Unsichere Video-Konferenzen von Zoom, Slack Co.

Video-Konferenz & Kollaborationstools sind aktuell im Homeoffice unverzichtbar, aber mit Vorsicht zu genießen: Einer neuen Studie zufolge weist die Mehrheit der Software-Apps grundsätzliche Sicherheitsrisiken auf.

Nicht aus allen Wolken fallen: Den Untersuchungen von APPVISORY zufolge ist der cloudbasierte Videokonferenz- und Kollaborationsdienst Cisco WebEx Meetings am unsichersten. Aber auch der heimliche Star in der Corona-Zeit Zoom lässt eindeutige Identifizierung von Nutzern zu.

Für Unternehmen sind sie Glück im Unglück: Videokonferenz- und Kollaborationstools – halten sie doch damit Mitarbeiter und Menschen in der aktuellen Krise zusammen. Doch wie ist es um die sensiblen Daten der Nutzer bestellt, die per Smartphone App der nächsten Videokonferenz beiwohnen? Und wie sieht es mit der Sicherheit aus, wenn Mitarbeiter über Slack oder Trello ihren Workflow mit ihren Kollegen abstimmen?

Aktuelle Tests der App Security Spezialisten von APPVISORY haben ergeben, dass Cisco WebEx Meetings, Zoom Cloud Meetings, Slack, Trello, Mattermost, Skype for Business, Microsoft Teams und Google Hangouts in puncto Sicherheit noch nachbessern müssen und zumindest auf betrieblichen Smartphones nur mit Vorsicht zu genießen sind.

Zusammenarbeit mit Augenmaß – das Ranking der Getesteten von unsicher bis sicher

  1. Cisco WebEx Meetings (Android)   Risk Level Score):  8,8
  2. Zoom Cloud Meetings(Android)    Risk Level:   7,5
  3. Slack (Android)      Risk Level:   7,5
  4. Trello (Android)      Risk Level:      7,5
  5. Mattermost (iOS)     Risk Level:     6.0
  6. Skype for Business (iOS)    Risk Level:   6,0
  7. Microsoft Teams (iOS)     Risk Level:   6,0
  8. Google Hangouts (iOS)     Risk Level:   6,0

Beim Thema Sicherheit ist Cisco WebEx Meetings trauriger Verlierer – dem mächtigen Tool, das zwar Online-Kollaboration und Kommunikation vereint, mangelt es nicht nur an ausreichender Verschlüsselung, sondern auch an einer sicheren Implementierung von Webview.

Und auch die beliebte Videokonferenz-Anwendung Zoom Cloud Meetings hat zwar jüngst nach Medienkritik nachgebessert, wie bei der unzulässigen Weiterleitung von Informationen an Facebook, doch ist auch hier die Verschlüsselung noch unzureichend für den Einsatz in Unternehmen.

Cisco WebEx Meetings,  Zoom Cloud Meetings – Hausaufgaben nicht gemacht

Beide Anwendungen haben keine durchgehende und ausreichende Verschlüsselung. Zwar verhindert Zoom mittlerweile das Mitlesen verschlüsselter Verbindungen. Verbessern muss Zoom die Sicherung von Daten auf externen Speichern, da es anderen Apps auf dem Gerät ermöglicht die Inhalte mitzulesen. Die unsichere Verwendung von Webview ist eine kritische Sicherheitslücke bei Cisco WebEx Meetings. Im Test zeigte sich auch, dass die Weitergabe von Daten an Drittanbieter leider nicht ausgeschlossen werden kann.

Für Zoom ist der zusätzliche Einsatz einer MTD (Mobile Threat Defense) -Lösung empfehlenswert.

Fazit: Aus dem Haus, aus dem Sinn. Eine interessant open-source-basierte Alternative bietet sich mit Jitsi Meet, hierzu folgt ein Testbericht in Kürze.

Slack und Trello – durch die Hintertür

Die beiden bekannten Kollaborationstools Slack und Trello haben das gleiche Problem. Sie erstellen und schreiben sensible Daten in temporäre Dateien, was ein erhöhtes Sicherheitsrisiko darstellt. Slack erlaubt zwar ein kurzzeitiges Mitschneiden des Datenverkehrs für statistische Analysen, aber das Mitlesen einer verschlüsselten Verbindung ist nicht möglich. Trello hingegen überträgt Metadaten an mehrere Tracking-Dienste inklusive Gerätemodell, Betriebssystem, Netzbetreiber und Werbe-Id.

Für Slack ist der zusätzliche Einsatz einer MTD (Mobile Threat Defense) -Lösung  ratsam.

Fazit: Kein Heimspiel.

Skype for Business und Google Hangouts haben ordentlich nachgebessert

Gerade bei Verstößen gegen Datenschutz und Datensicherheit haben beide Tools deutlich nachgebessert. Jedoch verwenden die Videokonferenz-Anwendungen Skype for Business und Google Hangouts unsichere Schnittstellen (APIs). Im aktuellen Test sind sie leider auch anfällig für sogenannte Man-In-The-Middle-Attacken (MITM). Dazu kommt, dass Skype Metadaten an Microsoft überträgt und Hangouts den Gerätenamen (häufig der Vorname des Besitzers) an Google sendet.

Fazit: Wer im Glashaus sitzt, sollte nicht mit Daten werfen.

Mattermost und Microsoft Teams – klein vs. groß

Das datenschutzkonforme open-source-basierte Kollaborationstool Mattermost baut nur eine Verbindung zur selbst-gehosteten Instanz auf. Wenn die Ressourcen und Kenntnisse zum Erstellen und Betreuen von Mattermost auf einem eigenen Server vorhanden sind, ist der Kommunikationsservice klar Alternativen vorzuziehen. Im Gegensatz zu Microsoft Teams, das Metadaten an Dritte überträgt und auch bei der Verschlüsselung noch Schwächen zeigt.

Für beide Anwendungen ist der zusätzliche Einsatz einer MTD (Mobile Threat Defense) -Lösung empfehlenswert.

Fazit: Mattermost bei vorhandener Expertise.

Kostenloser Guide für das sichere Homeoffice

Um Firmen bei ihrer rasanten Umstellung auf Homeoffice in Zeiten von Corona sicher zu begleiten, hat das Team von APPVISORY in Zusammenarbeit mit der BFI, der Beratungsgesellschaft für Informationstechnologie, eine Anleitung für Unternehmen erstellt. Der Ratgeber hilft dabei, eine sichere und ortsunabhängige Arbeitsumgebung für eigene Mitarbeiter einzurichten.

Leave a Reply

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.