Mittelstand in Österreich

April 3, 2009

IT-Security: Peer-to-Peer – Lebensgefahr für Unternehmen

Filed under: IT-Sicherheit — Wolfgang Schnabl @ 12:56 pm
Tags: , , , ,

Die drei wichtigsten Gefahren von Peer-to-Peer Programmen – Spyware, Data Leakage und Verstöße gegen Digital Rights Management – können Unternehmen in ihrer Existenz bedrohen. Mitarbeitern, aber auch der Geschäftsleitung, muss dies bewusst sein, nur so können effektive Maßnahmen getroffen werden.

Die Verwendung von Peer-to-Peer (P2P) Programmen zum Tausch von Filmen oder Musik wird gerne als Kavaliersdelikt abgetan: „Es trifft ja „nur“ die Musik- und Filmindustrie, die können sich das schon leisten.“ Diese Einstellung ist naiv und kann für Firmen letal enden.
Die P2P Technologie ist alt und einfach. Anstatt eines zentralen Servers, der Daten (z.B. neue Kinofilme oder Musikalben) zur Verfügung stellt, bieten alle Nutzer im Netzwerk ihren eigenen Rechner gleichzeitig allen anderen Nutzern an. Dadurch habe ich auf alle im Netz vorhandenen Dateien Zugriff (was die Auswahl enorm vergrößert), und alle anderen haben auf meine Dateien Zugriff (was sich einschränken lässt).

Was aus eigener Sicht wie der Blick ins Schlaraffenland aussieht – und hier übersieht man gerne so Nebensächlichkeiten wie Digital Rights Management (DRM) –, das entpuppt sich aus Firmensicht als Armageddon.

Programme oft mit Spyware verseucht

Bei Verwendung von P2P Programmen durch die eigenen Mitarbeiter ergeben sich mehrere gravierende Probleme:
P2P Programme werden meist kostenlos aus dem Internet zum Download bereitgestellt. Wie finanzieren also die Hersteller der Software ihre Produkte? Häufig durch die Verwendung von Spyware, die im Programm versteckt ist. Die Installation funktioniert simpel, der Benutzer installiert das Programm (und damit die Spyware) ganz bewusst, es brauchen also keine Betriebssystem-Fehler oder andere Hintertüren ausgenutzt werden.

Was macht die Spyware?
Das ist einfach zu beantworten: Alles was der Programmierer will, denn nichts hindert ein legitimes Programm daran, alle meine Daten zu sammeln und auf fremden Servern im Internet abzulegen. Nichts verhindert, dass mein eigener Rechner als Verteiler von strafrechtlich relevanten Material – warum sollten „die Bösen“ ihre eigenen Rechner verwenden? – missbraucht wird, oder als Versandstelle für Spam-Mails, oder als Ausgangspunkt für Angriffe auf andere Firmen, um Geld zu erpressen.
Die Benutzer wissen einfach nicht, was sie mit der Filesharing-Funktionalität sonst noch erworben haben. Sie wissen nicht, ob ihr Rechner noch ihnen „gehört“, oder nur mehr die Hardware.

Unbemerkter Verlust vertraulicher Daten

Ein anderes kaum beachtetes Problem ist Data Leakage, der Verlust von vertraulichen Firmendaten. Technische Spezifikationen von Obamas Hubschrauber „Marine One“ wurden – über Gnutella verteilt – im März auf iranischen Computern gefunden. Das ist nur ein Beispiel von vielen. Es steht fest, dass über P2P Programme nicht nur die vorgesehenen Tauschobjekte frei ins Internet verteilt werden, sondern unbewusst auch viele andere Informationen, die sich am eigenen Rechner befinden. Der Abfluss von sensiblen Firmendaten (Marktstrategie, Kunden, Verträge, Forschungsergebnisse), aber auch von durch Gesetze (DSG) oder Compliance (PCI DSS) geschützte Daten ist unkontrollierbar, solange ich P2P Programme nicht aktiv verhindere.

Harte rechtliche Konsequenzen

DRM bewirkt, dass die Musik- und Filmindustrie immer öfter bei (berechtigtem) Verdacht klagt. Nun liegt es am EDV Verständnis des Richters, der den Durchsuchungsbefehl unterschreibt, ob er die Rechner beschlagnahmen lässt, oder ob ihm ein Backup der Festplatte reicht. Hierzu sollte sich das Management eines Unternehmens überlegen, was es (mindestens) 6 Monate ohne ihre wichtigsten Server macht, um den Ernst dieser Situation zu erfassen.

Fazit

Peer-to-Peer hat in Unternehmensnetzwerken nichts verloren. Dies muss auch von den Mitarbeitern verstanden werden. Es müssen technische Maßnahmen getroffen werden, aber auch regelmäßige Überprüfungen auf Wirksamkeit und Einhaltung der Maßnahmen stattfinden, sowie bei Verstößen rigorose Sanktionen gesetzt werden.

Gesamtsicherheit ist immer eine ausgewogene Kombination aus technischen, organisatorischen und persönlichen Maßnahmen.

Advertisements

2 Kommentare »

  1. Hallo Hr. Santer !
    Diese Info über Peer-to-Peer ist sehr interessant. Ich weiß zwar nicht, ob unsere
    (vor allem) jungen Mitarbeiter, dieses Programm kennen und nützen. Doch werde ich eine
    Info an alle Mitarbeiter geben, dass dies unerlaubt ist in unserer Firma. Vorbeugen ist
    besser !
    Danke und schönen Abend !
    Lg von
    Andrea Hamm

    Kommentar von Andrea Hamm — April 8, 2009 @ 10:04 pm | Antwort

    • Hallo Frau Hamm,

      Vielen Dank für das Feedback, das freut uns natürlich. 🙂
      Der Artikel ist übrigens von Wolfgang Schnabl, auf der Seite Die Autoren finden Sie mehr Informationen.

      Kommentar von Matthias Santer — April 9, 2009 @ 6:19 am | Antwort


RSS feed for comments on this post. TrackBack URI

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

Bloggen auf WordPress.com.

%d Bloggern gefällt das: