Wie Instant Messaging die Geschäftskommunikation erleichtert

In den englischsprachigen Ländern sind sie bereits weit verbreitet: Web-basierende Instant-Messaging-Dienste (IM) wie von AOL, Yahoo oder MSN. Diese Anwendungen haben erstaunlich schnell den Sprung vom Privatbereich in das Geschäftsleben geschafft, nicht zuletzt wegen ihrer Echtzeit-Funktionalität und ihrer unkomplizierten Anwendung. Um alle Vorteile von IM auszuschöpfen, sollten Nutzer aber auch bestehende Sicherheitslücken kennen und entsprechende Vorsorgemaßnahmen ergreifen.

Warum sollte Geschäftskommunikation über IM ablaufen? Steht nicht bereits mit Telefon, FAX und eMail ein Mix an Kommunikationsmitteln für jeden Zweck bereit? Um diese Fragen zu beantworten, einige kurze Feststellungen zur Funktionsweise eines IM-Dienstes. Dieser ähnelt grundsätzlich einem einfachen Chatprogramm. Allerdings läuft die Kommunikation immer nur zwischen einzelnen Gesprächspartnern ab. Der Anwender kann aus einer persönlichen Liste einzelne Kontakte auswählen und mit diesen Textmitteilungen austauschen. Die Vorteile gegenüber den herkömmlichen Kommunikationsmethoden: Erstens geschieht der Austausch per Instant Messaging im Gegensatz zu eMail in Echtzeit. Und Zweitens zeigen die Programme ständig den Status des Empfängers an. So zum Beispiel, ob dieser gerade beschäftigt ist, ansprechbar ist oder selber eine Nachricht schreibt. Diese Feinheiten machen IM als Kommunikationswerkzeug äußerst interessant, besonders für Firmen, die mit mehreren lokalen Standorten oder verschiedenen Ländern in Kontakt stehen. Denn das heißt oft, dass die Koordination von Projektteams über verschiedene Zeitzonen hinweg abläuft. Im ungünstigsten Fall werden so eMails im Tagesrhythmus verzögert. Zum Beispiel, wenn die an einem Morgen in den USA versandte Nachricht den Ansprechpartner in Europa erst am dort nächsten Morgen erreicht. Per IM könnten in solch einem Fall Verzögerungen vermieden werden. Denn Gesprächspartner können immer sicher sein, dass ihre Nachricht sofort gelesen wird und dass auch praktisch in Echtzeit eine Antwort eingeht – eine schnelle Reaktion, auf die es im Geschäftsalltag häufig ankommt. Das heißt, IM ergänzt die bekannten Kommunikationsmittel: Für den längeren, möglichst persönlichen Kontakt werden viele zum Telefon greifen. Tauscht man längere schriftliche Informationen aus oder versendet umfangreiche Daten, bleibt die klassische eMail erste Wahl. Werden aber möglichst schnell kurze und präzise Informationen benötigt, sieht der IM-Anwender auf einen Blick, welcher seiner Kontakte sich gerade vor dem Computer befindet. Dann spricht er gezielt jene an, die eine entsprechende Antwort parat haben.

Die Wachstumsraten, die IDC dem relativ neuen Medium prognostiziert, sind deshalb nicht überraschend: Die amerikanischen Analysten erwarten bis zum Jahr 2005 einen Anstieg der IM-Nutzung auf über 300 Millionen Geschäftsanwender. Allerdings herrschen in diesem Umfeld andere Umstände als im privaten Bereich. Für den Durchbruch von Instant Messaging im Geschäftsleben steht die Sicherheit der Dienste an erster Stelle. Denn elektronische Unternehmenskommunikation ist vertrauliche Kommunikation. Der Siegeszug der eMail-Technologie hat dies bewiesen. Ein verantwortungsbewusster Umgang mit dem neuen Medium, gepaart mit den entsprechenden Sicherheitsfunktionen ließ die Akzeptanz sowohl im privaten, als auch im geschäftlichen Bereich schnell ansteigen.

IM – eine Gefahr für das Firmennetz?
Ein entsprechendes Bewusstsein gilt es auch, auf dem Gebiet der IM-Kommunikation zu schaffen. Einerseits für die entsprechende Wachsamkeit im Umgang, andererseits für die Notwendigkeit technischer Absicherung. Innerhalb der Firma solche Aufmerksamkeit zu generieren ist die Herausforderung für Unternehmen. Das Problem: Die Web-basierenden IM-Programme wie von AOL, Yahoo oder Microsoft sind frei im Internet erhältlich. Sie sind schnell herunter geladen und auch von Laien einfach installiert. Meist geschieht dies am Arbeitsplatz, ohne dass Management und IT-Abteilung davon etwas mitbekommen. IM muss aber auf Führungsebene Beachtung finden, damit ein Bewusstsein für die potenzielle Gefährdung entsteht, die von diesen Programmen ausgeht. Entsprechend können dann von Seiten des IT-Managements Nutzungsregeln oder Sicherheitsrichtlinien für den Umgang mit IM definiert werden. Denn die Verantwortung für die Nutzung von IM und dem damit verbundenen Gefahrenpotenzial sollte nicht bei dem einzelnen Mitarbeiter liegen. Dieser sieht zwar die Vorteile, die ihm Instant Messaging im Geschäftsalltag bietet, weiß aber wenig über die damit verbundenen Gefahren.

