Start Ratgeber So (un)sicher sind Teamwork-Apps und Videokonferenzen von Zoom, Slack, Google & Co.

So (un)sicher sind Teamwork-Apps und Videokonferenzen von Zoom, Slack, Google & Co.

Videokonferenz & Kollaborationstools sind aktuell im Homeoffice unverzichtbar, aber mit Vorsicht zu genießen: Alle getesteten Software-Apps weisen grundsätzliche Sicherheitsrisiken auf.

IT Security video konferenz teamworkFür Unternehmen sind sie Glück im Unglück: Videokonferenz- und Kollaborationstools. Sie halten Mitarbeiter und Menschen in der aktuellen Krise zusammen. Doch wie ist es um die sensiblen Daten der Nutzer bestellt, die per Smartphone App der nächsten Videokonferenz beiwohnen? Und wie sieht es mit der Sicherheit aus, wenn Mitarbeiter über Slack oder Trello ihren Workflow mit ihren Kollegen abstimmen?

Aktuelle Tests der App Security Spezialisten von APPVISORY haben ergeben, dass Cisco WebEx Meetings, Zoom Cloud Meetings, Slack, Trello, Mattermost, Skype for Business, Microsoft Teams und Google Hangouts in puncto Sicherheit noch nachbessern müssen und zumindest auf betrieblichen Smartphones nur mit Vorsicht zu genießen sind.


Anzeige

Webinare zum Thema Business Software

Webinare statt Messe – die Trovarit AG weitet ihr Webinar-Programm aus.

Termine & Anmeldung

 


Zusammenarbeit mit Augenmaß – das Ranking der Getesteten von unsicher bis sicher

  1. Cisco WebEx Meetings (Android) – Risk Level: 8,8
  2. Zoom Cloud Meetings(Android) – Risk Level: 7,5
  3. Slack (Android) – Risk Level: 7,5
  4. Trello (Android) – Risk Level: 7,5
  5. Mattermost (iOS) – Risk Level: 6.0
  6. Skype for Business (iOS) – Risk Level: 6,0
  7. Microsoft Teams (iOS) – Risk Level: 6,0
  8. Google Hangouts (iOS) – Risk Level: 6,0

Beim Thema Sicherheit ist Cisco WebEx Meetings trauriger Verlierer – dem mächtigen Tool, das zwar Online-Kollaboration und Kommunikation vereint, mangelt es nicht nur an ausreichender Verschlüsselung, sondern auch an einer sicheren Implementierung von Webview.

Und auch die beliebte Videokonferenz-Anwendung Zoom Cloud Meetings hat zwar jüngst nach Medienkritik nachgebessert, wie bei der unzulässigen Weiterleitung von Informationen an Facebook, doch ist auch hier die Verschlüsselung noch unzureichend für den Einsatz in Unternehmen.

Cisco WebEx Meetings,  Zoom Cloud Meetings – Hausaufgaben nicht gemacht

Beide Anwendungen haben keine durchgehende und ausreichende Verschlüsselung. Zwar verhindert Zoom mittlerweile das Mitlesen verschlüsselter Verbindungen. Verbessern muss Zoom die Sicherung von Daten auf externen Speichern, da es anderen Apps auf dem Gerät ermöglicht die Inhalte mitzulesen. Die unsichere Verwendung von Webview ist eine kritische Sicherheitslücke bei Cisco WebEx Meetings. Im Test zeigte sich auch, dass die Weitergabe von Daten an Drittanbieter leider nicht ausgeschlossen werden kann.

Für Zoom ist der zusätzliche Einsatz einer MTD (Mobile Threat Defense)-Lösung empfehlenswert. Eine open-source-basierte Alternative bietet sich mit Jitsi Meet.

Slack und Trello – durch die Hintertür

Die beiden bekannten Kollaborationstools Slack und Trello haben das gleiche Problem. Sie erstellen und schreiben sensible Daten in temporäre Dateien, was ein erhöhtes Sicherheitsrisiko darstellt. Slack erlaubt zwar ein kurzzeitiges Mitschneiden des Datenverkehrs für statistische Analysen, aber das Mitlesen einer verschlüsselten Verbindung ist nicht möglich. Trello hingegen überträgt Metadaten an mehrere Tracking-Dienste inklusive Gerätemodell, Betriebssystem, Netzbetreiber und Werbe-Id.

