Zoom, Slack, Google & Co.

Das (un)sichere Homeoffice

20. April 2020, 13:58 Uhr |

Fortsetzung des Artikels von Teil 1

Skype for Business und Google Hangouts haben ordentlich nachgebessert

Gerade bei Verstößen gegen Datenschutz und Datensicherheit haben beide Tools laut Appvisory deutlich nachgebessert. Jedoch verwenden die Videokonferenz-Anwendungen Skype for Business und Google Hangouts unsichere Schnittstellen (APIs). Im aktuellen Test sind sie leider auch anfällig für sogenannte Man-In-The-Middle-Attacken (MITM). Dazu kommt, dass Skype Metadaten an Microsoft überträgt und Hangouts den Gerätenamen (häufig der Vorname des Besitzers) an Google sendet.

Appvisorys Fazit: Wer im Glashaus sitzt, sollte nicht mit Daten werfen.

Mattermost und Microsoft Teams: klein vs. groß
Das datenschutzkonforme Open-Source-basierte Kollaborationstool Mattermost baut nur eine Verbindung zur selbst-gehosteten Instanz auf. Wenn die Ressourcen und Kenntnisse zum Erstellen und Betreuen von Mattermost auf einem eigenen Server vorhanden sind, ist der Kommunikationsservice klar Alternativen vorzuziehen. Im Gegensatz zu Microsoft Teams, das Metadaten an Dritte überträgt und auch bei der Verschlüsselung noch Schwächen zeigt. Für beide Anwendungen empfehle sich der zusätzliche Einsatz einer MTD (Mobile Threat Defense) -Lösung.

Appvisorys Fazit: Mattermost bei vorhandener Expertise.

Kostenloser Guide für das sichere Homeoffice
Die im Test aufgedeckten Sicherheitsrisiken müssten Unternehmen jedoch nicht einfach so hinnehmen. Um Firmen bei ihrer rasanten Umstellung auf Homeoffice in Zeiten von Corona sicher zu begleiten, hat das Team von Appvisory daher in Zusammenarbeit mit der BFI, der Beratungsgesellschaft für Informationstechnologie, eine Anleitung für Unternehmen erstellt (hier gegen Registrierung erhältlich). Der Ratgeber soll dabei helfen, eine sichere und ortsunabhängige Arbeitsumgebung für eigene Mitarbeiter einzurichten.

Da aber die im Test vorgestellten Anwendungen bei Weitem nicht alle auf dem Markt abdecken, möchte der App-Security-Spezialiist in der Krisenzeit auch einen Beitrag leisten Unternehmen dabei zu unterstützen, schneller und vor allem sicherer zu digitalisieren. Deshalb bietet Appvisory seinen Dienst für 90 Tage unverbindlich und kostenlos an.

Die Bilanz: Videokonferenz- und Kollaborationstools sind zwar aktuell unverzichtbar, aber mit Vorsicht anzuwenden
Zwar sind die Themen Datensicherheit und Datenschutz zu Recht allgegenwärtig, aber sie würden laut Appvisory nach wie vor synonym verwendet, ohne zu differenzieren. Grundsätzlich garantiert Datenschutz jedem Bürger Schutz vor missbräuchlicher Datenverarbeitung, das Recht auf informationelle Selbstbestimmung und den Schutz der Privatsphäre. Datensicherheit muss dafür Sorge tragen, dass Daten jedweder Art ausreichend gegen Manipulation, Verlust und unberechtigte Kenntnisnahme durch Dritte oder andere Bedrohungen geschützt sind.

Peer Stemmler, Head of DACH bei Zoom, kommentiert: “Zoom sammelt nur die Daten, die für die Bereitstellung des Dienstes erforderlich sind, und stellt sicher, dass der Dienst so effektiv wie möglich bereitgestellt wird. Zoom muss grundlegende technische Informationen wie die IP-Adresse des Benutzers, Angaben zum Betriebssystem und zu den Geräten erfassen, damit der Dienst ordnungsgemäß funktionieren kann. Sofern ein Meeting nicht vom Gastgeber aufgezeichnet wird, werden die Video-, Audio- und Chat-Inhalte des Meetings nicht gespeichert. Für jedes Meeting wird ein eindeutiger Verschlüsselungsschlüssel generiert, der im Systemspeicher gehalten und am Ende des Meetings sofort vernichtet wird.”

“Wenn man sich die Ergebnisse anschaut, sieht man, dass alle getesteten Videokonferenz- und Kollaborationstools unbedingt nachbessern müssen. Die App-Anbieter haben trotz Kenntnis die relevanten Sicherheitslücken und Datenschutzprobleme in ihren Apps bisher nicht behoben. Privatanwender dürfen zwar selbst entscheiden, wie wichtig ihnen ihre persönlichen Daten sind, aber bei der Zusammenarbeit mit Kollegen müssen andere Richtlinien gelten. Unternehmen raten wir aktuell dringend dazu, Videokonferenz- und Kollaborationstools für das Firmentelefon genau anzuschauen beziehungsweise prüfen zu lassen oder im Zweifelsfall zumindest als lokale Instanz selbst zu hosten (wie zum Beispiel bei Mattermost möglich). Nicht zuletzt deshalb haben wir uns entschlossen, Appvisory neuen Interessenten für drei Monate kostenlos zur Verfügung zu stellen, um in dieser hochdynamischen Zeit die nötige Sicherheit nicht vernachlässigen zu müssen und die bitter nötige Digitalisierung der Arbeitsplätze und Workflows schnell und unkompliziert zu unterstützen”, sagt Sebastian Wolters, Gründer und Geschäftsführer von Appvisory.