Kriterien für Messenger-Apps

Einfach sicherer kommunizieren

André Gimbut verantwortet den Bereich Research und Development bei Digittrade und Chiffry mit dem Schwerpunkt auf kryptographische Verfahren und App-Entwicklung.
Messenger-Apps erfreuen sich verstärkt auch im beruflichen Umfeld großer Beliebtheit. Ein enormes Manko ist allerdings oft die mangelnde Sicherheit. Die von einigen Anbieter versprochene Ende-zu-Ende-Verschlüsselung allein reicht nicht aus, um die Sicherheitsanforderungen im Unternehmensbereich zu erfüllen.
Auch in Unternehmen sind Messenger beliebt für den schnellen Austausch mit den Kollegen.
Auch in Unternehmen sind Messenger beliebt für den schnellen Austausch mit den Kollegen.
Foto: rubysoho - Fotolia

Mobile Endgeräte sind heute fester Bestandteil der Unternehmenswelt und sollen nicht nur die Arbeit der Mitarbeiter selbst, sondern darüber hinaus die Zusammenarbeit untereinander flexibler und effizienter gestalten. Ganz oben in der Gunst der deutschen Smartphone-Nutzer rangieren Messenger-Dienste: Über 50 Prozent der Nutzungszeit entfällt auf die Kommunikation, wobei die am häufigsten dafür verwendeten Apps Whatsapp und Facebook sind.

Auch in Unternehmen sind Messenger beliebt für den schnellen Austausch mit den Kollegen. Bei den Mitarbeitern steht vor allem die User Experience im Vordergrund: Sie wollen eine Lösung, die ihre Bedürfnisse nach schneller, unkomplizierter Kommunikation erfüllt und dabei intuitiv verständlich ist. Wenn die vom Unternehmen gestellte Anwendung das nicht bietet, greifen Mitarbeiter nicht selten zum privaten Handy. Damit verlieren Unternehmen die Kontrolle über die Kommunikation und können die Einhaltung der Datensicherheit nicht mehr zweifelsfrei gewährleisten.

Risiko bei Mobilgeräten häufig unterschätzt

In einer aktuellen Studie zur Mobile Security der IDG Business Research Services an der unter anderem der TÜV Nord beteiligt war, bewerteten 53 Prozent der befragten Unternehmen Datendiebstahl als größtes Sicherheitsrisiko für ihren Betrieb. Gleichzeitig nehmen nur knapp 13 Prozent mobile Apps überhaupt als großes Risiko wahr und unterschätzen damit das Gefährdungspotenzial.

Die Studie zeigt auch, dass 20 Prozent der Mobilgeräte, mit denen Mitarbeiter auf Unternehmensdaten zugreifen, nicht der Kontrolle der IT-Abteilungen unterliegen. Damit ist für das Unternehmen nicht nachvollziehbar, um was für Daten es sich handelt, was mit ihnen geschieht und wer Zugriff darauf hat.

Dies ist ein besonders kritischer Punkt, denn Unternehmen sind nach § 9 Bundesdatenschutzgesetz (BDSG) dazu verpflichtet, die Sicherheit personenbezogener Daten zu gewährleisten und dafür notwendige Maßnahmen zu ergreifen. Dies schließt auch die Verarbeitung der Daten auf mobilen Endgeräten ein. Kommt es zum Datenverlust, sieht das BDSG Strafen zwischen 50.000 und 300.000 Euro vor. Dazu summieren sich unter Umständen schnell entsprechende Regressforderungen von Kunden oder Partnern.

Für eine sichere Nutzung mobiler Endgeräte in Hinblick auf gesetzliche und unternehmensinterne Vorgaben empfiehlt es sich, im Betrieb ein Mobile Device Management zu etablieren. So erhalten Mitarbeiter klare Richtlinien beispielsweise zur Nutzung privater Geräte oder zulässiger Daten und Apps auf den Mobilgeräten.

Daten durchgängig verschlüsseln

So läuft die Kommunikation vollständig verschlüsselt ab: Auch der Diensteanbieter erhält keinen Einblick in die versendeten Daten.
So läuft die Kommunikation vollständig verschlüsselt ab: Auch der Diensteanbieter erhält keinen Einblick in die versendeten Daten.
Foto: Digittrade

Damit es nicht zum Verlust oder gar Diebstahl von Daten kommt, heißt es: Augen auf bei der Wahl einer zuverlässigen Kommunikations-App. Seit der öffentlichen Diskussion um geheimdienstlich organisierte Spionage und zunehmender Cyberkriminalität sind Unternehmen und Mitarbeiter stärker sensibilisiert für das Thema.

