Sicherheitsaspekte bei Instant-Messaging im Business-Bereich

Aus Winfwiki

Name des Autors / der Autoren:	Christopher Saum
Titel der Arbeit:	"Sicherheitsaspekte bei Instant-Messaging im Business-Bereich"
Hochschule und Studienort:	FOM Neuss Hochschule für Oekonomie & Management - University of Applied Sciences

|}

Inhaltsverzeichnis

1 Einleitung
- 1.1 Problemstellung
- 1.2 Zielsetzung und Vorgehensweise
2 Begriffserklärungen
- 2.1 Grundlagen der Online Kommunikation
- 2.2 Was ist Instant Messaging?
3 Verwendung von Instant Messaging
4 Aktuelle Instant-Messaging-Systeme
- 4.1 Microsoft Office Communications Server (OCS)
- 4.2 IBM Lotus Sametime
5 Probleme durch Kommunikationssysteme
6 Bedrohungen und Gefahren
7 Gegenmaßnahmen und Werkzeuge zur Vorbeugung
8 Fazit
9 Fußnoten
10 Abkürzungsverzeichnis
11 Abbildungsverzeichnis
12 Literatur- und Quellenverzeichnis
13 Internetquellen

1 Einleitung

1.1 Problemstellung

Instant-Messaging-Systeme (IMS) sind in der heutigen Zeit als Kommunikationsart inzwischen weit verbreitet. Sie existieren seit Mitte der 90er Jahre und weisen seitdem ein stetiges Wachstum auf, wobei ihnen mittlerweile ähnlich hohe Bedeutung wie dem Telefon oder der E-Mail zukommt. Laut aktuellen Studien soll IM bis Ende dieses Jahres zum entscheidenden Werkzeug für die Business Kommunikation werden. Ferner sollen bis zum Jahr 2013 bereits 95 % aller Arbeitskräfte per IM kommunizieren, so der IT-Analyst David Mario Smith des US-Konzerns Gartner. Dabei steht die Nutzung von Unternehmenslösungen von namhaften Herstellern, wie Cisco, IBM oder Microsoft im Vordergrund. Die Nutzung von externen oder offenen IM-Systemen wie ICQ, MSN oder Skype sollte aufgrund von mangelnden Sicherheitsfunktionen in Unternehmenskreisen mit entsprechender Vorsicht betrachtet werden^[1].

1.2 Zielsetzung und Vorgehensweise

Ziel dieser Arbeit ist die Erläuterung und die Veranschaulichung der grundlegenden Bedrohungen beim Einsatz von Instant Messaging in Unternehmen. Des Weiteren ist die Zielsetzung eine Konzeption und Realisierung von geeigneten Schutzmaßnahmen für den sicheren Umgang mit Instant Messaging-Systemen durchführen zu können. Nachdem in den ersten Kapiteln auf die Grundlagen und die Einsatzgebiete eingegangen wird, erfolgt in den folgenden Kapiteln eine kurze Übersicht über aktuelle Unternehmenslösungen für Instant Messaging. In Kapitel 6 werden dann die Gefährungskategorien beschrieben. Die Ausarbeitung der Maßnahmen und deren Wirkung zur Sicherheit werden in Kapitel 7 erläutert. Die Arbeit endet mit einem Fazit im achten und letzten Kapitel.

2 Begriffserklärungen

2.1 Grundlagen der Online Kommunikation

Grundsätzlich sind die Kommunikationskanäle unterschiedlich charakterisierbar. So bestimmt die Anzahl der involvierten Teilnehmer ebenso die Art der Kommunikation (one-to-one, one-to-many, many-to-many) wie der zeitliche Zusammenhang (Echtzeit oder verzögert). In Organisationen wird Kommunikation generell notwendig, „wenn der Ort des Informationsanfalls oder der -speicherung und der Ort des Informationsbedarfs auseinanderfallen“^[2]. Die technisch basierte Kommunikation unterliegt in der modernen Gesellschaft einem erheblichen Organisationsaufwand, denn die räumlichen und zeitlichen Distanzen sind nicht die einzigen elementaren Fragen. Auch ökonomische und rechtliche Aspekte, wie der Interessenausgleich der einzelnen Anspruchsgruppen und die Finanzierung des notwendigen Aufwands^[3]^[4]. Dabei schließt das Ziel dieser Arbeit die TCP/IP-gestützte interne Kommunikation mit ein. Der Begriff Online-Kommunikation wird damit sowohl als Mittel zur Kommunikation der Organisation nach außen (über das Internet) als auch nach innen (beispielsweise auf Basis von Intranet oder Peer-to-Peer-Lösungen) verstanden.

2.2 Was ist Instant Messaging?

Der Dienst Instant Messaging ermöglicht es mittels einer Anwendungssoftware, dem Instant Messenger, mit anderen Teilnehmern in Echtzeit und synchron zu kommunizieren. In der Regel werden dabei Textnachrichten übermittelt, jedoch auch immer häufiger Videotelefonate oder shared files. Der Messenger verwendet dazu ein Protokoll, welches die Verbindung entweder über das Internet oder über ein Local Area Network (LAN) oder Wide Area Network (WAN) herstellt. Derzeit existieren verschiedenste Protokolle und Messenger^[5]. Im Kapitel 4 wird ein Überblick über einige aktuelle IM-Systeme gezeigt.

