20.03.2007, 09:12 Uhr
Skype in der Firma? Ja, aber kontrolliert!
Skype macht sich auf vielen Firmenrechnern breit, sehr zur Sorge der IT-Administratoren. Dabei spricht nichts gegen einen Einsatz - sofern er kontrolliert erfolgt.
Viele Sicherheitsexperten werden nicht müde, Unternehmen von einem Einsatz der IP-Telefonie-Software Skype abzuraten. Dennoch findet diese zunehmend den Weg auf die Firmenrechner. Zumeist allerdings auf Umwegen. Gemäss einer Umfrage von Skype, seit 2005 eine Tochter des Auktionshauses Ebay, nutzen rund 30 Prozent der Privatanwender die Software auch in ihrem Unternehmen. Dies vor allem deshalb, weil für die Installation der Skype-Software keinerlei Administrationsrechte nötig sind. Einmal auf dem Firmen-PC installiert, verbindet sich der Client mit dem nächsten verfügbaren Super-Node, einem Knotenpunkt im Peer-to-Peer-Netzwerk (P2P) von Skype. Über diese Verbindung kann er dann jederzeit Kommunikationswünsche und zugehörige Adressdaten von anderen Skype-Nutzern empfangen.
Den IT-Administratoren indes bereitet die Internet-Telefonie-Software schlaflose Nächte: Über Skype können die User nämlich Files jeglicher Art austauschen - ungehindert und ohne Sicherheitskontrollen. Und durch das P2P-Prinzip können unter Umständen Rechner-Ressourcen des Unternehmens verschwendet werden. Selbst geblockte Ports und straff konfigurierte Firewalls können die Software nicht an der Kommunikation hindern.
Skype-Nutzung einfach verbieten?
Sollten Unternehmen ihren Mitarbeitern also generell den Gebrauch von Skype strikt untersagen? «Nein», finden die Analysten von Berlecon Research und Forscher von Fraunhofer ESK (Einrichtung für Systeme der Kommunikationstechnik). Gemeinsam haben sie den Report «Skype im Unternehmen - Chancen, Risiken und Policy-Empfehlungen» vorgelegt. Anne-Kathrin Lange, Projektleiterin bei Fraunhofer ESK meint: «Die Kritik an Skype ist zwar durchaus berechtigt. Die Risiken sind aber gegen den Nutzen abzuwägen und sprechen nicht generell gegen einen Einsatz von Skype. Sie legen vielmehr eine Freigabe unter Beachtung klar definierter Regeln nahe.»
Laut Berlecon ist Skype vor allem in der Projektarbeit und Kooperation interner und externer Arbeitsgruppen eine interessante Ergänzung zu Telefon und E-Mail. So können beispielsweise mehrere Teilnehmer aus verschiedenen Organisationen auf simple Weise Telefon- und Video-Konferenzen durchführen oder zeitnah Informationen via Instant-Messaging mit Gruppen-Chat-Funktionen austauschen. Differenzierte Präsenzinformationen sowie die Integration in Outlook und Office sind weitere interessante Funktionen, die bereits der kostenlose Basis-dienst bietet.
Generell nicht in Frage kommt Skype für die Experten hingegen als Ersatz für herkömmliche Kommunikationsanlagen. Dafür fehlen wichtige Leistungsmerkmale, Notruffunktion und öffentliche Verzeichnisse. Ganz zu schweigen von der nicht garantierten Verfügbarkeit.
Skype-Freigabe bedarf klarer Regeln
Unternehmen, die Skype bereits einsetzen oder dies in Zukunft tun wollen, raten die Experten von Berlecon und Fraunhofer ESK, eine Policy mit klaren Regeln für den Umgang mit der IP-Telefonie-Software aufzustellen.
1. Der lokale IT-Verantwortliche oder der IT-Sicherheitsbeauftragte muss über den Skype-Einsatz informiert werden und die Voraussetzungen für die Nutzung prüfen.
2. Auf Rechnern sicherheitskritischer Bereiche mit hohem Schutzbedürfnis sollte die Installation untersagt werden.
3. Die Mitarbeiter müssen detailliert über die Risiken von Skype informiert und für richtigen Umgang mit Unternehmenskritischen Daten sensibilisiert werden.
4. Die Anwender müssen bei der Nutzung alle definierten Regeln einhalten. Dazu zählt auch, dass nur mit bekannten Partnern kommuniziert wird und dass die automatische Annahme von Verbindungen strikt untersagt ist.
Die Risiken von Skype im Unternehmenseinsatz
Sicherheitsrisiken
Fehlende Standardisierung und Interoperabilität
Unklare Sicherheit, da Protokolle nicht offengelegt werden
Mögliche Sicherheitslücken im Quellcode
Keine Sicherstellung der Authentizität und Integrität der Daten/Verbindung
Potenzieller Kanal zum Schmuggeln vertraulicher Unternehmensdaten
Überwachung des Nutzers möglich
Belastung des Firmennetzes durch Super-Node-Funktionalität
Gefährdung des Unternehmensnetzwerkes über die Endgeräte
Rechtliche Risiken
Unklare Bindungswirkung des Lizenzvertrages
Geschäftliche Nutzung rechtlich nicht klar geregelt
Skype lehnt Gewährleistungsansprüche ab
Skype kann Benutzerkonten löschen
Unklare Eigentums- und Verwendungsrechte der Skype-ID
Claudia Bardola