Videokonferenz- und Kollaborationstools sind aktuell im Homeoffice unverzichtbar, aber mit Vorsicht zu genießen: Die mediaTest digital hat mit dem App Security Spezialisten Appvisory die gängigsten Produktivitäts-Apps auf Herz und Nieren geprüft. Das Ergebnis vorweg: Alle getesteten Software-Apps weisen grundsätzliche Sicherheitsrisiken auf.
Untersucht wurden die iOS beziehungsweise Android Apps der Anbieter Cisco WebEx Meetings, Zoom Cloud Meetings, Slack, Trello, Mattermost, Skype for Business, Microsoft Teams und Google Hangouts im Zeitraum der KW 14 2020.
Für Unternehmen sind sie Glück im Unglück: Videokonferenz- und Kollaborationstools – halten sie doch damit Mitarbeiter und Menschen in der aktuellen Krise zusammen. Doch wie ist es um die sensiblen Daten der Nutzer bestellt, die per Smartphone App der nächsten Videokonferenz beiwohnen? Und wie sieht es mit der Sicherheit aus, wenn Mitarbeiter über Slack oder Trello ihren Workflow mit ihren Kollegen abstimmen?
Die Tests haben ergeben, dass Cisco WebEx Meetings, Zoom Cloud Meetings, Slack, Trello, Mattermost, Skype for Business, Microsoft Teams und Google Hangouts in puncto Sicherheit noch nachbessern müssen und zumindest auf betrieblichen Smartphones nur mit Vorsicht zu genießen sind.
Zusammenarbeit mit Augenmaß – das Ranking der Getesteten von unsicher bis sicher
1. Cisco WebEx Meetings (Android) Risk Level (CVSS Score): 8,8
2. Zoom Cloud Meetings(Android) Risk Level: 7,5
3. Slack (Android) Risk Level: 7,5
4. Trello (Android) Risk Level: 7,5
5. Mattermost (iOS) Risk Level: 6.0
6. Skype for Business (iOS) Risk Level: 6,0
7. Microsoft Teams (iOS) Risk Level: 6,0
8. Google Hangouts (iOS) Risk Level: 6,0
Beim Thema Sicherheit ist Cisco WebEx Meetings trauriger Verlierer – dem mächtigen Tool, das zwar Online-Kollaboration und Kommunikation vereint, mangelt es nicht nur an ausreichender Verschlüsselung, sondern auch an einer sicheren Implementierung von Webview.
Auch die beliebte Videokonferenz-Anwendung Zoom Cloud Meetings hat zwar jüngst nach Medienkritik nachgebessert, wie bei der unzulässigen Weiterleitung von Informationen an Facebook, doch ist auch hier die Verschlüsselung noch unzureichend für den Einsatz in Unternehmen.
Hausaufgaben nicht gemacht
Beide Anwendungen haben keine durchgehende und ausreichende Verschlüsselung. Zwar verhindert Zoom mittlerweile das Mitlesen verschlüsselter Verbindungen. Verbessern muss Zoom die Sicherung von Daten auf externen Speichern, da es anderen Apps auf dem Gerät ermöglicht die Inhalte mitzulesen. Die unsichere Verwendung von Webview ist eine kritische Sicherheitslücke bei Cisco WebEx Meetings. Im Test zeigte sich auch, dass die Weitergabe von Daten an Drittanbieter leider nicht ausgeschlossen werden kann.
Slack und Trello – durch die Hintertür
Die beiden bekannten Kollaborationstools Slack und Trello haben das gleiche Problem. Sie erstellen und schreiben sensible Daten in temporäre Dateien, was ein erhöhtes Sicherheitsrisiko darstellt. Slack erlaubt zwar ein kurzzeitiges Mitschneiden des Datenverkehrs für statistische Analysen, aber das Mitlesen einer verschlüsselten Verbindung ist nicht möglich. Trello hingegen überträgt Metadaten an mehrere Tracking-Dienste inklusive Gerätemodell, Betriebssystem, Netzbetreiber und Werbe-Id.