3 Verwendung von Instant Messaging

3.1 privater Einsatz

Für die privaten Nutzer von Instant Messaging spielt Schutz keine besonders wichtige Rolle. Meist wollen sie sich nur mit ihren Freunden und Bekannten austauschen und suchen daher eine kostengünstige Kommunikationsform. Die einfache Installation und Bedienung sowie die hohe Anzahl an verfügbaren Kontakten machen bei Privatleuten den Einsatz von IM so beliebt. Dabei spielt die Risikoeinschätzung von IM in etwa die Rolle einer gewöhnlichen E-Mail. Beide Systeme sind anfällig für das Ausspähen von fremden Log-In Daten (pishing) oder für die Übermittlung von bösartigen Codes (Viren, Würmer und Trojaner)^[6].

3.2 Einsatz in Unternehmen

Mitarbeiter und Teams von global agierenden Unternehmen arbeiten immer häufiger an verschiedenen Standorten in unterschiedlichen Zeitzonen zusammen. Dabei lässt es sich oft nur schwer sagen, wann ein Mitarbeiter z.B. über das Telefon kontaktiert werden kann. Die Kommunikation über Instant-Messaging-Systeme ist daher die primäre Option mit Hilfe derer Mitarbeiter eine schnelle Sofortnachricht oder auch spontane Konferenzen durchführen können. So werden Arbeitsabläufe beschleunigt und Prozesse nachhaltig verbessert. In der komplexen Umgebung eines Unternehmens sind typischerweise IM-Systeme der bereits erwähnten etablierten Hersteller anzutreffen, denn diese bieten oft spezielle Lösungen bezüglich Sicherheit, Skalierbarkeit, Archivierungsfunktionen und Integration von Verzeichnisdiensten^[7].

3.3 Sicherheitsbetrachtungen

EDV-Sicherheit ist ein ständig im Wandel begriffener Prozess der immer im Verhältnis zum Benutzungskomfort steht. Maximale Sicherheit ist in der Praxis nicht zu erreichen. Ob ein System sicher ist hängt einzig davon ab wie viel Zeit, Geld und Einsatz dafür aufgebracht wird. Das Sicherheitsniveau der eingesetzten Maßnahmen sollte deswegen ausgewogen sein. Die finanziellen Investitionen sind daher nur ein Teil der Sicherheitskosten^[8]. So sind IT, TK- und Sicherheitsexperten unerlässlich, die über das nötige Know-how verfügen und die bestehenden Systeme kennen^[9].

4 Aktuelle Instant-Messaging-Systeme

Lokale IM-Systeme besitzen eine wesentlich bessere Sicherheitsarchitektur als webbasierte offene Modelle. Viele Hersteller versuchen Ihre entsprechenden Lösungen am Markt zu etablieren. Zwei der gängigen Systeme sollen in diesem Zusammenhang kurz vorgestellt werden.

4.1 Microsoft Office Communications Server (OCS)

Die Unternehmenslösung von Microsoft bietet eine Vielzahl von Funktionen rund um Unified Messaging und besitzt eine sehr gute Anbindung an den Microsoft Exchange Server, der in vielen Unternehmen bevorzugt als E-Mail-Server genutzt wird. Dieser ist aber auch Voraussetzung für den Einsatz des OCS. IM-Funktionen sind bereits in der Standard Version enthalten, weitere Features wie Webkonferenzen mit mehreren Teilnehmern oder Application-Sharing ist nur in der Enterprise Variante möglich. Als Anwendung auf den lokalen PC's wird der Office Communicator benötigt, der den Client-Server-Access ausführt. Eine entsprechende Mobile oder Web-Access- Version ist ebenfalls erhältlich. Die Kommunikation wird in diesem Fall über das SIP-Protokoll und ausschließlich über den Server abgewickelt. Eine weitere Möglichkeit die der OCS bietet ist die Möglichkeit auf öffentliche IM-Dienste wie ICQ oder Live Messenger zuzugreifen^[10]. Großer Vorteil der Lösung von Microsoft ist die vertrauliche Umgebung der Anwendung für den Enduser sowie die Präsenzstatusanzeige des Benutzers. So lässt sich schnell feststellen, welche und ob ein User online ist oder nicht. Weitere Features sind die einfache Administration über die Microsoft Management Console (MMC), welche auch für andere Microsoft Produkte eingesetzt werden kann, die Archivierungsfunktion, welche die IM-Nachrichten in einer SQL-Datenbank abspeichert sowie die hohe Skalierbarkeit, die die Anwendungen flexibel einsetzt^[11].

