M 5.152 Austausch von Informationen und Ressourcen über Peer-to-Peer-Dienste

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Als "Peer-to-Peer" (oft auch "P2P" abgekürzt) wird ein Informationsaustausch bezeichnet, der zwischen gleichberechtigten IT-Systemen ("Peers") durchgeführt wird. Jedes IT-System kann hierbei Dienste anbieten oder nutzen. Über die hierfür aufgebaute Kommunikationsverbindung können sich mehrere IT-Systeme Ressourcen dezentral untereinander teilen. Somit werden die typischen Funktionen eines Servers und eines Clients auf einem IT-System vereint.

Oft werden Peer-to-Peer-Anwendungen genutzt, um folgende Dienste anderen Peers bereitzustellen:

Vorteile von Peer-to-Peer-Diensten

Im Gegensatz zu einer servergestützten Architektur haben Peer-to-Peer-Dienste zahlreiche Vorteile:

Die Nutzung von Peer-to-Peer-Diensten hat allerdings auch eine Vielzahl von Nachteilen, die in vielen Fällen auf der fehlenden Zentralisierung zurückzuführen sind (siehe auch G 2.147 Fehlende Zentralisierung durch Peer-to-Peer). Beispielsweise können die ausgetauschten Informationen nicht zentral auf Schadsoftware untersucht werden.

Architektur

Je nach Anforderungen können Peer-to-Peer-Dienste nur in einem lokalen Netz oder im gesamten Internet genutzt werden. Die Anzahl der IT-Systeme, die sich untereinander diese Ressourcen teilen können, reichen von nur wenigen, ausgewählten Peers bis zu einer unüberschaubaren Menge von unbekannten Peers. Generell kann aber zwischen zwei Arten von Peer-to-Peer-Diensten unterschieden werden:

Lokale Peer-to-Peer-Dienste in einem LAN

Abbildung: Lokale Peer-to-Peer-Dienste in einem LAN

Öffentliches Peer-to-Peer über das Internet (File-Sharing)

Abbildung: Öffentliches Peer-to-Peer über das Internet (File-Sharing)

Alternativen für den Einsatz von Peer-to-Peer-Diensten

Nur bei wenigen Diensten ist eine Peer-to-Peer-Kommunikation zwischen IT-Systemen zwingend erforderlich. Beispielsweise können Ressourcen auch zentral von Servern bereitgestellt werden. Erst durch einen Einsatz von Servern können Vorgaben zentral umgesetzt werden, beispielsweise dass nur berechtigte Personen auf die Informationen zugreifen dürfen. Folgende Dienste, die typischerweise über Peer-to-Peer-Netze verteilt werden können, können zentralisiert bereitgestellt werden:

Empfehlungen für den Einsatz von lokalen Peer-to-Peer-Diensten

Wenn möglich, sollten statt Freigaben über Peer-to-Peer-Dienste dedizierte Server zum Informationsaustausch genutzt werden. In Ausnahmefällen ist aber auch der Einsatz von Peer-to-Peer-Lösungen nötig, wie beispielsweise bei VoIP. Daher ist festzulegen:

werden dürfen. Wenn erforderlich, sind die Benutzer für die Nutzung von Peer-to-Peer-Diensten zu schulen. Es ist darauf zu achten, dass sich die Peer-to-Peer-Dienste nur auf das LAN beschränken.

Empfehlungen für den Einsatz von öffentlichen Peer-to-Peer-Diensten

Generell muss der unkontrollierte Informationsfluss aus einem LAN unterbunden werden. Hierzu gehören auch direkte Peer-to-Peer-Verbindungen von Peers zu IT-Systemen, die sich nicht im LAN befinden. Durch die fehlende Zentralisierung können unkontrolliert Informationen das LAN verlassen (z. B. vertrauliche Informationen) oder hinein gelangen (z. B. Schadsoftware). Durch folgende Maßnahmen kann die Nutzung von öffentlichen Peer-to-Peer-Diensten verhindert werden:

Wenn in der Institution Peer-to-Peer-Dienste genutzt werden sollen, muss dies durch die Leitungsebene der Institution beschlossen werden. Der IT-Sicherheitsbeauftragte muss hierbei einbezogen werden, außerdem ist die Entscheidung inklusive der Restrisiken zu dokumentieren.

Prüffragen: