SPOTLIGHT FROM 28.04.2010

Skype Policy lässt IT-Admins besser schlafen

This spotlight analysis is currently only available in German.

By Nicole Dufft, Berlecon Research
Topic: Mobility & Business Communications

Skype steht heute für viele Nutzer als Synonym für die kostenfreie Sprach- und Videotelefonie über das Internet. Der Internetdienst hat weltweit inzwischen über 500 Mio. Nutzer, davon sind im Durchschnitt ständig ca. 20 Mio. online. Zwar liegt der Fokus in der privaten Nutzung, seit der Version 3.0 hat Skype allerdings verstärkt Anstrengungen unternommen, die Anwendung auch für den Einsatz in Unternehmen attraktiv zu machen. Mit seinen zahlreichen Funktionen wie Präsenzanzeige, Instant Messaging, sowie File und Desktop Sharing ist Skype in der Tat auch für die geschäftliche Nutzung interessant – insbesondere in Unternehmen, in denen (bisher) diese Funktionalitäten nicht über andere Software zur Verfügung stehen, zum Beispiel im Rahmen einer Unified-Communication-Lösung.

Vor allem in der Projektarbeit und Zusammenarbeit interner und externer Arbeitsgruppen bietet Skype interessante Kommunikationsdienste. So können bspw. in Gruppen-Chats auch mit mehreren Teilnehmern aus verschiedenen Organisationen Informationen zeitnah ausgetauscht werden. Auch Videoverbindungen können einfach und kostenfrei realisiert werden – ohne dass zusätzliche Software angeschafft werden muss. Insbesondere für internationale Geschäftskontakte, vor allem in Asien, ist Skype ein viel genutzter, verschlüsselter Kommunikationskanal.

Allerdings unterscheidet sich Skype in einem zentralen Punkt von anderen Anwendungsprogrammen: Zum Installieren werden keine Administrationsrechte benötigt, und eine vollständige Kontrolle bzw. Blockade der Skype-Nutzung ist nicht möglich. Mitarbeiter können also völlig autonom und unabhängig von der IT-Abteilung, die Entscheidung über die Installation von Skype Clients treffen.

Diese Tatsache bereitet vielen ITK-Verantwortlichen Kopfschmerzen. Denn die Nutzung von Skype ist mit zahlreichen Sicherheits- und Rechtsfragen verknüpft. So kann beispielsweise jeder Rechner mit öffentlich zugänglicher IP-Adresse und installiertem Skype Client zum sogenannten Supernode oder Relay werden. Über diese (Vermittlungs-) Rechner werden unter anderem Signalisierungs- und Erreichbarkeitsinformationen ausgetauscht oder auch die gesamte Kommunikation geroutet. Hieraus können sich unerwünschte Belastungen und Überlastungen bis hin zu Ausfällen der Internetanbindung ergeben. Da Skype die Unternehmens-Firewall tunnelt und den Informationsfluss verschlüsselt, können mit der Anwendung zudem unbemerkt Daten aus dem Unternehmen geschleust werden.

Nach unserer eingehenden Analyse in Kooperation mit Fraunhofer ESK sprechen die bestehenden Sicherheitsrisiken aber nicht prinzipiell gegen eine Nutzung von Skype, sondern vielmehr für eine Freigabe unter Beachtung klar definierter Regeln. So sollte zum einen die Nutzung dem lokalen IT-Verantwortlichen oder IT-Sicher¬heitsbeauftragten gemeldet werden, der die Voraussetzungen prüft und die Installation dokumentiert. Zum anderen müssen die Skype-Anwender über die Sicherheitsrisiken aufgeklärt und mit den Nutzungsregeln vertraut gemacht werden.

Schon aufgrund der nicht vorhandenen Notruffunktion, nicht garantierter Verfügbarkeit und netzabhängigen Qualitätseinbußen ist Skype aber kein Ersatz für die klassische Telefonie im Unternehmen. Die Funktionalitäten und Integrationsmöglichkeiten sind auch bei weitem nicht mit denen einer umfassenden UC-Lösung vergleichbar. Gegen einen ergänzenden Einsatz im Geschäftsalltag ist jedoch nicht viel einzuwenden – vorausgesetzt, Nutzungsregeln sind festgelegt und werden eingehalten. Unterstützung für den Umgang mit Skype und bei der Definition dieser Regeln bietet der aktuelle Berlecon-Report "Skype im Unternehmenseinsatz 2010 – Chancen, Risiken und Policy-Empfehlungen".