4.2 IBM Lotus Sametime

Die Softwarelösung Lotus Sametime von IBM gibt es in verschiedenen Ausführungen. Schon die Einstiegsvariante „Entry“ bietet zentrale IM Funktionen. Die meisten Unternehmen nutzen aber bevorzugt die Standardvariante. Diese bietet eine ganze Reihe von Möglichkeiten der Online-Kommunikation, wie u.a. Instant-Messaging, Anwesenheitsanzeige, Videokonferenzen, VoIP sowie Unterstützung für zahlreiche mobile Endgeräte. Eine ebenfalls gute Eigenschaft ist die plattformunabhängige Ausrichtung, sprich Lotus Sametime ist sowohl auf Windows, als auch auf Linux oder Apple Macintosh-Systemen zu betreiben. Ähnlich wie bei Microsoft gibt es auch bei Lotus Sametime die Möglichkeit der Interoperabilität, d.h. öffentliche IM-Dienste werden unterstützt^[12]. So ist auch eine Kommunikation mit Geschäftspartnern oder Kunden ohne zusätzliche Client-Anwendungen möglich. Ein weiterer Vorteil des Lotus Systems ist die Kompatibilität zu den Microsoft Office-Anwendungen. So lässt sich z.B. Outlook problemlos in Lotus Sametime integrieren. Als Basis wird hier ein Lotus Domino Server (ehemals Lotus Notes) benötigt. Dieser dient als Mailserver und kommuniziert mittels RPC (Remote Procedure Call) meist über das TCP/IP-Protokoll mit den Clients. Dank der offenen Eclipse Plattform bietet Lotus Sametime eine einzigartige Erweiterungsmöglichkeit für Plug-ins^[13].

5 Probleme durch Kommunikationssysteme

Instant-Messaging beinhaltet zum Teil ein größeres Sicherheitsrisiko als herkömmliche E-Mail-Clients. Da Unternehmen aber oft mit sehr sensiblen Daten arbeiten, die teilweise auch von Arbeitsplatz zu Arbeitsplatz gesendet werden, soll im folgenden Kapitel ausführlich auf verschiedene Sicherheitsaspekte eingegangen.

Abb. 1 Lokale Peer-to-Peer-Dienste in einem LAN

6 Bedrohungen und Gefahren

Die wesentlichen Schwachstellen von IM-Systemen werden nun anhand des Gefährdungskataloges des BSI näher erläutert. Diese Gefährdungen lassen sich grundlegend in vier Kategorien einteilen: Eindringen (Hacking) Täuschen (Angriffe auf die Integrität und Authentizität) Ausspähen (Angriffe auf die Vertraulichkeit) Zerstören (Angriffe auf die Verfügbarkeit)

In der Informationssicherheit haben sich unterschiedliche nationale und internationale Standards durchgesetzt, die u.a. themen- oder zielgruppenorientiert sind. Der Einsatz dieser Standards in Unternehmen verbessert das Sicherheitsniveau deutlich und gibt Aufschluss darüber welche Maßnahmen in welcher Form anzuwenden sind. Mit den IT-Grundschutzkatalogen bietet das BSI (Bundesamt für Sicherheit in der Informationstechnik) sachbezogene Methoden an um Daten angemessen zu schützen^[14]. Um den Rahmen dieser Arbeit nicht zu überschreiten sollen im folgenden Kapitel die Richtlinien der Gefährdungs- und Maßnahmenkataloge veranschaulicht werden. Dabei geht man von Gefährdungen aus technischer, organisatorischer, menschlicher sowie der vorsätzlichen Handlung und der höheren Gewalt aus. Die Maßnahmen der IT-Grundschutzkataloge beinhalten Bausteine der Infrastruktur, Organisation, Personal, Hardware und Software, Kommunikation, sowie der Notfallvorsorge^[15].

Abb. 2 Aufbau der IT-Grundschutzkataloge

6.1 Höhere Gewalt

Die grundlegende Gefahr für die IT-Infrastruktur stellen die Umstände dar, die ein Unternehmen nicht beeinflussen sondern lediglich minimieren kann. Dazu zählen insbesondere die Einflüsse der höheren Gewalt, wie die zerstörerischen Gegebenheiten Feuer, Wasser oder die Situationen eines Strom- oder eines kompletten Systemausfalls der IT. Neben den technischen Ausfällen können aber auch personelle Engpässe unter den IT-Administratoren für Probleme sorgen^[16].

6.2 Organisatorische Mängel

6.2.1 Regelungen für den Einsatz im Unternehmen

Der Einsatz von IM-Systemen sollte grundsätzlich für den dienstlichen Zweck vorhanden sein. Dies ist aber nicht bei weitem so. Doch laut einer Meinungsumfrage der META Group nutzen mehr als 50% der Mitarbeiter IM zum Austausch mit Freunden und Bekannten am Arbeitsplatz. Daher ist es nicht verwunderlich, dass die Reglementierung dieser Kommunikationsform in den Unternehmen immer weiter voran schreitet. Lediglich 35 % der befragten Firmen legten ihren Mitarbeitern keinerlei Beschränkungen im Umgang mit IM auf^[17].

6.2.2 Schutz der Privatsphäre

Die Möglichkeit mit anderen Benutzern in Kontakt zu treten ist nicht frei von Nachteilen. Beispielhaft dafür ist die Zusendung von Werbenachrichten (SpIM, abgeleitet von Spam und IM) oder die ständige Belästigung am Arbeitsplatz in Form von Stalking. Weiterhin kann durch die Auswertung des Benutzerstatus ein detailliertes Benutzerprofil angefertigt werden, an dem Angreifer erkennen können wann ein User arbeitet und wann nicht. Daher ist das Handeln des Users entscheidend ob er unbekannte Kontakte in seine vertrauenswürdige Liste mit aufnimmt oder nicht. Diese Streitfrage kann durch eine Kontaktliste gelöst werden, auf der ein Server zentral alle Kontakte verwaltet und bei Bedarf neue Kontakte hinzugefügt oder entfernt werden können^[18].

