Foto: hodim - shutterstock.com
Wer beim Thema Secure Messaging zunächst mal an Signal, WhatsApp und andere Messenger- Dienste mit End-to-End-Verschlüsselung denkt, liegt nicht grundsätzlich falsch. Die aktuellen Schlagzeilen rund um die verhängten Bußgelder für die geschäftliche Nutzung von WhatsApp bei Deutsche Bank und Co. in den USA zeigen jedoch, dass für die interne Kommunikation im Business-Umfeld etwas höhere Anforderungen gelten. Auch in Deutschland zählt inzwischen Instant Messaging zur Geschäftskommunikation, womit entsprechende Aufbewahrungs- und Dokumentationspflichten gelten.
Dabei gibt es verschiedenste Gründe für Unternehmen, sichere Kommunikation zu nutzen: Einige Firmen nutzen Secure Messenger für die Kommunikation zwischen räumlich entfernten Mitarbeitern, die sensible Daten verarbeiten, welche entsprechend geschützt werden müssen. Bei anderen Unternehmen geht es um die persönliche Sicherheit der Nutzer, bei der Leben und Tod von Personen auf dem Spiel stehen können. Für einige Unternehmen wiederum schließen sich diese beiden Anwendungsfälle nicht gegenseitig aus.
Sichere Messenger: Verschlüsselung nur ein Kriterium
Für die Marktübersicht "Forrester Wave Secure Communications 2022" haben sich die Analysten von Forrester eine Reihe von Lösungen für eine besonders sichere Kommunikation angeschaut und bewertet. Dabei stellten sie klar, dass eine (stark) verschlüsselte Kommunikation nicht das einzige Auswahlkriterium ist, sondern Unternehmen noch weitere Faktoren betrachten sollten. Konkret empfehlen die Marktforscher, nach Anbietern Ausschau zu halten, die:
ähnliche Auffassungen darüber haben, wie stark die Privatsphäre der Benutzer geschützt werden soll: Während einige Unternehmen zum Schutz der Benutzer Wert auf anonyme Anmeldung und Nutzung der App legten, sei es für andere Unternehmen eher wichtig, dass die Nutzung aus Compliance-Gründen nicht anonym ist, sondern protokolliert wird.
Anpassungen der Lösung erlauben: Wenngleich die meisten Lösungen ohne Anpassung genutzt werden können, wünschen Sie vielleicht eine maßgeschneiderte Version, so Forrester. Beispiele hierfür wären das Austauschen von Verschlüsselungsbibliotheken und -modulen oder das Ändern des Klingeltons, den ein Benutzer hört, während er auf den Aufbau einer sicheren Verbindung wartet.
eine Datenaufbewahrung ermöglichen, die den Geschäfts- und Compliance-Anforderungen entspricht: So erfordere nicht jedes Unternehmen oder jeder Anwendungsfall eine Aufbewahrung der Daten, in regulierten Branchen etwa sei dies eine wichtige Funktion.
Sicherheits- und Risikoanforderungen erfüllen, indem sie z. B. Penetrationstests zulassen und die Ergebnisse unabhängiger Audits zur Verfügung stellen.
In seiner Marktübersicht hat Forrester die Topanbieter von Secure-Messaging-Lösungen bewertet:
ArmorText,
Armour Communications,
Element,
HighSide,
RealTyme,
Salt Communications,
SpiderOak,
Stashcat,
Teamwire,
Threema,
Wickr und
Wire.
Ihnen allen ist laut Forrester gemein, dass sie ein breites Spektrum an unterstützten Funktionen bieten. Dazu gehören eine Reihe von Kommunikationsfunktionen zur Unterstützung der geschäftlichen Zusammenarbeit, einschließlich Text/Chat, Sprachanrufe, Videokonferenzen und Dateifreigabe. Außerdem weisen sie bereits über einen längeren Zeitraum eine breite Nutzerbasis auf und sind von Relevanz für Forrester-Kunden.
