Mobile Endgeräte sind heute fester Bestandteil der Unternehmenswelt und sollen nicht nur die Arbeit der Mitarbeiter selbst, sondern darüber hinaus die Zusammenarbeit untereinander flexibler und effizienter gestalten. Ganz oben in der Gunst der deutschen Smartphone-Nutzer rangieren Messenger-Dienste: Über 50 Prozent der Nutzungszeit entfällt auf die Kommunikation, wobei die am häufigsten dafür verwendeten Apps Whatsapp und Facebook sind.
Auch in Unternehmen sind Messenger beliebt für den schnellen Austausch mit den Kollegen. Bei den Mitarbeitern steht vor allem die User Experience im Vordergrund: Sie wollen eine Lösung, die ihre Bedürfnisse nach schneller, unkomplizierter Kommunikation erfüllt und dabei intuitiv verständlich ist. Wenn die vom Unternehmen gestellte Anwendung das nicht bietet, greifen Mitarbeiter nicht selten zum privaten Handy. Damit verlieren Unternehmen die Kontrolle über die Kommunikation und können die Einhaltung der Datensicherheit nicht mehr zweifelsfrei gewährleisten.
Risiko bei Mobilgeräten häufig unterschätzt
In einer aktuellen Studie zur Mobile Security der IDG Business Research Services an der unter anderem der TÜV Nord beteiligt war, bewerteten 53 Prozent der befragten Unternehmen Datendiebstahl als größtes Sicherheitsrisiko für ihren Betrieb. Gleichzeitig nehmen nur knapp 13 Prozent mobile Apps überhaupt als großes Risiko wahr und unterschätzen damit das Gefährdungspotenzial.
Die Studie zeigt auch, dass 20 Prozent der Mobilgeräte, mit denen Mitarbeiter auf Unternehmensdaten zugreifen, nicht der Kontrolle der IT-Abteilungen unterliegen. Damit ist für das Unternehmen nicht nachvollziehbar, um was für Daten es sich handelt, was mit ihnen geschieht und wer Zugriff darauf hat.
Dies ist ein besonders kritischer Punkt, denn Unternehmen sind nach § 9 Bundesdatenschutzgesetz (BDSG) dazu verpflichtet, die Sicherheit personenbezogener Daten zu gewährleisten und dafür notwendige Maßnahmen zu ergreifen. Dies schließt auch die Verarbeitung der Daten auf mobilen Endgeräten ein. Kommt es zum Datenverlust, sieht das BDSG Strafen zwischen 50.000 und 300.000 Euro vor. Dazu summieren sich unter Umständen schnell entsprechende Regressforderungen von Kunden oder Partnern.
Für eine sichere Nutzung mobiler Endgeräte in Hinblick auf gesetzliche und unternehmensinterne Vorgaben empfiehlt es sich, im Betrieb ein Mobile Device Management zu etablieren. So erhalten Mitarbeiter klare Richtlinien beispielsweise zur Nutzung privater Geräte oder zulässiger Daten und Apps auf den Mobilgeräten.
Daten durchgängig verschlüsseln
Foto: Digittrade
Damit es nicht zum Verlust oder gar Diebstahl von Daten kommt, heißt es: Augen auf bei der Wahl einer zuverlässigen Kommunikations-App. Seit der öffentlichen Diskussion um geheimdienstlich organisierte Spionage und zunehmender Cyberkriminalität sind Unternehmen und Mitarbeiter stärker sensibilisiert für das Thema.
Auf das gesteigerte Sicherheitsbewusstsein reagieren die Anbieter, indem sie zunehmend Verschlüsselungstechnologien in ihre Dienste implementieren. Diese bilden zwar einen wichtigen Sicherheitsbaustein, doch gibt es auch hier qualitative Unterschiede. Daher gilt es einige Faktoren zu beachten. So spielt die Art der Verschlüsselung eine zentrale Rolle - selbst bei der eigentlich sicheren Ende-zu-Ende-Verschlüsselung (E2E). Hier kommt es auf den eingesetzten Algorithmus und die daraus resultierende Schlüssellänge an. Grundsätzlich gilt: Je länger der Schlüssel, desto sicherer die Daten.
Darüber hinaus ist entscheidend, ob die App den Schlüssel auf dem Server oder dem Endgerät generiert und speichert. Erzeugt der Messenger den Schlüssel auf dem Server und verteilt diesen anschließend an die Endgeräte so findet zwar eine E2E-Verschlüsselung statt, dennoch ist über den Server ein Zugriff auf die Daten möglich. Schlüssel sollten daher ausschließlich auf dem Endgerät des Nutzers erstellt und abgelegt werden.
Foto: Digittrade
Das gleiche gilt für die versendeten Daten an sich. In den meisten Fällen speichern Messenger-Anbieter diese auf ihren Servern. Ob diese dort verschlüsselt oder unverschlüsselt vorliegen, ist in der Regel nicht ersichtlich. Hier empfehlen sich Lösungen, die Daten komplett verschlüsseln und nicht dauerhaft auf Servern speichern. Sobald die Daten an den Empfänger übermittelt sind, erfolgt ein automatisierter Löschvorgang vom Server. Aufgrund der Verschlüsselung kann der Service-Anbieter keinen Einblick auf die Inhalte der Daten erlangen, auch wenn diese kurzzeitig auf den Servern zwischengespeichert sind.