Skype for Business und Google Hangouts haben ordentlich nachgebessert
Gerade bei Verstößen gegen Datenschutz und Datensicherheit haben beide Tools deutlich nachgebessert. Jedoch verwenden die Videokonferenz-Anwendungen Skype for Business und Google Hangouts unsichere Schnittstellen (APIs). Im aktuellen Test sind sie leider auch anfällig für sogenannte Man-In-The-Middle-Attacken (MITM). Dazu kommt, dass Skype Metadaten an Microsoft überträgt und Hangouts den Gerätenamen (häufig der Vorname des Besitzers) an Google sendet.
Mattermost und Microsoft Teams – klein vs. groß
Das datenschutzkonforme open-source-basierte Kollaborationstool Mattermost baut nur eine Verbindung zur selbst-gehosteten Instanz auf. Wenn die Ressourcen und Kenntnisse zum Erstellen und Betreuen von Mattermost auf einem eigenen Server vorhanden sind, ist der Kommunikationsservice klar Alternativen vorzuziehen. Im Gegensatz zu Microsoft Teams, das Metadaten an Dritte überträgt und auch bei der Verschlüsselung noch Schwächen zeigt.
Die im Test aufgedeckten Sicherheitsrisiken müssen Unternehmen jedoch nicht einfach so hinnehmen. Um Firmen bei ihrer rasanten Umstellung auf Homeoffice in Zeiten von Corona sicher zu begleiten, hat das Team von Appvisory in Zusammenarbeit mit der BFI, der Beratungsgesellschaft für Informationstechnologie, eine Anleitung für Unternehmen erstellt. Der Ratgeber hilft dabei, eine sichere und ortsunabhängige Arbeitsumgebung für eigene Mitarbeiter einzurichten.
Fazit: Videokonferenz- und Kollaborationstools sind zwar aktuell unverzichtbar, aber mit Vorsicht anzuwenden
Zwar sind die Themen Datensicherheit und Datenschutz zu Recht allgegenwärtig, aber sie werden nach wie vor synonym verwendet, ohne zu differenzieren. Grundsätzlich garantiert Datenschutz jedem Bürger Schutz vor missbräuchlicher Datenverarbeitung, das Recht auf informationelle Selbstbestimmung und den Schutz der Privatsphäre. Datensicherheit muss dafür Sorge tragen, dass Daten jedweder Art ausreichend gegen Manipulation, Verlust und unberechtigte Kenntnisnahme durch Dritte oder andere Bedrohungen geschützt sind. Da sich die Bewertung für den Laien schwierig gestaltet, kann man sich am CVSS-Score orientieren. Der CVSS-Score gibt in einer Skala von 0 bis 10 aufsteigend Auskunft über die Gefährlichkeit einer App (und anderer IT-Systeme) hinsichtlich Datenschutz und Datensicherheit.
„Wenn man sich die Ergebnisse anschaut, sieht man, dass alle getesteten Videokonferenz- und Kollaborationstools unbedingt nachbessern müssen. Die App-Anbieter haben trotz Kenntnis die relevanten Sicherheitslücken und Datenschutzprobleme in ihren Apps bisher nicht behoben. Privatanwender dürfen zwar selbst entscheiden, wie wichtig ihnen ihre persönlichen Daten sind, aber bei der Zusammenarbeit mit Kollegen müssen andere Richtlinien gelten. Unternehmen raten wir aktuell dringend dazu, Videokonferenz- und Kollaborationstools für das Firmentelefon genau anzuschauen bzw. prüfen zu lassen oder im Zweifelsfall zumindest als lokale Instanz selbst zu hosten – wie z. B. bei Mattermost möglich”, erklärt Sebastian Wolters, Gründer und Geschäftsführer von Appvisory.
sichere Homeoffice – Videokonferenz-Apps im Test id=){kind=link}