Auf das gesteigerte Sicherheitsbewusstsein reagieren die Anbieter, indem sie zunehmend Verschlüsselungstechnologien in ihre Dienste implementieren. Diese bilden zwar einen wichtigen Sicherheitsbaustein, doch gibt es auch hier qualitative Unterschiede. Daher gilt es einige Faktoren zu beachten. So spielt die Art der Verschlüsselung eine zentrale Rolle - selbst bei der eigentlich sicheren Ende-zu-Ende-Verschlüsselung (E2E). Hier kommt es auf den eingesetzten Algorithmus und die daraus resultierende Schlüssellänge an. Grundsätzlich gilt: Je länger der Schlüssel, desto sicherer die Daten.

Darüber hinaus ist entscheidend, ob die App den Schlüssel auf dem Server oder dem Endgerät generiert und speichert. Erzeugt der Messenger den Schlüssel auf dem Server und verteilt diesen anschließend an die Endgeräte so findet zwar eine E2E-Verschlüsselung statt, dennoch ist über den Server ein Zugriff auf die Daten möglich. Schlüssel sollten daher ausschließlich auf dem Endgerät des Nutzers erstellt und abgelegt werden.

Um die Sicherheit zusätzlich zu erhöhen, bieten einzelne Messenger die Möglichkeit Nachrichten zu zerstören. Die Daten werden vollständig von den Endgeräten gelöscht.
Um die Sicherheit zusätzlich zu erhöhen, bieten einzelne Messenger die Möglichkeit Nachrichten zu zerstören. Die Daten werden vollständig von den Endgeräten gelöscht.
Foto: Digittrade

Das gleiche gilt für die versendeten Daten an sich. In den meisten Fällen speichern Messenger-Anbieter diese auf ihren Servern. Ob diese dort verschlüsselt oder unverschlüsselt vorliegen, ist in der Regel nicht ersichtlich. Hier empfehlen sich Lösungen, die Daten komplett verschlüsseln und nicht dauerhaft auf Servern speichern. Sobald die Daten an den Empfänger übermittelt sind, erfolgt ein automatisierter Löschvorgang vom Server. Aufgrund der Verschlüsselung kann der Service-Anbieter keinen Einblick auf die Inhalte der Daten erlangen, auch wenn diese kurzzeitig auf den Servern zwischengespeichert sind.

Dieser Aspekt ist auch bei Gruppenchats beispielsweise für Teambesprechungen wichtig, in denen die Teilnehmer Dokumente, Präsentationen oder Videos miteinander teilen. Sichere Messenger speichern sämtliche Gruppeinformationen dezentral. Das bedeutet sie liegen ausschließlich auf den Geräten der Teilnehmer. Dadurch ist sogar dem Dienstanbieter nicht ersichtlich, welcher Nutzer sich in einer Gruppe befindet.

Mitleser und -hörer ausschließen

Ebenso wichtig ist die Frage, ob die App versendete Textnachrichten, Bilder oder Telefonate automatisch immer verschlüsselt. Nicht zu jeder App gibt es dazu öffentliche Aussagen der Anbieter. Einige Messenger wie beispielsweise Telegram überlassen Nutzern hingegen die Wahl, ob sie optional einen verschlüsselten Chat starten oder nicht. Um auf Nummer sicher zu gehen, sollten Unternehmen auf klare Statements und Verbindlichkeiten der Anbieter achten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt für kryptographische Verfahren Empfehlungen und technische Richtlinien heraus. Aktuell gelten die Verfahren als sicher, die in den BSI-Empfehlungen BSI TR-02102-1 und TR-03111 aufgelistet sind.

Kommunikations-Apps besitzen heute verschiedenste Funktionalitäten wie Sprachnachrichten oder Telefonie aus dem Messenger heraus. Hier lautet das Stichwort: Abhörsicherheit. Der Aufwand gängige Mobiltelefone abzuhören, ist gering. Die dafür notwendige Technik gibt es bereits ab 1.000 Euro. Sogenannte IMSI-Catcher sind baulich relativ klein und problemlos in einem Kofferraum deponierbar. Diese Abhöreinrichtungen geben gegenüber Mobilgeräten vor, ein Funkmast zu sein und überlagern die Signale legitimer Masten. In einem gewissen Umkreis verbinden sich die Mobiltelefone automatisch mit dem stärkeren Signal des IMSI-Catcher, ohne dass der Nutzer etwas merkt. Solange das Mobilgerät mit der Abhörfunkzelle in Verbindung steht, ist kein Telefonat geschützt.

Andere Einrichtungen umgehen sogar den relativ sicheren UMTS-Standard und zwingen das Handy, den GSM-Standard mit schlechterer Verschlüsselung zu verwenden. Das Abhören von internetbasierter Kommunikation oder Voice over IP (VoIP) ist in der Regel noch einfacher. Den Tätern genügt oft der Zugang zum Netzwerk beispielsweise über eine angezapfte Leitung oder über das WLAN. Via ARP-Spoofing erhalten sie dann Zugriff auf die gesamte unverschlüsselte Kommunikation. Beinhalten Kommunikations-Apps verschlüsselte Telefonie, ist solchen Angriffen leicht vorzubeugen.