Symbolbild: Pixabay/ Lobo Studio

Schnell, komfortabel und in Echtzeit – Instant Messaging (IM) ist ein praktisches Tool, um mit Kollegen zu kommunizieren, und es erfreut sich in Unternehmen wachsender Beliebtheit. Durch Präsenzerkennung wissen Mitarbeiter sofort, wer online und verfügbar ist, können unkompliziert Gruppenchats erstellen sowie Präsentationen, Dateien, Weblinks oder Bilder, Audio- und Stream-Inhalte teilen. Doch die Risiken von Datenlecks durch Instant Messaging werden dabei oft übersehen. Auch kann die Weitergabe bestimmter Daten per IM bereits einen Verstoss gegen die DSGVO und andere Datenschutzrichtlinien darstellen. Aus diesen Gründen müssen IT-Teams Massnahmen ergreifen, um zu gewährleisten, dass die Compliance und Sicherheitsrisiken angemessen berücksichtigt werden.

Gastbeitrag von Christoph M. Kumpa, Director DACH & EE bei Digital Guardian

Faktum ist, dass Datendiebstahl und Spionage per Instant Messaging eines der grössten Risiken für Unternehmen ist. Messaging-Anwendungen können von böswilligen Insidern als unüberwachter Kanal missbraucht werden, um sensible Daten hinauszuschleusen. So kann ein Insider damit E-Mail-Inhalte kopieren, Screenshots von Dateianhängen aufnehmen und unbemerkt exfiltrieren. Einige der Voice-Sharing-Funktionen ermöglichen auch die Aufzeichnung und Übertragung von Meetings. Diese Bedrohung zu stoppen ist knifflig für IT-Teams. Das Fehlen von Such- und Filterfunktionen sowie Archivierung macht es schwierig, potenzielle Richtlinienverstösse aufzudecken und noch schwieriger, eine einzelne Person zur Rechenschaft zu ziehen. Viele IM-Dienste bieten End-to-End-Verschlüsselung, wodurch die Möglichkeit für IT-Teams, Datenbewegungen zu verfolgen, weiter eingeschränkt wird.

Die Bedrohung der Compliance

Es gibt eine Reihe von regulatorischen und rechtlichen Fragen im Zusammenhang mit Instant Messaging. Informationen, die eine Organisation ohne das Wissen und die Kontrolle der IT-Abteilung verlassen, können schwerwiegende Auswirkungen haben. IT-Teams müssen daher in der Lage sein, Unternehmensinformationen innerhalb dieser Dienste zu überwachen, zu erfassen und aufzuzeichnen. Dies ist schwierig, da IM-Anwendungen Daten end-to-end verschlüsseln. Ausserdem wissen IT-Teams vielleicht gar nicht, dass eine IM-App überhaupt verwendet wird.

Instant Messaging-Sicherheitsmassnahmen

Ein Verbot von Instant Messaging ist keine Option. Die Mitarbeiter schätzen die Schnelligkeit, Effizienz und Kooperationsmöglichkeiten dieser Kanäle. IT-Teams müssen daher einen Weg finden, der verhindert, dass Instant Messaging zu einem Datensicherheitsalbtraum wird. Im Folgenden vier Punkte zur IM-Sicherheit:

1. Mitarbeitende schulen
Die Unterrichtung der Mitarbeitenden über bewährte IM-Verfahren ist ein wichtiger erster Schritt, um zu gewährleisten, dass sich alle über die Richtlinien der Regulierungs- und Strafverfolgungsbehörden in Bezug auf die IM-Kommunikation im Klaren sind. Das bedeutet, dass die Mitarbeiter über Nutzung, Inhalt und Aufbewahrungsrichtlinien informiert werden müssen. Die Schulung sollte die Verantwortung der Mitarbeitenden für die Cybersicherheit, insbesondere im Hinblick auf die Nutzung nicht autorisierter IM-Plattformen, sowie die Schutzbelange, die diese für die sensiblen Daten des Unternehmens und seine Netzwerke darstellen, erläutern. Denn auch nur eine kurze Nachricht mit sensiblen Informationen an die falsche Person gesendet, kann erhebliche Konsequenzen haben.

2. Kontrollen einrichten: MDM-Software (Mobile Device Management):
Messaging-Anwendungen sind eine Schwachstelle, die potenziell von böswilligen Insidern ausgenutzt werden kann, um sensible Daten durchsickern zu lassen. Es gibt zudem Bedenken, dass Nachrichten, die über kostenlose öffentliche IM-Plattformen verschickt werden, über Verschlüsselungs-Backdoors abgefangen werden können.

Um diesen Risiken zu begegnen, sollten IT-Teams Richtlinien einführen, die die Installation von Apps auf mobilen Geräten, die Mitarbeitern zur Verfügung gestellt werden, einschränken. MDM-Software (Mobile Device Management) lässt sich zum Sperren, Steuern, Verschlüsseln und Durchsetzen von Richtlinien auf Tablets und Smartphones verwenden. Alternativ ermöglichen Mobile Application Management (MAM)-Lösungen es IT-Teams, bestimmte Unternehmensanwendungen zu sperren, zu steuern und zu sichern, ohne die persönlichen Anwendungen eines Benutzers zu beeinträchtigen.

3. IM-Übertragungen überwachen:
Viele IM-Dienste bieten mittlerweile eine End-to-End-Verschlüsselung. Diese schränkt jedoch die Möglichkeiten von IT-Teams ein, Datenbewegungen zu verfolgen. Da IT-Teams unter dem Druck stehen, Geschäfts-, Mitarbeiter- und Kundeninformationen im Rahmen dieser Dienste zu überwachen, zu erfassen und aufzuzeichnen, können sich einige fortschrittliche Überwachungssoftwarelösungen als wirksam bei der Erkennung von Verbindungen zu IM-Diensten erweisen, wenn sich mobile Geräte mit Unternehmensdatennetzen verbinden.

4. Sichere IM-Dienste initiieren:
Einige Softwarehersteller bieten mittlerweile verschlüsselte Unternehmensversionen ihrer Lösungen an, die den Anforderungen der Mitarbeiter an Messaging gerecht werden und gleichzeitig IT-Teams dabei helfen, die Kontrolle zurückzuerlangen und Sicherheits- und Compliance-Anforderungen zu erfüllen. Diese Plattformen mit Multi-Faktor-Authentifizierung, integriertem Virenschutz und Endpunktüberwachung ermöglichen es IT-Teams, sichere IM-Netzwerke zu erstellen, die den Anforderungen heutiger Unternehmensnutzer entsprechen.

IM-Tools können Unternehmen dabei unterstützen, ihre Produktivität zu steigern, schneller zu agieren und mobile und Remote-Mitarbeiter besser zu unterstützen. Da Instant Messaging am Arbeitsplatz jedoch zunehmend allgegenwärtig wird, besteht die Gefahr, dass Organisationen jeder Grösse anfällig für Compliance-Verstösse, Datenverlust und Malware-Infektionen werden, ohne über den entsprechenden Schutz und die passenden Kontrollen zu verfügen. Durch eine Kombination aus Mitarbeiteraufklärung und Sicherheitstechnologien lässt sich das Risiko durch Instant Messaging jedoch erheblich einschränken.