6.3 Menschliche Fehlhandlungen

Die Risiken durch menschliche Fehlhandlungen beziehen sich in erster Linie auf den Benutzer. So ist der Vertraulichkeits- und Integritätsverlust von Daten durch Fehlverhalten enorm groß. Die Pflege der privaten Kontakte ist nur ein Beispiel dessen, inwiefern der User zum Gefährdungspotenzial wird und u.U. zu stark von seiner Arbeit abgelenkt wird. Die fahrlässige Nutzung von IM-Systemen eines Users kann zudem dazu führen, dass ein privater Dateiaustausch urheberrechtlich geschützten Materials juristische Folgen für das Unternehmen nach sich ziehen kann^[19].

6.4 Technisches Versagen

6.4.1 Nutzung von öffentlichen IM-Servern

Den IM-Systemen liegt einer Client-Server-Architektur zugrunde. Unter dem Gesichtspunkt der Sicherheit gibt es folgende Aspekte zu betrachten. Die Kommunikation mit Kunden oder Lieferanten über einen öffentlichen IM-Dienst kann sehr sinnvoll sein, ist aber auch nicht ungefährlich für die eigene IT-Sicherheit. Der Dialog dieser Systeme findet i.d.R nicht im lokalen Netzwerk statt, sondern über den Server des IM-Betreibers. Der Benutzer des öffentlichen Betreibers besitzt aber keinen Einfluss auf die Administration dieser Systeme. So ist es z.B. möglich, dass die Betreiber ihre Server nicht ausreichend gegen Angriffe schützen. Möglich ist es aber auch, dass der Betreiber seine Server bewusst modifiziert um bestimmte Informationen zwischen dem Sender und Empfänger manipulieren zu können. Dies ist für die Übermittlung von sensiblen Geschäftsgeheimnissen unvorteilhaft. Zudem sind den Benutzern bei einem Ausfall eines solchen Systems die Hände gebunden und ein eventuell angefallener finanzieller Schaden kann nicht geltend gemacht werden^[20].

6.4.2 Verfügbarkeit der Serversysteme

Ein IM-System was unternehmensweit für die Kommunikation eingesetzt wird sollte für seine Nutzer ständig verfügbar sein. Diese Aussage klingt zwar trivial, ist aber in der Praxis mit weit reichenden Konsequenzen in der IT-Infrastruktur verbunden. Angriffe auf die Verfügbarkeit der IM-Dienste erfolgen heutzutage meist mit sehr vielen durch Malware infizierten Clients, mit dem Zweck den Ziel Server zu überlasten^[21].

6.4.3 Vielfalt an Protokollen

Trotz eines einheitlichen IM-Systems im Unternehmen ist doch für die Kommunikation mit anderen Geschäftspartnern möglicherweise ein anderer IM-Dienst notwendig. So kommt es zwangsläufig zu einer Verbindung mit dem Server des IM-Betreibers, der im Multiprotokollklienten des Users freigeschaltet und zertifiziert werden muss. Hierbei ist eine regelmäßige Aktualisierung und Wartung unumgänglich^[22].

6.5 Vorsätzliche Handlungen

6.5.1 Bösartiger Code

Viren, Würmer und Trojaner haben sich in der Vergangenheit schon häufiger über IM-Dienste verteilt. Besonders bei einer Verbindung zu externen öffentlichen IM-Diensten ist die Gefahr besonders groß, den Rechner mit einem bösartigen Code und damit gegebenenfalls das gesamte lokale Netz zu infizieren. Die dadurch verursachten Schäden können bis hin zum kompletten Datenverlust führen.

6.5.2 Social Engineering

Eine neuere Form des Angriffs auf IM-Systeme besteht im Social Engineering. In der Praxis ist es für einen Angreifer am einfachsten direkt nach den gewünschten Informationen zu fragen, um seine eigenen Interessen zu wahren und beispielsweise Wirtschaftsspionage zu betreiben. So kann sich der Angreifer als Kunde ausgeben und auf die Gutgläubigkeit des Opfers hoffen^[23].

7 Gegenmaßnahmen und Werkzeuge zur Vorbeugung

Die wesentlichen Lösungen und Empfehlungen für eine sichere Nutzung von Instant Messaging gliedern sich in eine leistungsfähige Architektur des IM-Clients, eine stabile Anbindung des Clients an den IM-Server und für einen sicheren Austausch von Informationen zwischen den Kommunikationspartnern.

Abb. 3 Bedrohung, Schwachstelle und Gefährdung

Wie ist die Darstellung rechts zu verstehen? Eine Bedrohung, die auf ein sicheres Schutzobjekt trifft, hat keine (schädigende) Wirkung. Eine Bedrohung wird erst durch die Ausnutzung einer vorhandenen Schwachstelle zur Gefährdung des Schutzobjekts. Eine korrekt eingesetzte (IT-Sicherheits-) Maßnahme kann dafür sorgen, dass die Schwachstelle "gestopft" wird, d. h., dass die Bedrohung nicht zur Gefährdung wird. Das mit der Bedrohung verbundene Risiko wird durch die Maßnahme – im Idealfall auf Null – reduziert.

