Sichere Messenger für Unternehmen Sichere Lösungen für berufliche Instant-Kommunikation

Anbieter zum Thema

SEPPmail - Deutschland GmbH

FTAPI Software GmbH

valvisio international AG

Materna Virtual Solution GmbH

Der kurze Dienstweg, der gewohnte Austausch im sozialen Umfeld oder schlichtweg Bequemlichkeit – an Gründen und Ausreden für die Verwendung unsicherer Messenger im Unternehmensumfeld mangelt es nicht. Sichere Alternativen punkten nicht nur mit Datenschutz und DSGVO-Konformität, sondern bieten beispielsweise auch Multi­faktor­authentifi­zierung, eine komfortable und geschützte Userverwaltung oder verschlüsselte Gruppenkommunikation. Doch woran erkennt man eigentlich einen sicheren Messenger?

Ein Zungenbrecher hat in den vergangenen Monaten für reichlich Diskussionen rund um das Thema Messenger gesorgt: Interoperabilität. Mittlerweile ist es das Schlagwort für die europäische Vision, aus einer Vielzahl an einzelnen Messengern ein großes Kommunikationsforum zu bauen. Eigentlich eine schöne Idee. Eigentlich. Denn neben vielen offenen Fragen bei technischen Standards ist vor allem der sich abzeichnende Kompromiss bei der Datensicherheit bedenklich. Es werden Kommunikationskanäle zu Systemen aufgebaut, die an unkontrollierbaren Orten (Meta-)Daten speichern und potenziell unsichere Schnittstellen implementieren. Der mögliche Kompromiss verwundert gerade deshalb, da in vielen Unternehmen das Bewusstsein für Sicherheitsaspekte von Messengern wie Signal, Threema oder Slack in den vergangenen Jahren viel präsenter geworden ist. Denn diese spielen – nicht zuletzt auch gepusht durch Remote Work – eine immer wichtigere Rolle bei der internen und externen Kommunikation und dem Informationsaustausch.

Ist Herr Müller wirklich Herr Müller?

Die nicht hinterfragte Authentizität des Gegenübers ist ein Risiko, das von vielen Nutzern ignoriert wird. Die Garantie, dass Herr Müller auch wirklich Herr Müller ist und seine Identität nicht nur vortäuscht, besteht in Systemen ohne Nutzeridentifikation nämlich nicht. Dabei muss man nicht einmal an SIM-Karten-Betrug oder dergleichen denken. Oft reicht schon eine unreflektiert angenommene Handynummer dafür aus, dass sensible Daten über unsichere Messenger an unautorisierte Dritte gelangen. Das ist gerade deshalb von Bedeutung, weil viele Nutzerinnen und Nutzer ein geringeres Risikobewusstsein für Cyberangriffe in sozialen Netzwerken haben. Sichere Messenger für das Unternehmensumfeld setzen daher auf eine unternehmensinterne Account-Verwaltung durch On-Prem- oder abgesicherte und kontrollierte Cloud-Systeme. So ist garantiert, dass bei jeder Installation ein Nutzer auch tatsächlich ein authentifizierter Nutzer ist. Das wiederum ist die Basis dafür, dass Mitarbeitende guten Gewissens sensible Daten per Messenger verschicken können.

Verschlüsselte Kanäle und Data at Rest gehen Hand in Hand

Zu den Must-Haves sicherer Messenger zählt die Ende-zu-Ende-Verschlüsselung, die optimalerweise standardmäßig aktiviert ist. Wichtig dabei: Gruppenchat-Funktionen oder Gruppen-Calls müssen ebenfalls vollständig verschlüsselt sein. Die Frage nach der Art des Kryptomechanismus ist hier entscheidend – setzen Messenger auf offenen Schlüssel, können mögliche Schwachstellen durch CVE-Listen identifiziert werden. Es gibt zwei Aspekte, die ebenso wichtig wie die Ende-zu-Ende-Verschlüsselung sind, jedoch bei der Auswahl oft eine zu untergeordnete Rolle spielen. Das ist zum einen der Umgang mit Data at Rest, also die Verschlüsselung lokal gespeicherter Daten, und zum anderen Cloud-gestützte Backups. Beide Bereiche müssen die gleiche Verschlüsselungsqualität aufweisen wie die Kommunikation selbst, damit Daten nicht abgegriffen und entschlüsselt werden können.

Per Abo oder per Lizenz, und nicht mit Metadaten zahlen

Noch immer fehlt in vielen Anwendungsfällen das Bewusstsein dafür, dass kostenfreie Messenger-Angebote sich oft durch den Verkauf von Nutzerdaten finanzieren. Seriöse Anbieter im Business-Umfeld setzen daher auf Lizenz- oder Abo-Modelle. Das sorgt für ein gewisses Grundvertrauen und zeigt, dass Anbietern der Datenschutz ihrer Nutzerinnen und Nutzer wichtig ist. Hierbei sollte man sich auch darüber im Klaren sein, welche wertvolle Fundgrube bereits Metadaten wie Positionsdaten, Kontakthäufigkeit, Kommunikationspartner und vieles mehr für Externe darstellen. IT-Verantwortliche sollten sich außerdem fragen, wo die Server stehen, auf denen die Daten gespeichert werden. Anbieter, die Server in den USA oder Russland betreiben, fallen nämlich nicht unter europäische Datenschutzvorgaben und sind oft rechtlich verpflichtet, Daten längerfristig zu speichern oder an lokale Behörden weiterzugeben.

Souveränität über Zugriffsrechte behalten

Aus DSGVO-Perspektive versagen einige Messenger bereits mit der Inbetriebnahme: Durch das Hochladen von Adressbüchern und den darin enthaltenen Daten, wie beispielsweise Geburtstagen oder persönlichen Informationen, werden personenbezogene Daten außerhalb des Unternehmens auf nicht einsehbaren Servern gespeichert. Auch Tracker, die im Rahmen von Updates auf Geräten installiert werden könnten, sind ein potenzieller Angriffsvektor für Datenlogging. Die souveräne Verwaltung der Informationsflüsse und der Zugriffsrechte auf Devices muss deshalb oberste Priorität bei der Messenger-Auswahl haben. Eine besonders sichere Lösung stellen Container-basierte Kommunikations-Lösungen dar. Sie verarbeiten den gesamten Datenfluss innerhalb eines gekapselten Softwarecontainers und verhindern dadurch, dass Daten von anderen Apps abgegriffen werden. Und nicht zuletzt haben sie noch einen weiteren handfesten Vorteil: Verlässt eine Mitarbeiterin oder ein Mitarbeiter das Unternehmen, können sämtliche sicherheitsrelevanten Unternehmens- Daten beim Offboarding mit nur einem Klick vom Gerät gelöscht werden.

Über den Autor: Dr. Hermann Granzer ist CTO bei Materna Virtual Solution.

(ID:49305838)