Skype in der Firma? Ja, aber kontrolliert!

Viele Sicherheitsexperten werden nicht müde, Unternehmen von einem Einsatz der IP-Telefonie-Software Skype abzuraten. Dennoch findet diese zunehmend den Weg auf die Firmenrechner. Zumeist allerdings auf Umwegen. Gemäss einer Umfrage von Skype, seit 2005 eine Tochter des Auktionshauses Ebay, nutzen rund 30 Prozent der Privatanwender die Software auch in ihrem Unternehmen. Dies vor allem deshalb, weil für die Installation der Skype-Software keinerlei Administrationsrechte nötig sind. Einmal auf dem Firmen-PC installiert, verbindet sich der Client mit dem nächsten verfügbaren Super-Node, einem Knotenpunkt im Peer-to-Peer-Netzwerk (P2P) von Skype. Über diese Verbindung kann er dann jederzeit Kommunikationswünsche und zugehörige Adressdaten von anderen Skype-Nutzern empfangen.

Den IT-Administratoren indes bereitet die Internet-Telefonie-Software schlaflose Nächte: Über Skype können die User nämlich Files jeglicher Art austauschen - ungehindert und ohne Sicherheitskontrollen. Und durch das P2P-Prinzip können unter Umständen Rechner-Ressourcen des Unternehmens verschwendet werden. Selbst geblockte Ports und straff konfigurierte Firewalls können die Software nicht an der Kommunikation hindern.

Sollten Unternehmen ihren Mitarbeitern also generell den Gebrauch von Skype strikt untersagen? «Nein», finden die Analysten von Berlecon Research und Forscher von Fraunhofer ESK (Einrichtung für Systeme der Kommunikationstechnik). Gemeinsam haben sie den Report «Skype im Unternehmen - Chancen, Risiken und Policy-Empfehlungen» vorgelegt. Anne-Kathrin Lange, Projektleiterin bei Fraunhofer ESK meint: «Die Kritik an Skype ist zwar durchaus berechtigt. Die Risiken sind aber gegen den Nutzen abzuwägen und sprechen nicht generell gegen einen Einsatz von Skype. Sie legen vielmehr eine Freigabe unter Beachtung klar definierter Regeln nahe.»

Laut Berlecon ist Skype vor allem in der Projektarbeit und Kooperation interner und externer Arbeitsgruppen eine interessante Ergänzung zu Telefon und E-Mail. So können beispielsweise mehrere Teilnehmer aus verschiedenen Organisationen auf simple Weise Telefon- und Video-Konferenzen durchführen oder zeitnah Informationen via Instant-Messaging mit Gruppen-Chat-Funktionen austauschen. Differenzierte Präsenzinformationen sowie die Integration in Outlook und Office sind weitere interessante Funktionen, die bereits der kostenlose Basis-dienst bietet.

Generell nicht in Frage kommt Skype für die Experten hingegen als Ersatz für herkömmliche Kommunikationsanlagen. Dafür fehlen wichtige Leistungsmerkmale, Notruffunktion und öffentliche Verzeichnisse. Ganz zu schweigen von der nicht garantierten Verfügbarkeit.

Unternehmen, die Skype bereits einsetzen oder dies in Zukunft tun wollen, raten die Experten von Berlecon und Fraunhofer ESK, eine Policy mit klaren Regeln für den Umgang mit der IP-Telefonie-Software aufzustellen.

1. Der lokale IT-Verantwortliche oder der IT-Sicherheitsbeauftragte muss über den Skype-Einsatz informiert werden und die Voraussetzungen für die Nutzung prüfen.

2. Auf Rechnern sicherheitskritischer Bereiche mit hohem Schutzbedürfnis sollte die Installation untersagt werden.

3. Die Mitarbeiter müssen detailliert über die Risiken von Skype informiert und für richtigen Umgang mit Unternehmenskritischen Daten sensibilisiert werden.

4. Die Anwender müssen bei der Nutzung alle definierten Regeln einhalten. Dazu zählt auch, dass nur mit bekannten Partnern kommuniziert wird und dass die automatische Annahme von Verbindungen strikt untersagt ist.

Sicherheitsrisiken

Fehlende Standardisierung und Interoperabilität

Unklare Sicherheit, da Protokolle nicht offengelegt werden

Mögliche Sicherheitslücken im Quellcode

Keine Sicherstellung der Authentizität und Integrität der Daten/Verbindung

Potenzieller Kanal zum Schmuggeln vertraulicher Unternehmensdaten

Überwachung des Nutzers möglich

Belastung des Firmennetzes durch Super-Node-Funktionalität

Gefährdung des Unternehmensnetzwerkes über die Endgeräte

Rechtliche Risiken

Unklare Bindungswirkung des Lizenzvertrages

Geschäftliche Nutzung rechtlich nicht klar geregelt

Skype lehnt Gewährleistungsansprüche ab

Skype kann Benutzerkonten löschen

Unklare Eigentums- und Verwendungsrechte der Skype-ID