7.1 Maßnahmen zur Infrastruktur

Die richtige Infrastruktur ist das A und O einer funktionsfähigen IT-Landschaft. Daher ist es sehr wichtig die entscheidenden Komponenten bei IM-Systemen entsprechend vor Zerstörung, wie Brand, etc. oder etwa Manipulation durch Dritte zu schützen. Dabei sollten separate gekühlte Serverräume, die nur von autorisierten Mitarbeitern betreten werden dürfen einen Kernpunkt einnehmen. Bei eventuell nicht verfügbaren Räumlichkeiten sind entsprechende bauliche Maßnahmen einzuleiten. Darüber hinaus ist die Sicherung der angeschlossenen Client-Arbeitsplätze gegen Diebstahl zu schützen, insbesondere wenn einige mobile Arbeitsplätze wie Notebooks oder Tablet-PC's im Einsatz sind^[24]. Bei der Nutzung von zentralen Datenträgerarchiven zur Aufbewahrung von Datensicherungen ist die Verwendung von Sicherungsschränken empfehlenswert, um den Brandschutz, den Schutz gegen unbefugten Zugriff und die Durchsetzung von Zugangsberechtigungen zu unterstützen2^[25].

7.2 Organisatorische Maßnahmen

Anlehnend an die Verwendung der richtigen Infrastruktur ist die Auswahl der organisatorischen Maßnahmen wie die Regelungen von Verantwortlichkeiten ein wichtiger Bestandteil. Es empfiehlt sich dabei Regelungen festzusetzen für die Vergabe von Zugriffsrechten, die Einhaltung des Datenschutzes, die Datenarchivierung sowie die Dokumentation von IT-Prozessen. Wichtig ist zudem auch, dass alle vereinbarten Regelungen zusammengenommen frei von Widersprüchen sind. Die Festlegung von Zugriffsrechten als Beispiel ist vom jeweils verantwortlichen Mitarbeiter durchzuführen. Er legt fest welche Gruppen bzw. Personen welche Aufgaben wahrnehme dürfen^[26].

7.3 Personelle Maßnahmen

In diesem Teil der IT-Grundschutzmaßnahmen wird erläutert wie mit internen Mitarbeitern als auch mit externen Besuchern im Umfeld der IT umzugehen ist. So ist es zum Beispiel verpflichtend neue Mitarbeiter umfassend in die bestehenden IT-Prozesse einzuweisen und über spezifische Änderungen regelmäßig zu informieren. Die Vertrauenswürdigkeit von Mitarbeitern spielt bei der Zuweisung von Verantwortlichkeiten ein große Rolle. So ist eine Sicherheitsüberprüfung in Deutschland gemäß strenger Datenschutzrichtlinien sehr eingeschränkt. Dennoch kann man sich aussagekräftige Resultate über neue Mitarbeiter einholen, z.B. in Form von polizeilichen Führungszeugnissen, durch Vorlage von Ausweispapieren oder durch Nachfragen bei ehemaligen Arbeitgebern. Besondere Gewichtung wird damit auf die Auswahl von vertrauenswürdigen IT-Administratoren gelegt^[27].

7.4 Hardware und Software-Maßnahmen

Diese Maßnahmen stellen die größte Herausforderung zur Schließung von Schwachstellen in IM-Systemen dar. Aufgrund der enormen Menge an möglichen Maßnahmen, wird im folgenden Abschnitt lediglich auf die wesentlichen Aspekte weiter eingegangen. Geeignete Maßnahmen sind u.a.:

Passwortschutz für die IM-Client-Anwendungen:

Unmittelbar nach dem Aufruf des IM-Systems muss ein Berechtigungsnachweis erfolgen. Kann der Benutzer die erforderliche Berechtigung nicht nachweisen, so verhindert der Passwortschutz den Zugriff auf die Anwendung.

Verschlüsselung der übertragenen Inhalte:

Schutz vor abhören oder dem Sniffen bietet nur eine Verschlüsselung, die auf dem Client vorgenommen wird, z.B. mit Hilfe von OpenPGP. Diese kann erfolgen wenn der Nutzer die Verschlüsselung über die Client-Anwendung selbst anfordert. Alternativ kann dies auch zentral über den IM-Server gesteuert werden.

Einsatz von Schutzsoftware:

Die optionalen Komponenten zum Schutz der IM-Systeme sollten in jeder IT-Architektur vorhanden sein. Sicherheitsfeatures wie Antivirenprogramme, Personal Firewalls sowie Anti-Phishing Tools stellen die grundlegenden Säulen von Systemen dar.