Für Slack ist der zusätzliche Einsatz einer MTD (Mobile Threat Defense)-Lösung  ratsam.

Skype for Business und Google Hangouts haben ordentlich nachgebessert

Gerade bei Verstößen gegen Datenschutz und Datensicherheit haben beide Tools deutlich nachgebessert. Jedoch verwenden die Videokonferenz-Anwendungen Skype for Business und Google Hangouts unsichere Schnittstellen (APIs). Im aktuellen Test sind sie leider auch anfällig für sogenannte Man-In-The-Middle-Attacken (MITM). Dazu kommt, dass Skype Metadaten an Microsoft überträgt und Hangouts den Gerätenamen (häufig der Vorname des Besitzers) an Google sendet.

Mattermost und Microsoft Teams – klein vs. groß

Das datenschutzkonforme open-source-basierte Kollaborationstool Mattermost baut nur eine Verbindung zur selbst-gehosteten Instanz auf. Wenn die Ressourcen und Kenntnisse zum Erstellen und Betreuen von Mattermost auf einem eigenen Server vorhanden sind, ist der Kommunikationsservice klar Alternativen vorzuziehen. Im Gegensatz zu Microsoft Teams, das Metadaten an Dritte überträgt und auch bei der Verschlüsselung noch Schwächen zeigt.

Für beide Anwendungen ist der zusätzliche Einsatz einer MTD (Mobile Threat Defense)-Lösung auch empfehlenswert.

Fazit: Videokonferenz- und Kollaborationstools sind zwar aktuell unverzichtbar, aber mit Vorsicht anzuwenden

Die Themen Datensicherheit und Datenschutz sind zu Recht allgegenwärtig, aber sie werden nach wie vor synonym verwendet, ohne zu differenzieren. Grundsätzlich garantiert Datenschutz jedem Bürger Schutz vor missbräuchlicher Datenverarbeitung, das Recht auf informationelle Selbstbestimmung und den Schutz der Privatsphäre. Datensicherheit muss dafür Sorge tragen, dass Daten jedweder Art ausreichend gegen Manipulation, Verlust und unberechtigte Kenntnisnahme durch Dritte oder andere Bedrohungen geschützt sind. Da sich die Bewertung für den Laien schwierig gestaltet, kann man sich am CVSS-Score orientieren. Der CVSS-Score gibt in einer Skala von 0 bis 10 aufsteigend Auskunft über die Gefährlichkeit einer App (und anderer IT-Systeme) hinsichtlich Datenschutz und Datensicherheit.

„Wenn man sich die Ergebnisse anschaut, sieht man, dass alle getesteten Videokonferenz- und Kollaborationstools unbedingt nachbessern müssen. Die App-Anbieter haben trotz Kenntnis die relevanten Sicherheitslücken und Datenschutzprobleme in ihren Apps bisher nicht behoben. Privatanwender dürfen zwar selbst entscheiden, wie wichtig ihnen ihre persönlichen Daten sind, aber bei der Zusammenarbeit mit Kollegen müssen andere Richtlinien gelten. Unternehmen raten wir aktuell dringend dazu, Videokonferenz- und Kollaborationstools für das Firmentelefon genau anzuschauen bzw. prüfen zu lassen oder im Zweifelsfall zumindest als lokale Instanz selbst zu hosten.” erklärt Sebastian Wolters, Gründer und Geschäftsführer von APPVISORY.

Um Firmen bei ihrer rasanten Umstellung auf Homeoffice in Zeiten von Corona sicher zu begleiten, hat das Team von APPVISORY in Zusammenarbeit mit der BFI, der Beratungsgesellschaft für Informationstechnologie, eine Anleitung für Unternehmen erstellt. Der Ratgeber hilft dabei, eine sichere und ortsunabhängige Arbeitsumgebung für eigene Mitarbeiter einzurichten.