Schwerpunkte

Zoom, Slack, Google & Co.

Das (un)sichere Homeoffice

21. April 2020, 13:08 Uhr   |  Diana Künstler | Kommentar(e)

Das (un)sichere Homeoffice
© Adobe Stock / fizkes

Für Unternehmen sind sie derzeit Glück im Unglück: Videokonferenz- und Kollaborationstools. Wird damit doch die Zusammenarbeit der Mitarbeiter gewährleistet. Doch wie ist es um die sensiblen Daten der Nutzer und das Thema Sicherheit bestellt? Appvisory hat verschiedene Anwendungen getestet.

Aktuelle Tests der App-Security-Spezialisten von Appvisory haben ergeben, dass Cisco Webex Meetings, Zoom Cloud Meetings, Slack, Trello, Mattermost, Skype for Business, Microsoft Teams und Google Hangouts in puncto Sicherheit noch nachbessern müssen und zumindest auf betrieblichen Smartphones nur mit Vorsicht zu genießen sind. Untersucht wurden die iOS- beziehungsweise Android-Apps der genannten Anbieter im Zeitraum der Kalenderwoch 14 diese Jahres.
 
Zusammenarbeit mit Augenmaß: das Ranking der Getesteten von unsicher bis sicher

  1. Cisco Webex Meetings (Android), Risk Level (CVSS Score): 8,8
  2. Zoom Cloud Meetings (Android), Risk Level: 7,5
  3.  Slack (Android), Risk Level: 7,5
  4. Trello (Android), Risk Level: 7,5
  5. Mattermost (iOS), Risk Level: 6.0
  6. Skype for Business (iOS), Risk Level: 6,0
  7. Microsoft Teams (iOS), Risk Level: 6,0
  8. Google Hangouts (iOS), Risk Level: 6,0
Orientierungshilfe Common Vulnerability Scoring System
Da sich die Bewertung für den Laien schwierig gestaltet, könne man sich laut Appvisory am CVSS Score orientieren. Er gibt in einer Skala von 0 bis 10 aufsteigend Auskunft über die Gefährlichkeit einer App (und anderer IT-Systeme) hinsichtlich Datenschutz und Datensicherheit.

Beim Thema Sicherheit ist Cisco Webex Meetings trauriger Verlierer – dem mächtigen Tool, das zwar Online-Kollaboration und Kommunikation vereint, mangele es laut Appvisory nicht nur an ausreichender Verschlüsselung, sondern auch an einer sicheren Implementierung von Webview. Und auch die beliebte Videokonferenz-Anwendung Zoom Cloud Meetings hat zwar jüngst nach Medienkritik nachgebessert, wie bei der unzulässigen Weiterleitung von Informationen an Facebook, doch sei auch hier die Verschlüsselung noch unzureichend für den Einsatz in Unternehmen.

Cisco Webex Meetings,  Zoom Cloud Meetings: Hausaufgaben nicht gemacht
Beide Anwendungen hätten laut Tester keine durchgehende und ausreichende Verschlüsselung. Zwar verhindere Zoom mittlerweile das Mitlesen verschlüsselter Verbindungen. Verbessern müsse der Anbieter die Sicherung von Daten auf externen Speichern, da es anderen Apps auf dem Gerät ermöglicht die Inhalte mitzulesen. Die unsichere Verwendung von Webview sei eine kritische Sicherheitslücke bei Cisco Webex Meetings. Im Test zeigte sich auch, dass die Weitergabe von Daten an Drittanbieter leider nicht ausgeschlossen werden kann.

Für Zoom sei daher der zusätzliche Einsatz einer MTD (Mobile Threat Defense) -Lösung empfehlenswert. Eine interessante Open-Source-basierte Alternative biete sich laut Appvisory mit Jitsi Meet. Der App-Security-Spezialist werde hierzu in Kürze einen Testbericht nachliefern. 

Appvisorys Fazit: Aus dem Haus, aus dem Sinn.

Slack und Trello: durch die Hintertür
Die beiden bekannten Kollaborationstools Slack und Trello haben das gleiche Problem. Sie erstellen und schreiben sensible Daten in temporäre Dateien, was ein erhöhtes Sicherheitsrisiko darstellt. Slack erlaubt zwar ein kurzzeitiges Mitschneiden des Datenverkehrs für statistische Analysen, aber das Mitlesen einer verschlüsselten Verbindung ist nicht möglich. Trello hingegen überträgt Metadaten an mehrere Tracking-Dienste inklusive Gerätemodell, Betriebssystem, Netzbetreiber und Werbe-ID. Für Slack sei daher ebenfalls der zusätzliche Einsatz einer MTD (Mobile Threat Defense) -Lösung  ratsam.

Appvisorys Fazit: Kein Heimspiel.

Seite 1 von 2

1. Das (un)sichere Homeoffice
2. Skype for Business und Google Hangouts haben ordentlich nachgebessert

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Microsoft , Cisco, Zoom