7.5 Veranschaulichung der Verschlüsselung am Beispiel SIP-Protokoll

In der Grundausstattung des Protokolls sind bisher keinerlei Sicherheitsmechanismen enthalten, allerdings gibt es Protokollerweiterungen, die einen sicheren Einsatz von SIP erlauben. Eine Möglichkeit SIP innerhalb eines Netzwerks zu nutzen ist IPsec. Dieses bietet einen Mechanismus für die Gewährleistung der Vertraulichkeit, Integrität und Authentizität zwischen zwei Instanzen^[28]. Dabei erfolgt die verschlüsselte Übertragung nur bis zum Eingang des verbundenen Netzes (z. B Gateway des Unternehmensnetzwerkes), innerhalb des LAN werden die Daten unverschlüsselt übertragen. Für die Kommunikation über LAN sind daher andere Sicherheitsmaßnahmen notwendig. Für den Gebrauch einer IPsec-Lösung werden zudem feste Zugangsdaten benötigt, darüber hinaus ist diese Lösung für verteilte Applikationen, wie in einer IM-Konferenz, wegen der Komplexität nur bedingt anwendbar. Eine weitere Möglichkeit zur Verschlüsselung von SIP bietet die Nutzung des TLS-Protokolls mittels SIPS (SIP over TLS). TLS ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung, welches eine Kombination aus symmetrischer und asymmetrischer Verschlüsselung entspricht. Neben dem Protokollnamen werden der verwendete Port und die Adressierung geändert. Leider kann dieses Verfahren nur bei Anwendungen verwendet werden, bei denen SIP mit TCP realisiert wird, da der TLS-Standard keine Lösung für die Absicherung über UDP zur Verfügung stellt. TLS gewährleistet ähnlich Sicherungsfunktionen wie IPsec^[29].

7.6 Kommunikation

Protokollierung der IM-Nachrichten:

Die mögliche Protokollierung von IM-Nachrichten stellt eine gute Archivierungsform dar. Es ist aber zu prüfen, welche gesetzlichen oder vertraglichen Aufbewahrungsfristen für Protokoll-Dateien beachtet werden müssen. Um die versendeten und empfangen Sofortnachrichten nachzuvollziehen können, sollte eine Mindestspeicherdauer vorgeschrieben werden.

7.7 Notfallvorsorge

Die Gefahr eines länger andauernder Stromausfalls und der damit erhebliche Ausfall des IM-Servers kann durch ein verantwortungsbewusstes IT-Notfallmanagement minimiert werden. So können in Krisen richtig eingesetzte Prozesse und organisiertes Vorgehen die wirtschaftliche Existenz eines Unternehmens auch bei einem größeren Schadensereignis garantieren. Dabei steht die Absicherung der Verfügbarkeit des IM-Servers, der IM-Client-Anwendungen und insbesondere der Informationen im Vordergrund^[30]. Das IT-Notfallmanagement umfasst die Bereiche der Notfallvorsorge mit Präventivmaßnahmen zur Vermeidung von Notfällen sowie die Planung der Notfallbewältigung mit dem Ziel die Wiederherstellung von IT-Systemen. Dazu sind weitere Maßnahmen anhand des Maßnahmenkataloges des BSI durchzuführen.

8 Fazit

Durch die Möglichkeit, im lokalen Netz einen IM-Server zu betreiben, stellen IM-Systeme eine sichere Alternative webbasierten Produkten dar. Bei einem Einsatz in Unternehmen ermöglichen diese eine relativ sichere Kommunikation der einzelnen Benutzer. Auch bei der Integration von öffentlichen Diensten bieten IM-Systemelösungen einen hohen Schutzstandard. Dennoch sind diese Systeme aber nicht ganz frei von Schwachstellen. Doch durch den Einsatz von verschiedenen Verschlüsselungsverfahren ist es für einen Angreifer so gut wie unmöglich diese Kommunikationsform zu stören.