Zwar sind die Programme frei erhältlich und ihre Inbetriebnahme unkompliziert. Ist dies aber am Arbeitsplatz einmal geschehen, bildet das IM-Programm einen nicht abgesicherten Brückenkopf, über den Daten aus dem Internet in das Unternehmen gelangen können. Diese IM-Daten laufen als HTTP-Datenverkehr nicht über den abgesicherten Unternehmensserver und werden nicht auf Inhaltsebene von einer Firewall gescannt. Und weil die Port-agilen Dienste alle freien logischen Schnittstellen zur Kommunikation nutzen, bedeutet dies, dass sich potenziell gefährliche Daten ungehindert und schnell im Netzwerk verbreiten können. Genauso ist der das Firmennetz verlassende IM-Datenverkehr ein Schlupfloch, über das vertrauliche Firmendaten ungehindert nach außen geschleust werden können. Für Firmen bedeutet dies: Selbst wenn die standardmäßig implementierten Sicherheitsvorkehrungen wie gefordert funktionieren, höhlt mangelnde Aufmerksamkeit für zum Beispiel Instant Messaging das IT-Sicherheitskonzept des Unternehmens aus.

Produktivität: Eine Frage der Nutzung
Auch dem Thema Nutzungskontrolle muss Aufmerksamkeit geschenkt werden. Denn eine Firma ist in erster Linie daran interessiert, dass ihre Mitarbeiter gut und zuverlässig arbeiten. Web-basierende Instant Messenger können aber ein enormes Ablenkungspotenzial bilden. Denn IM ist ein leiser Zeitkiller, dessen Nutzung für Privates vordergründig nicht von normaler Arbeit am Computer zu unterscheiden ist. Dazu müsste in Unternehmen die ständige Überwachung über die Schulter zum Standard werden – eine weder arbeitsrechtlich noch aus Produktivitätssicht gewünschte Vorstellung. Vielleicht wird der Umgang von Firmen mit Web-IM deshalb noch stiefmütterlich behandelt, was der Vergleich mit dem Stellenwert von Spam-eMails in der öffentlichen Diskussion zeigt. Diese sind, zugegeben, ein Ärgernis, aber die zum Löschen aufgewendete Arbeitszeit ist gering. Demgegenüber ist es ohne Weiteres möglich, bei Interesse stundenlang IM- oder Chat-Dienste zu benutzen. Eine im September 2003 von Blue Coat Systems in Amerika und dem UK durchgeführte Studie bestätigt dies. Von den 300 Befragten gaben über 65 Prozent zu, IM während der Arbeitszeit für private Kommunikation zu nutzen. Und nur 40 Prozent aller amerikanischen Arbeitgeber verbieten unüberwachte Downloads. Wenn aber IM während der Arbeitszeit unüberwacht benutzt wird, sind auch IM-Sicherheitsprobleme eine Gefahr für Unternehmen. IM-Sicherheit sollte deshalb von Anfang an bedacht werden: Wenn die Nutzerzahlen weiter steigen, wird auch die Häufigkeit und Schwere von Angriffen über IM zunehmen.

Secure Instant Messaging: Viele Wege, ein Ziel
Angesichts des Potenzials von IM für die Geschäftskommunikation wäre es falsch, die kurzsichtige Lösung zu wählen und IM in Unternehmensnetzen komplett zu sperren. Dies geht auf Kosten der Funktionalität, denn wie gezeigt hat IM durchaus die Chance, sich dauerhaft als Ergänzung zu eMail und Telefon zu etablieren. Außerdem ist es kompliziert, die Funktion von Instant Messengern in Netzwerken zu unterbinden. Denn der erste Schritt wäre sicherlich die Sperrung der von IM-Diensten zur Kommunikation genutzten Ports per Firewall. Die port-agilen Programme sind aber standardmäßig darauf ausgelegt, jederzeit die Verbindung zwischen Desktop und Internet offen zu halten und tauschen in diesem Fall Daten einfach über andere, freie Ports aus – letztendlich meist über Port80, der für den Internet Datenverkehr immer offen bleiben muss.