Dieser Aspekt ist auch bei Gruppenchats beispielsweise für Teambesprechungen wichtig, in denen die Teilnehmer Dokumente, Präsentationen oder Videos miteinander teilen. Sichere Messenger speichern sämtliche Gruppeinformationen dezentral. Das bedeutet sie liegen ausschließlich auf den Geräten der Teilnehmer. Dadurch ist sogar dem Dienstanbieter nicht ersichtlich, welcher Nutzer sich in einer Gruppe befindet.
Mitleser und -hörer ausschließen
Ebenso wichtig ist die Frage, ob die App versendete Textnachrichten, Bilder oder Telefonate automatisch immer verschlüsselt. Nicht zu jeder App gibt es dazu öffentliche Aussagen der Anbieter. Einige Messenger wie beispielsweise Telegram überlassen Nutzern hingegen die Wahl, ob sie optional einen verschlüsselten Chat starten oder nicht. Um auf Nummer sicher zu gehen, sollten Unternehmen auf klare Statements und Verbindlichkeiten der Anbieter achten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt für kryptographische Verfahren Empfehlungen und technische Richtlinien heraus. Aktuell gelten die Verfahren als sicher, die in den BSI-Empfehlungen BSI TR-02102-1 und TR-03111 aufgelistet sind.
Kommunikations-Apps besitzen heute verschiedenste Funktionalitäten wie Sprachnachrichten oder Telefonie aus dem Messenger heraus. Hier lautet das Stichwort: Abhörsicherheit. Der Aufwand gängige Mobiltelefone abzuhören, ist gering. Die dafür notwendige Technik gibt es bereits ab 1.000 Euro. Sogenannte IMSI-Catcher sind baulich relativ klein und problemlos in einem Kofferraum deponierbar. Diese Abhöreinrichtungen geben gegenüber Mobilgeräten vor, ein Funkmast zu sein und überlagern die Signale legitimer Masten. In einem gewissen Umkreis verbinden sich die Mobiltelefone automatisch mit dem stärkeren Signal des IMSI-Catcher, ohne dass der Nutzer etwas merkt. Solange das Mobilgerät mit der Abhörfunkzelle in Verbindung steht, ist kein Telefonat geschützt.
Andere Einrichtungen umgehen sogar den relativ sicheren UMTS-Standard und zwingen das Handy, den GSM-Standard mit schlechterer Verschlüsselung zu verwenden. Das Abhören von internetbasierter Kommunikation oder Voice over IP (VoIP) ist in der Regel noch einfacher. Den Tätern genügt oft der Zugang zum Netzwerk beispielsweise über eine angezapfte Leitung oder über das WLAN. Via ARP-Spoofing erhalten sie dann Zugriff auf die gesamte unverschlüsselte Kommunikation. Beinhalten Kommunikations-Apps verschlüsselte Telefonie, ist solchen Angriffen leicht vorzubeugen.
Zertifikate und Hintergrund des Anbieters überprüfen
Um einen Eindruck von der Sicherheit einzelner Messenger zu erhalten, dienen Zertifikate oder Siegel unabhängiger Prüfstellen als Orientierungshilfe wie beispielsweise das Siegel des TÜViT (TÜV Nord Group). Ein weiteres gutes Indiz für zuverlässige Sicherheit bietet das Teletrust Quality Seal "IT Security made in Germany", das die Einhaltung des Bundesdatenschutzgesetztes belegt. Auch das Siegel des Unabhängigen Landeszentrum für Datenschutz bescheinigt für Messenger-Apps datenschutzkonforme Kommunikation.
Gibt es bei einzelnen Messengern keine Angaben zu Zertifikaten oder Siegeln, lohnt es sich den Hintergrund des Anbieters genauer zu betrachten. Wie lange ist er schon am Markt oder speziell im IT-Security-Bereich tätig? Setzt er Verschlüsselung erst seit Aufkommen der öffentlichen Diskussion ein? Im Idealfall verfügt der Anbieter bereits über längere Erfahrung in der Kryptographie oder der Implementierung entsprechender Technologien.
Generell ist bei den App-Herstellern auf eine Zertifizierung der IT-Sicherheit entsprechend des BSI zu achten. Die BSI-Zertifizierung deckt auch die international anerkannte Norm ISO 27001 ab, prüft aber zusätzlich die technische Umsetzung der Prozesse. Darüber hinaus hängt die Sicherheit der Kommunikation nicht nur an der App selbst, sondern auch vom Endgerät und den darauf laufenden Betriebssystemen wie Google Android, Windows Phone, Blackberry-OS und Apple iOS ab. Hier gilt zu berücksichtigen wie diese gegen Malware geschützt sind und welche Anwendungen auf Hardwarekomponenten wie Mikrofon oder Kamera zugreifen.
Fazit
Auf dem Markt tummeln sich viele verschiedene Anbieter mit unterschiedlichen Diensten. Auch wenn einige sich bereits in der breiten Mehrheit etabliert haben, sollten Unternehmen die Sicherheits-Features der in Frage kommenden Apps genauer unter die Lupe nehmen und hinterfragen. Dennoch bieten innovative Lösungen heute zuverlässigen Schutz und erfüllen Mitarbeitern gleichzeitig den Wunsch nach einfacher und unkomplizierter Kommunikation. (mb)