Mit dem Verweis auf den Sarbanes-Oxley Act (SOX) schalten etliche Unternehmen ihre Instant-Messaging-Systeme ab. Die Sicherheits- und Archivierungsfunktionen der IM-Technik seien nicht stark genug, so die Befürchtungen, als dass sie den Anforderungen der SOX-Sektion 302 Genüge täten. Diesem Passus des US-Gesetzes zufolge müssen Unternehmenslenker und Finanzchefs belegen können, dass sie interne Kontrollsysteme eingerichtet haben und deren Effektivität regelmäßig überprüfen. Die nur schwer zu überwachende Echtzeitkommunikation via IM würde diese Aufgabe erschweren.
www.computerwoche.de/go/
*77845: Wurmattacken auf Instant Messaging nehmen zu;
*73499: Rasanter Anstieg von Instant-Messaging-Bedrohungen;
*71389: Sicherheitslücke: Microsoft empfiehlt Upgrade für MSN Messenger;
*67855: Sarbanes-Oxley und die Folgen;
*66274: Sarbanes-Oxley-Deadline: Die Zeit wird knapp;
*67714: Aufbewahrungspflichten heute und morgen.
Verdacht auf Viren
Softwareunternehmen wie Face-Time Communications Inc. und IM-Logic Inc. bieten Tools an, mit denen sich der Messaging-Verkehr dauerhaft speichern lässt und die darüber hinaus ein Schutzschild gegen Malware aufbauen. Doch offenbar traut nicht jeder Anwender dem Frieden. Einige ziehen lieber den Stecker aus ihren IM-Systemen.
Dazu gehört Jefferson Wells International Inc., ein in Brookfield, Wisconsin, ansässiger Professional-Services-Anbieter. Wie dessen Manager für den unternehmensweiten IT-Betrieb, Scott Robertson, erläutert, könnten die über das MSN-Messenger-System eingehenden Nachrichten unentdeckte Softwareviren enthalten. "Wir hatten nie das komfortable Gefühl, dass wir die Instant Messages nach Strich und Faden auf Viren untersucht hätten", erläutert er.
Erschwerend hinzu komme das Risiko, so Robertson weiter, dass Jefferson-Wells-Mitarbeiter durch die IM-Kommunikation das Netz eines Kunden mit einem Virus oder Wurm infizieren könnten, denn viele würden direkt bei der Klientel arbeiten. Last, but not least war das Unternehmen gehalten, sich der Entscheidung seiner Konzernmutter Manpower Inc. zu beugen, die sich im Zusammenhang mit SOX klar gegen den IM-Einsatz ausgesprochen hatte. Die zu erwartenden Proteste der Mitarbeiter blieben angeblich aus.
Auch das New Yorker Steuerprüfungs- und Beratungsunternehmen Deloitte & Touche LLP berichtet von zwei - selbstverständlich anonymen - Kunden, die ihre IM-Systeme abgeschaltet hätten, weil sie Konflikte mit den SOX-Bestimmungen fürchteten. Bei dem einen handle es sich um einen Serviceanbieter aus dem Süden der USA, bei dem anderen um einen großen in New York beheimateten Versicherer.
Andere Unternehmen gehen nicht so weit, leiten aber Schritte ein, um die Sicherheits- und Archivfunktionen ihrer IM-Systeme zu verbessern. Eines von ihnen ist Chevron Corp. Der Ölkonzern erwägt ernsthaft, die externen IM-Verbindungen zumindest einer seiner Unternehmenseinheiten zu kappen, sagt Jay White, seines Zeichens Global Information Protection Architect in der Chevron-Zentrale in San Ramon, Kalifornien. "Wir betreiben unser IM-System intern", erläutert er, "aber in den externen Verbindungen hat sich die Sicherheitsfrage bereits gestellt." Welcher Unternehmensteil betroffen war, verrät White nicht.
Es gibt allerdings auch Stimmen, die vor einer Überreaktion warnen. Und andere vertreten die Ansicht, SOX sei nur ein vorgeschobener Grund, um das IM-System loszuwerden. "Sarbanes-Oxley ist ein wunderbares Vehikel, um bestimmte Dinge aus den Händen der Mitarbeiter zu nehmen", spottet Greg Hedges, Manager für technologische Risken bei Protiviti Inc., einem Audit- und Consulting-Unternehmen aus Menlo Park, Kalifornien. Mit derselben Begründung werde aus einigen Unternehmen sogar die drahtlose Kommunikation verbannt. (qua)