Blog | Eignen sich Messenger-Dienste für die Unternehmenskommunikation?

23.02.2017

Sollten Unternehmen die Nutzung herkömmlicher Chat-Apps im Arbeitsumfeld gestatten? Lesen Sie den Blog-Artikel.

Ein Trend der letzten Jahre in Unternehmen ist die steigende Nutzung von Sofortnachrichtendiensten als Haupt-Kommunikationsmittel. Aber nicht nur Business-Tools  wie Slack sind sehr populär geworden, auch die Nutzung herkömmlicher Dienste wie WhatsApp, die eigentlich für den privaten Gebrauch konzipiert sind, steigt fortwährend.

Ein Grund dafür ist, dass Nutzer gerne auf Apps zurückgreifen, die sie auch privat nutzen und an deren Bedienung und Nutzeroberfläche sie bereits gewöhnt sind. Selbst wenn die Dienste nicht vom Management genehmigt wurden, ist die Nutzung dieser Apps als sogenannte ‚Schatten-IT’ oft verbreiteter als vielen Führungskräften bewusst ist.

In Bezug auf die Sicherheit der Kommunikation mögen einige Unternehmen nicht sonderlich besorgt sein über die wachsende Nutzung dieser Tools. Denn eine steigende Zahl von Apps, darunter WhatsApp und Apples iMessage, bietet nun Ende-zu-Ende-Verschlüsselung, niemand ausser dem Empfänger kann die Nachricht lesen – nicht einmal der Dienste-Anbieter selbst.

Aber eignen sich diese Anwendungen für die geschäftliche Nutzung und welche Aspekte sind – neben Verschlüsselung – für Unternehmen eventuell noch relevant?

Compliance-Überlegungen

Ein Problem bei Diensten wie WhatsApp ist die Schwierigkeit, die geführten Gespräche effektiv aufzeichnen und aufbewahren zu können. Das ist gerade für Unternehmen aus Branchen mit starken Compliance- und Auditvorschriften, wie zum Beispiel Finanzdienstleister, ein grosses Manko.

So wurde letzten Monat darüber berichtet, dass die Deutsche Bank ihren Mitarbeitern die Nutzung von SMS oder WhatsApp im beruflichen Kontext untersagt. In einem Beitrag von ZDNet wird Compliance als Grund dafür angegeben, da sich diese Nachrichten – anders als E-Mails – nicht durch die Bank archivieren liessen. Laut dem Bericht wurden die Mitarbeiter der Deutschen Bank von Chief Regulatory Officer Sylvie Matherat und Chief Operating Officer Kim Hammonds informiert, dass alle Sofortnachrichtendienste im Laufe des Quartals von den Smartphones entfernt werden.

Dieses Beispiel zeigt welchen Risiken Unternehmen gegenüberstehen, wenn sie Schatten-IT einen Platz in ihrem Kommunikations-Mix zubilligen. Die Nutzer mögen den Komfort schätzen, der ihnen dadurch geboten wird. Die regulatorischen Konsequenzen können jedoch heftig sein, wenn das Management keinen Überblick über die Kommunikation und ausgetauschten Daten hat.

Wie stark ist die Verschlüsselung?

Ein weiteres Fragenzeichen ist, ob die Verschlüsselung wirklich so stark ist, wie die Anbieter behaupten. Diese Frage kommt immer wieder auf, wie ein Handelsblatt-Artikel von März 2016 über eine Schwachstelle in iMessage zeigt.

Ein recht aktuelles Beispiel ist die Diskussion um WhatsApp, nachdem behauptet wurde, eine Schwachstelle könne Schnüfflern das Abfangen und Lesen von Nachrichten ermöglichen.

Laut ‚Guardian’ besteht die Schwachstelle darin, wie die App die Schlüssel erstellt, die zwischen den Nutzern ausgetauscht werden. Wie die Zeitung schreibt, kann WhatsApp die Erstellung eines neuen Schlüsselpaares für Offline-User erzwingen und mit dem dadurch generierten neuen öffentlichen Schlüssel noch nicht empfangene Nachrichten erneut verschlüsseln und schicken. Das geschieht ohne das Wissen des Nutzers.

Die Sicherheitslücke wurde bereits im April 2016 von Tobias Boelter entdeckt, einem Kryptographen und Sicherheitsforscher an der Universität von Kalifornien in Berkeley. Er sagte: „Falls WhatsApp von einer Regierungsbehörde aufgefordert wird, Aufzeichnungen über den Nachrichtenaustausch offenzulegen, kann der Dienst durch die Änderung der Schlüssel tatsächlich Zugang ermöglichen.“

Einige Experten haben angemerkt, dass dies ein bekannter Kompromiss zwischen Sicherheit und Bedienkomfort sei, den die Mehrheit der WhatsApp-Nutzer wahrscheinlich akzeptabel finde, da die App dadurch einfacher zu nutzen ist. Ausserdem sei das Risiko für die meisten Nutzer niedrig.

Allerdings illustriert dieser Fall die unterschiedlichen Ansprüche an einen verbraucherorientierten Dienst und an einen, der für den Unternehmenseinsatz gedacht ist. Während das Risiko von den meisten Privatleuten als gering angesehen werden mag, könnten geschäftliche Nutzer eine wesentlich striktere Auffassung davon haben, was ein akzeptables Risiko darstellt.

Aus diesem Grund – und weil ausgereifte Funktionalitäten in Bezug auf Auditierbarkeit und Compliance fehlen – sollten Unternehmen ihren Mitarbeitern eine geeignete Alternative bieten, statt Verbraucher-Tools für den Arbeitsplatz umzufunktionieren.


von Marcel Mock, CTO