Ausgehend von den Kriterien Aktuelles Angebot, Strategie und Präsenz am Markt wurden die zwölf Anbieter in Spitzenreiter, Leistungsträger, Anwärter und Herausforderer (Leaders, Strong Performers, Contenders, Challengers) unterteilt.
Sichere Messenger 2022: Spitzenreiter
Dank seiner Flexibilität bei der Unterstützung verschiedener Anwendungsfälle für sichere Kommunikation, Datenhoheit sowie Leistung und Widerstandsfähigkeit in schwierigen Umgebungen eignet sich Element laut Forrester hervorragend für Technikbegeisterte und ihre Unternehmen, die Wert auf Flexibilität, Föderation und Datensouveränität legen. So nutze die Company das quelloffene Matrix-Protokoll für dezentrale und Ende-zu-Ende-verschlüsselte (E2EE) Kommunikation, welches das Potenzial hat, Standard für die sichere Kommunikation zu werden.
Die Analysten sehen allerdings noch Verbesserungsmöglichkeiten, insbesondere bei der Benutzeroberfläche, um die Benutzerfreundlichkeit, die Erfahrung der Administratoren, die Erfahrung der iOS-Benutzer und die Einbeziehung weiterer Funktionen in den Chat zu unterstützen.
HighSide bietet sich laut Forrester hervorragend für Unternehmen an, die neben sicheren Kommunikationsfunktionen auch eine kontrollierte Dateifreigabe und eine sichere Datenverwaltung benötigen. So besteht der Ansatz von HighSide darin, standardmäßig mit einer hohen Sicherheit zu beginnen und dann bei Bedarf die Kontrollen optional zu reduzieren.
Besondere Stärken sehen die Analysten in den Bereichen Sicherheit und Kontrolle, Anpassung und Einhaltung von Vorschriften wie den Export Administration Regulations (EAR), weniger beim Schutz von Meta- und Benutzerdaten und der Skalierbarkeit. Verbesserungswünsche der Kunden betrafen Funktionen für mehr Integrationen und die Benutzeroberfläche, so Forrester.
Armour Communications ist laut Forrester eine gute Wahl für Unternehmen, die auch auf dessen Partnern für Beratungsdienste (einschließlich Engineering für OEMs und White Labeling) und sichere Devices zurückgreifen, um eine ganzheitliche sichere Kommunikationslösung zu nutzen. So wurde das NATO-IA- und FIPS-140-2-zertifizierte Angebot von Armour mit Blick auf missionskritische Anwendungsfälle entwickelt und richtet sich - wie der Name bereits impliziert - vor allem an Kunden aus dem Regierungs- und Verteidigungsbereich.
Diese Fokussierung hat aus Sicht der Marktbeobachter dazu geführt, dass die Anforderungen anderer Branchen wie Finanzdienstleistungen, Gesundheitswesen und Rechtswesen nur bedingt erfüllt werden. Referenzkunden wünschten sich zudem weitere Verbesserungen bei den Videokonferenzfunktionen und eine einfachere Übertragung von Daten auf neue Geräte, so Forrester.
Das Angebot von RealTyme, entstanden aus der Fusion der beiden Schweizer Unternehmen RealTyme und Adeya, eignet sich aus Sicht der Analysten hervorragend für Unternehmen, die eine einfach zu verwaltende, benutzerfreundliche und sichere Kommunikations-App für Datenkontrolle und Zusammenarbeit benötigen. So verfüge RealTyme über einen starken Schutz der Metadaten und der Privatsphäre und unterstütze dank Anpassungsmöglichkeiten und seinen vielfältigen erweiterten Funktionen für Produktivität und Sicherheit viele verschiedene Business Use Cases für sichere Kommunikation.
Wie Forrester berichtet, sind Referenzkunden im Allgemeinen mit dem Angebot ganz zufrieden, hätten jedoch gemischte Erfahrungen in Bezug auf die Skalierbarkeit sowie die Leistung und Zuverlässigkeit gemacht. Außerdem wünschten sie sich einen Einblick in zukünftige Versionen und schnellere Reaktionszeiten des Herstellers.
