Sicherheit ist mehr als Verschlüsselung

Was der Signal-Leak für die Unternehmenskommunikation bedeutet

Messenger, signal messenger spionage, signal messenger hack, Signal, Spionage
Bildquelle: DANIEL CONSTANTE / Shutterstock.com
LinkedInRedditWhatsAppPocket

Der aktuelle Signal-Leak der US-Regierung zeigt ein grundsätzliches Problem: Sicherheit in der Kommunikation ist nicht nur äußerst wichtig, sondern auch sehr komplex. Wird sie missachtet, entstehen Image- und Vertrauensverluste oder finanzielle oder Wettbewerbs-Risiken.

Wie können sich Unternehmen schützen und vorbereiten? Was sollten sie beachten? Wildix, globaler Anbieter von Unified Communications as a Service, gibt drei Praxistipps für kleine und mittlere Unternehmen.

Anzeige

Das passende Tool für den passenden Zweck

Militärische Aktionen über einen Messenger-Dienst wie Signal zu planen, ist mehr als leichtsinnig. Ein einziger falsch hinzugefügter Name in der Chatgruppe hat gereicht, um sensible militärische Informationen offenzulegen. In sicherheitskritischen Umgebungen sind solche Fehler keine Kleinigkeit – sie sind ein ernstes Risiko. Auch wenn in vielen kleinen und mittleren Unternehmen weniger kritische Informationen ausgetauscht werden und die Tragweite eines Fehlers weitaus geringer ist, ist die Wahl des Tools auch hier entscheidend. Unternehmen sollten also für ihre Mitarbeitenden festlegen, welche Kommunikationskanäle erlaubt sind und welche Informationen über diese geteilt werden dürfen. Es kann notwendig sein, bestimmte Consumer-Lösungen für den Geschäftsgebrauch zu verbieten. Als Faustregel gilt: Je kritischer die Information, desto genauer sollte das Tool und seine Nutzung definiert sein.

Wer Tools auswählt, sollte nicht nur auf die Benutzerfreundlichkeit achten. Eine Plattform sollte auch im richtigen Moment auf dem passenden Gerät nutzbar sein. Ist sie das nicht, suchen sich Nutzer eine Alternative. Deshalb ist die Wahl der richtigen Kommunikationsplattform so wichtig. Sicherheit ist kein Punkt auf einer Checkliste. Systeme müssen intuitiv sein, auf allen Geräten funktionieren und sich ohne große Umstände in den Arbeitsalltag einfügen.

Risikofaktor Mensch mitdenken

Der Faktor Mensch und seine Fähigkeit, ein Tool korrekt anzuwenden, muss in einer Kommunikationsrichtlinie immer mitgedacht sein. Menschen entscheiden sich nicht automatisch für die sicherste Option, wenn diese die unbequemere ist. Sie nehmen das, was einfach, vertraut und verfügbar ist.  Um das menschliche Risiko möglichst auszuschließen, sollten Unternehmen ihre Mitarbeitenden über die Gefahren eines Tools aufklären und Mechanismen per default etablieren, die ein unerwünschtes Verhalten automatisch ausschließen. Hier spielen etwa Berechtigungskonzepte und Regeln eine wichtige Rolle, mit denen sich rollenbasierte Grundeinstellungen festlegen lassen.

Anzeige

Auch gehören Schulungen über die „Etiquette“ dazu, welche Informationen mit wem über welchen Kanal geteilt werden dürfen. Dadurch können Unternehmen ihre Nutzenden vor eigenen Fehlern schützen – denn wenn es um Vertrauen, Sicherheit oder wirtschaftliche Interessen geht, darf ein leichtfertig in Kauf genommener Fehltritt keine Option sein.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Nur per se sichere Tools zulassen

Nicht zuletzt kommt es auch auf die Sicherheit des Tools selbst an. Wer Cyberangriffe verhindern will, muss seine Systemarchitektur von Beginn an sicher planen. Das ist das Grundprinzip von ‚Secure by Design‘. Sicherheit muss bei der Entwicklung jeder Systemkomponente mitgedacht sein, und zwar von der ersten Codezeile an. Beispielsweise verhindern Schutzmaßnahmen gegen Man-in-the-Middle-Angriffe, dass Hacker den Datenverkehr abfangen und manipulieren. In sicheren Systemen wie WebRTC (Web Real-Time Communication) ist der Datenverkehr automatisch verschlüsselt. Auch DDoS (Distributed-Denial-of-Service)-Angriffe lassen sich durch die Kombination sicherer Verbindungsprotokolle verhindern. Der Schutz gegen diese Angriffsarten ist auf dem Papier theoretisch Industriestandard. Aber allzu oft führen schlecht konzipierte Konfigurationen und einfaches menschliches Versagen dazu, dass diese Schutzmaßnahmen nicht richtig funktionieren oder ganz vergessen werden.

Mit Secure by Design verfolgt Wildix beispielsweise konsequent den Ansatz, Sicherheit in jede einzelne Lösung zu integrieren, ohne dass zusätzliche Sicherheitskonfigurationen oder Eingriffe durch den Benutzer erforderlich sind. So ist beispielsweise die Verschlüsselung aller Datenübertragungen von Anfang an in die Architektur eingebaut. Jede Kommunikation innerhalb der Wildix-Lösungen wird durch mehrere Sicherheitsprotokolle wie SIP über TLS (Transport Layer Security), DTLS (Datagram Transport Layer Security) und AES (Advanced Encryption Standard) geschützt. Das verringert das Risiko eines Datenlecks oder eines unberechtigten Zugriffs erheblich.

Fazit

Um in der Kommunikation auf Nummer sicher zu gehen, brauchen Unternehmen eine klare Strategie, die die Kommunikationsplattform, ihre Nutzung und die Schulung der Nutzenden mit einbezieht – ohne dabei auf Convenience verzichten zu müssen. Hilfreich ist es, einen Anbieter zu wählen, der in allen Bereichen gut aufgestellt ist und für jeden Zweck und jedes Gerät eine passende, integrierte Lösung bietet.  

Autor: Stewart Donnor, Global head of solutions engineering, Wildix


Anzeige

Artikel zu diesem Thema

Trump zur Signal-Sicherheitspanne: «Ich war nicht involviert»

Weitere Artikel

Moderne IT-Sicherheitsmythen und die Realität 
Domänenübergreifende Angriffe: Abwehr durch einheitliche Sicherheitsstrategien
Kritische Sicherheitslücke in SAP NetWeaver entdeckt
Datensicherheit mit AI Mesh
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.