9 Fußnoten

↑ Vgl. http://www.lupocom.com/artikel/artikel-security/151-sicherheitsrisiko-durch-instant-messaging.html.
↑ Vgl. Frese, E. (2000), S. 85
↑ Vgl. Beck, K. (2010) S. 16 – 17
↑ http://www.golem.de/0706/53031.html
↑ Vgl. Kannbach, A (2005) S. 210
↑ Vgl. Janowicz, K. (2006) S176 – S.178
↑ Vgl. Koch, M (2009) S. 70, 71, 72
↑ Vgl. Cheswick, W (2004) S. 33
↑ Vgl. Jaufmann, O. (2006) S. 48
↑ Vgl. Boddenberg, U. (2008) S. 49, 968, 1039, 1086
↑ Vgl. http://Microsoft/kommunikationsfreier/de/de/im-Mesencephalon
↑ Vgl. Ebel, N. S. 1016
↑ Vgl. http://www-142.ibm.com/software/products/de/de/sametime
↑ Vgl. https://www.bsi.bund.de/cln_183/DE/Themen/ITGrundschutz/itgrundschutz_node.html
↑ Vgl. https://www.bsi.bund.de/cln_174/DE/Themen/InternetSicherheit/ISiReihe/isireihe_node.html
↑ Vgl. httpw.bsi.bund.de/cln_174/ContentBSI/grundschutz/kataloge/g/g01/g01.html
↑ Vgl. http://www.heise.de/newsticker/meldung/Studie-Instant-Messenger-haeufig-zum-Kloenen-waehrend-der-Arbeit-genutzt-115017.html
↑ Vgl. https://www.bsi.bund.de/cln_183/ContentBSI/grundschutz/kataloge/g/g02/g02.html
↑ Vgl. https://www.bsi.bund.de/cln_183/ContentBSI/grundschutz/kataloge/g/g03/g03001.html
↑ Vgl. https://www.bsi.bund.de/cln_183/DE/Themen/weitereThemen/ITGrundschutzKataloge/Inhalt/Gefaehrdungskataloge/G4TechnischesVersagen/g4technischesversagen_node.html
↑ Vgl. Ebel, N. (2004) , S. 787
↑ Vgl. Eschweiler J. (2006), S. 38 ff.
↑ Vgl. Mitnick, K. (2003), S.49 - 50
↑ Vgl.https://www.bsi.bund.de/cln_174/DE/Themen/weitereThemen/ITGrundschutzKataloge/Inhalt/Massnahmenkataloge/M1Infrastruktur/m1infrastruktur_node.html
↑ Vgl. https://www.bsi.bund.de/cln_183/DE/Themen/weitereThemen/ITGrundschutzKataloge/Inhalt/Massnahmenkataloge/M1Infrastruktur/m1infrastruktur_node.html
↑ Vgl. https://www.bsi.bund.de/cln_183/ContentBSI/grundschutz/kataloge/m/m02/m02001.html
↑ Vgl.https://www.bsi.bund.de/cln_174/DE/Themen/weitereThemen/ITGrundschutzKataloge/Inhalt/Massnahmenkataloge/M3Personal/m3personal_node.html
↑ Vgl. Kent, S. S. 6 (1998)
↑ Vgl. Dierks, T. und Rescorla, E. (2006)
↑ Vgl. https://www.bsi.bund.de/cln_156/ContentBSI/grundschutz/kataloge/baust/b01/b01003.html

10 Abkürzungsverzeichnis

'
bspw.	Beispielsweise
BSI	Bundesamt für Sicherheit in der Informationstechnik
etc.	et cetera
ggf.	gegebenenfalls
i.d.R.	in der Regel
IM	Instant Messaging
IMS	Instant-Messaging-Systeme
IPsec	Internet Protocol Security
IT	Informationstechnologie
LAN	Local Area Network
MMC	Microsoft Management Console
o.Ä.	oder Ähnliches
OCS	Office Communications Server
PC	Personal Computer
RPC	Remote Procedure Call
SIP	Session Initiation Protocol
SQL	Structured Query Language
TCP/IP	Transmission Control Protocol/Internet Protocol
TLS	Transport Layer Security
TK	Telekommunikation
usw.	und so weiter
u.a.	unter anderem
u.U.	Unter Umständen
WAN	Wide Area Network

11 Abbildungsverzeichnis

Abb. 1	Lokale Peer-to-Peer-Dienste in einem LAN
Abb. 2	Aufbau der IT-Grundschutzkataloge
Abb. 3	Bedrohung, Schwachstelle und Gefährdung

12 Literatur- und Quellenverzeichnis

Beck, K.: Handbuch der Onlinekommunikation, 1. Auflage, Wiesbaden 2010

Boddenberg, U.: Exchange Server 2007 & Office Communications Server, 2. Auflage, Bonn 2008

Cheswick, W.: Firewalls und Sicherheit im Internet, 2. Auflage, München 2004

Dierks, T. und Rescorla, E.: The Transport Layer Security (TLS) Protocol. InRequest for Comments, Network Wor king Group http://www.ietf.org/rfc/rfc4346.txt (2006) [27.01.2011]

Ebel, N.: Lotus Notes Domino Administration – Lotus Groupware verwalten

Eschweiler J.: Security@work, 1. Auflage, Heidelberg 2006

Frese, E.: Aufbauorganisation, in: Corsten, Hans: Lexikon der Betriebswirtschaftslehre, München

Janowicz, K.: Sicherheit im Internet, 2. Auflage, Köln 2006

Jaufmann, O.: Technik, Sicherheit und Nutzen IP-basierter Real-Time-Kommunikation, 1. Auflage, Norderstedt 2006

Kannbach, A.: SIP – Die Technik, 1. Auflage, Wiesbaden 2005

Kent, S.: Security Architecture for the Internet Protocol. In Network Working Group, Request for Comments, http://www.ietf.org/rfc/rfc240.txt (1998) [2011-01-27]

Koch, M.: Enterprise 2.0, 2. Auflage, München 2009

Mitknick, K.: Die Kunst der Täuschung – Risikofaktor Mensch, 1. Auflage, Heidelberg 2003