Secure Messenger Apps: Leistungsträger
Salt Communications eignet sich laut Forrester hervorragend für Unternehmen, die in hochsicheren Umgebungen tätig sind und eine wirklich maßgeschneiderte Lösung für ihr Geschäfts- und Bedrohungsmodell suchen. Im Fokus steht dabei der Schutz der mobilen Mitarbeiter, wobei sich die Kundenbasis auf die Bereiche Recht, Vermögensverwaltung, Regierung, Strafverfolgung sowie Militär und Verteidigung konzentriert. Auch was geplante Verbesserungen und Innovationen angeht, orientiere sich Salt in erster Linie an die Bedürfnisse der bestehenden Kundenbasis und weniger an künftige Trends, so die Analysten.
Kunden zufolge ist Salt Communications in Bereichen wie Sicherheit und Kontrolle, Datenschutz, Metadatensicherheit und -schutz sowie kundenspezifische Anpassungen stark aufgestellt. Sie wünschen sich jedoch, dass die Benutzerverwaltung für Administratoren vereinfacht und noch granularer gestaltet werden könnte, zusätzlich zu umfassenderen Integrationen.
Unternehmen, die eine sichere, funktionsreiche Alternative zu Consumer-Lösungen wie WhatsApp benötigen, legt Forrester Teamwire nahe. So sei das Angebot von Teamwire dazu entwickelt worden, die sichere Kommunikation zwischen mobilen und stationären Mitarbeitern zu erleichtern, wobei der Schwerpunkt auf der Unterstützung von Polizei und Ersthelfern liegt. Wenngleich es sich um ein rundum solides Angebot handle, monieren die Analysten jedoch, dass sich ein Großteil der Innovationen auf inkrementelle und typischerweise kundenorientierte Produktfunktionen fokussieren, die im Laufe der Zeit weniger Differenzierung bieten.
Die Referenzkunden sind laut Forrester im Allgemeinen zufrieden; sie heben insbesondere die Benutzerfreundlichkeit des Produkts und die Reaktionsfähigkeit von Teamwire auf Rückmeldungen hervor. Sie wünschen sich noch mehr Integrationen und eine bessere Interoperabilität mit anderen Anwendungen.
ArmorText eignet sich laut Forrester hervorragend für die Kommunikation und Zusammenarbeit bei Sicherheitsoperationen und der Reaktion auf Zwischenfälle sowie für den Austausch von Bedrohungsdaten zwischen verschiedenen Organisationen. So wurde die Plattform von ArmorText speziell für die Out-of-Band-Zusammenarbeit entwickelt, um die Anforderungen von Sicherheitsteams zu erfüllen und gleichzeitig granulare Governance- und Aufbewahrungsfunktionen zu bieten. Zu den Kunden zählen viele Unternehmen der Energie- und Versorgungsbranche sowie ISACs, was sich laut Forrester auch in der Innovations-Roadmap von ArmorText widerspiegelt.
Dieser Fokus könnte für einige Unternehmen zu spezifisch sein, wenngleich die Company umfangreiche, erweiterte Funktionen bereitstellt, die auf die Bedürfnisse von Incident Respondern zugeschnitten sind, warnen die Analysten. Referenzkunden lobten jedoch die Benutzerfreundlichkeit und die E2EE-Archivierungsfunktionen und verwiesen auf die segmentierten Lebenszyklen der Datenaufbewahrung und die Kontrolle der Datenüberprüfung.
Wire empfiehlt Forrester allen Unternehmen, die eine benutzerfreundliche und umfassende Plattform für sichere Kommunikation suchen - sowohl für den internen Gebrauch als auch für die externe Zusammenarbeit mit Geschäftspartnern und Kunden. So sei das Angebot dank des Fokus auf offene Standards und Interoperabilität darauf ausgelegt, eine sichere und private Zusammenarbeit für jede Art von Unternehmen zu ermöglichen.
Als eine der Hauptstärken sieht Forrester die Unterstützung von Wire bei der Anpassung an Kundenwünsche, insbesondere aufgrund seiner Rolle bei der Entwicklung von Messaging Layer Security (MLS), einem E2EE-Protokoll mit Krypto-Agilität. Allerdings bedeute der Fokus auf die Unterstützung aller Arten von Organisationen auch, dass Wire keine erweiterten Sicherheits- oder Produktivitätsfunktionen für einen bestimmten Branchen- oder Anwendungsfall biete.