Eine Alternative wäre die Einführung einer internen IM-Lösung für die Geschäftskommunikation, wie zum Beispiel IBM’s Sametime. Eine solche softwarebasierende Lösung wird über die bestehenden Netzwerkssicherheitslösungen abgesichert. Oder die Wahl fällt auf eine spezielle, interne IM-Lösung auf Appliance-Basis wie von Appliansys. Solche interne Hardwarelösungen bieten durch ihre Auslegung ebenfalls gute Sicherheit. Allerdings: Beide Möglichkeiten sind Workaround-Lösungen, die Mitarbeiter nicht abhalten, neben firmeninternen Lösungen parallel Web-basierende IM-Programme für den Privatgebrauch zu installieren. Deshalb sollte eine wirklich überzeugende Lösung nach diesen Erkenntnissen die vielfältigen Web-basierenden IM-Programme nutzbar machen, gleichzeitig aber die Kontrolle und Sicherheit der Nutzung garantieren. Eine solche Notwendigkeit wurde seit kurzem von Technologieschmieden aus dem Startup-Bereich erkannt. Unternehmen wie Akonix oder FaceTime bieten Programme, die die Nutzung von IM verhindern oder anhand verschiedener Kriterien einschränken. Diese Lösungen sind vergleichsweise günstig zu haben und bieten der Firmenleitung Kontrolle über den täglichen IM-Verkehr. Allerdings gilt: Die definierten Filterkategorien beziehen sich allein auf die IM-Nutzung. Solche fokussierten Lösungen sind also nur kleine Puzzleteile, wenn es um umfassende IT-Sicherheit geht. Nichts desto Trotz beanspruchen sie ihren Verwaltungsaufwand für Konfiguration und Pflege. Außerdem kommt bei solchen Programmen das Problem aller Softwaresicherheitslösungen zum Tragen: Solche Lösungen werden auf zusätzlichen Servern installiert, die wiederum zusätzlichen Aufwand durch Wartung und Pflege verursachen.

Multifunktionale Sicherheit spart Geld und Nerven
Soll also Sicherheit und Kontrolle von Web-basierenden Instant Messengern nicht mit hohen Investitionen in die Netzwerkinfrastruktur erkauft werden, muss die Absicherung am Gateway geschehen, am Besten über eine multifunktionale Security Appliance. Diese Geräte bieten die Leistungsmerkmale klassischer Proxyserver, zum Beispiel intelligente Caching-Technologie. Sie sind äußerst leistungsfähig und zur Umsetzung auch komplexer Sicherheitsfunktionen geeignet. Der Vorteil: Eine solche Appliance kombiniert Funktionen wie IM-Kontrolle, Überwachung des gesamten Web-Datenverkehrs auf Inhaltsebene, Virenschutz oder Inhaltsfilter innerhalb eines Gerätes. Das vereinfacht die Administration und spart Geld. Die Verwaltung geschieht über eine einzelne Schnittstelle, über die sämtliche Sicherheitsfunktionen per Sicherheitsregelwerke definiert und umgesetzt werden. Dem Administrator stehen dazu granulare Kategorien zur Verfügung, beispielsweise welcher Mitarbeiter, welche Arbeitsgruppe, Nutzungszeit, erlaubte Bandbreite, Art der übermittelten Daten oder Quelle des angeforderten Materials. Dies ergibt eine sehr flexible Absicherung von IM: Mitarbeiter können zum Beispiel nach der Arbeitszeit auch Web-basierende IM-Dienste für Privates nutzen, ohne dass ihre Firma Gefahr läuft, dadurch bösartigen Programmcode (MMC) in ihr Netz zu lassen. Denn alle empfangenen Daten werden auf Inhaltsebene gescannt und bei Gefahr bereits am Gateway aussortiert, auf Wunsch verbunden mit einem Hinweis an den Nutzer. Während des Arbeitstages beschränkt die Lösung IM-Verkehr gleichzeitig auf interne Kommunikation oder Kommunikation mit sicheren Kontakten. Und bandbreitenintensiver Datenversand bleibt Nutzern der höheren Managementebene vorbehalten. Unter diesen Gesichtspunkten ist ein Unternehmen, dass seinen IM-Verkehr über eine Security Appliance absichert, in jedem Fall auf der richtigen Seite.

Fazit
Unternehmen sollten jetzt die Vorteile von Instant Messaging erkennen und seine Nutzung in tägliche Geschäftsabläufe einbinden. Für die notwendige Absicherung erweißt sich eine Security Appliance als beste Wahl. Denn sicheren Internet-Datenverkehr über die Firewall hinaus braucht jedes Unternehmen. Die zusätzliche Bereitstellung von Funktionen wie IM-Überwachung, Virenschutz, Policy- oder Bandbreitenmanagement mittels der bestehenden Hardware ist dann nur noch eine – vergleichsweise günstige – Sache von Upgrades oder Konfiguration.

Dieser Artikel erschien am und wurde am aktualisiert.
Nach oben scrollen