13 Internetquellen

https://www.bsi.bund.de/cln_183/DE/Themen/ITGrundschutz/itgrundschutz_node.html 10.01.2011

https://www.bsi.bund.de/cln_156/ContentBSI/grundschutz/kataloge/baust/b01/b01003.html 30.01.2011

https://www.bsi.bund.de/cln_174/DE/Themen/InternetSicherheit/ISiReihe/isireihe_node.html 28.01.2011

https://www.bsi.bund.de/cln_183/DE/Themen/weitereThemen/ITGrundschutzKataloge/Inhalt/Gefaehrdungskataloge/G4TechnischesVersagen/g4technischesversagen_node.html 30.01.2011

https://www.bsi.bund.de/cln_183/DE/Themen/weitereThemen/ITGrundschutzKataloge/Inhalt/Massnahmenkataloge/M1Infrastruktur/m1infrastruktur_node.html 30.01.2011

https://www.bsi.bund.de/cln_174/DE/Themen/weitereThemen/ITGrundschutzKataloge/Inhalt/Massnahmenkataloge/M3Personal/m3personal_node.html 29.01.2011

https://www.bsi.bund.de/cln_174/DE/Themen/weitereThemen/ITGrundschutzKataloge/Inhalt/Massnahmenkataloge/M1Infrastruktur/m1infrastruktur_node.html 29.01.2011

https://www.bsi.bund.de/cln_174/ContentBSI/grundschutz/kataloge/g/g01/g01.html 28.01.2011

https://www.bsi.bund.de/cln_183/ContentBSI/grundschutz/kataloge/g/g02/g02.html 25.01.2011

https://www.bsi.bund.de/cln_183/ContentBSI/grundschutz/kataloge/g/g03/g03001.html 23.01.2011

https://www.bsi.bund.de/cln_183/ContentBSI/grundschutz/kataloge/m/m02/m02001.html 30.01.2011

http://www.golem.de/0706/53031.html 10.01.2011

http://www.heise.de/newsticker/meldung/Studie-Instant-Messenger-haeufig-zum-Kloenen-waehrend-der-Arbeit-genutzt-115017.html 30.01.2011

http://www-142.ibm.com/software/products/de/de/sametime 25.01.2011

http://www.lupocom.com/artikel/artikel-security/151-sicherheitsrisiko-durch-instant-messaging.html 20.01.2011

http://www.microsoft.com/communicationsserver/de/de/im-presence.aspx 24.01.2011

[0] Vgl. http://www.lupocom.com/artikel/artikel-security/151-sicherheitsrisiko-durch-instant-messaging.html.

[1] Vgl. Frese, E. (2000), S. 85

[2] Vgl. Beck, K. (2010) S. 16 – 17

[3] ttp://www.golem.de/0706/53031.html

[4] Vgl. Kannbach, A (2005) S. 210

[5] Vgl. Janowicz, K. (2006) S176 – S.178

[6] Vgl. Koch, M (2009) S. 70, 71, 72

[7] Vgl. Cheswick, W (2004) S. 33

[8] Vgl. Jaufmann, O. (2006) S. 48

[9] Vgl. Boddenberg, U. (2008) S. 49, 968, 1039, 1086

[10] Vgl. http://Microsoft/kommunikationsfreier/de/de/im-Mesencephalon

[11] Vgl. Ebel, N. S. 1016

[12] Vgl. http://www-142.ibm.com/software/products/de/de/sametime

[13] Vgl. https://www.bsi.bund.de/cln_183/DE/Themen/ITGrundschutz/itgrundschutz_node.html

[14] Vgl. https://www.bsi.bund.de/cln_174/DE/Themen/InternetSicherheit/ISiReihe/isireihe_node.html

[15] Vgl. httpw.bsi.bund.de/cln_174/ContentBSI/grundschutz/kataloge/g/g01/g01.html

[16] Vgl. http://www.heise.de/newsticker/meldung/Studie-Instant-Messenger-haeufig-zum-Kloenen-waehrend-der-Arbeit-genutzt-115017.html

[17] Vgl. https://www.bsi.bund.de/cln_183/ContentBSI/grundschutz/kataloge/g/g02/g02.html

[18] Vgl. https://www.bsi.bund.de/cln_183/ContentBSI/grundschutz/kataloge/g/g03/g03001.html

[19] Vgl. https://www.bsi.bund.de/cln_183/DE/Themen/weitereThemen/ITGrundschutzKataloge/Inhalt/Gefaehrdungskataloge/G4TechnischesVersagen/g4technischesversagen_node.html

[20] Vgl. Ebel, N. (2004) , S. 787

[21] Vgl. Eschweiler J. (2006), S. 38 ff.

[22] Vgl. Mitnick, K. (2003), S.49 - 50

[23] Vgl.https://www.bsi.bund.de/cln_174/DE/Themen/weitereThemen/ITGrundschutzKataloge/Inhalt/Massnahmenkataloge/M1Infrastruktur/m1infrastruktur_node.html

[24] Vgl. https://www.bsi.bund.de/cln_183/DE/Themen/weitereThemen/ITGrundschutzKataloge/Inhalt/Massnahmenkataloge/M1Infrastruktur/m1infrastruktur_node.html

[25] Vgl. https://www.bsi.bund.de/cln_183/ContentBSI/grundschutz/kataloge/m/m02/m02001.html

[26] Vgl.https://www.bsi.bund.de/cln_174/DE/Themen/weitereThemen/ITGrundschutzKataloge/Inhalt/Massnahmenkataloge/M3Personal/m3personal_node.html

[27] Vgl. Kent, S. S. 6 (1998)

[28] Vgl. Dierks, T. und Rescorla, E. (2006)

[29] Vgl. https://www.bsi.bund.de/cln_156/ContentBSI/grundschutz/kataloge/baust/b01/b01003.html

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]