Threema Work eignet sich laut Forrester hervorragend für Unternehmen jeder Größe, die eine All-in-One-App für den Schutz von Benutzerdaten und sensiblen Unternehmensinformationen suchen. Im Gegensatz zur Consumer-App Threema bietet die Business-Lösung dabei Zusatzfunktionen, etwa Features und Policies für die Verwaltung mobiler Geräte (BYOD, Work Life-Balance), den Schutz vor Standortverfolgung und Phishing.
Die anonyme Nutzung des Produkts ist dabei in Hinblick auf den Datenschutz Stärke und Schwäche zugleich, so die Analysten, da eine häufig aus Compliance-Gründen geforderte Speicherung der Daten nicht möglich ist. Nichtsdestotrotz seien Referenzkunden im Allgemeinen mit der Benutzerfreundlichkeit, der Reaktion auf Funktionsanfragen und der Auswirkung auf die Erfahrung der Mitarbeiter zufrieden. Sie wünschten sich jedoch ein reibungsloseres Onboarding und einen einfacheren Kontowechsel sowie mehr Backend-Funktionen über Threema Gateway.
Sichere Messenger-Dienste: Konkurrenten
Wickr ist laut Forrester eine gute Lösung für Unternehmen, die eine sichere Collaboration-Suite mit zuverlässigen, schnörkellosen Kommunikationsfunktionen suchen. Die Stärke von Wickr liegt dabei in der Integration und der Flexibilität zur Unterstützung einer Vielzahl von Geschäftsanwendungen, von kleinen Unternehmen bis hin zu Behörden und dem Militär. Eine Besonderheit ist dabei die Open-Access-Funktion von Wickr - diese sorgt selbst in Netzen, wo bestimmte Kommunikationen z.B. aus Zensurgründen geblockt werden, für Konnektivität.
Während Referenzkunden die Sicherheitsfunktionen von Wickr hervorheben, so die Analysten, wünschten sie sich Verbesserungen in verschiedenen Bereichen, etwa bei der Anpassung, dem Management, dem Inhalt der Benutzerprofile, dem Aufwand für die Datenspeicherung und der Reaktion auf Funktionsanfragen.
SpiderOak ist laut Forrester gut für Unternehmen geeignet, die eine sichere, flexible Plattform für die Dateizusammenarbeit mit Kommunikationsfunktionen suchen und sich ein Mitspracherecht bei der Entwicklung neuer Funktionen und Integrationsanforderungen wünschen. Zu den wesentlichen Stärken von SpiderOak zählen die Analysten den Schutz der Privatsphäre der Nutzer und die auf der Blockchain basierende und damit manipulationssichere Datenspeicherung. Gleichzeitig hinke die Lösung jedoch aktuell bei vielen Funktionen hinterher. Dies spiegelt sich auch im Feedback der Referenzkunden wider: Während diese die Benutzerfreundlichkeit und die Zero-Trust-Standards loben, beziehen sich die Verbesserungswünsche in erster Linie auf die Funktionen, wie z. B. das mobile Erlebnis, die Workflow-Optionen und die Verbesserung von Videos.
Secure Messenger: Herausforderer
Stashcat eignet sich laut Forrester für Unternehmen, die eine einfache, aber sichere Plattform für die Zusammenarbeit und das Messaging suchen. Eine Stärke des 2021 von Secunet übernommenen Anbieters sind aus Sicht der Analysten die erweiterten Funktionen für Sicherheit und Datenschutz. So können Funktionen und Module von der Organisation aktiviert und deaktiviert werden, die datenschutzfreundlichste Einstellung ist dabei die Standardeinstellung. Allerdings fehle es an Funktionen für Kommunikationssicherheit und -kontrolle, Metadatensicherheit und Unterstützung für behördliche Anforderungen außerhalb des Kernmarktes Deutschland und Europa.