren, ist ein weiteres, wenn auch für kleinere Firmen aufwendiges, aber doch probates Mittel, um den Einsatz von Zusatzsoftware zu verhindern.