Digitale Kommunikation - das große Datenleck

Autor: Fabio Marti
Veröffentlicht am 29. Oktober 2018

Videoaufzeichnung

Slideshare Präsentation

Digitale Kommunikation - das große Datenleck from ginlo powered by Brabbler on Vimeo.

Transscript der Aufzeichnung des Vortrages auf der it-sa in Nürnberg 2018:

Fabio Marti:
Dankeschön für die freundliche Einführung. Mein Name ist Fabio Marti, ich bin seit über zehn Jahren im Bereich der IT Security unterwegs und verantworte seit 2016 das B2B Geschäft bei der Brabbler AG. Ich sag gleich vorab: Der Vortrag wird etwas seichter sein in dem Wissen, dass wir zwischen Ihnen und dem Mittagessen stehen. In vielerlei Hinsicht. Insofern fahren wir etwas runter und sprechen weniger über Technisches als mehr über was Alltägliches.

Slide: Wer ist Brabbler:
Die Brabbler AG wird vielen von Ihnen nichts sagen und das ist auch vollkommen in Ordnung. Denn wir sind noch ein recht junges Unternehmen. Damit ich Ihnen aber ein bisschen Kontext geben kann, ein wenig Hintergrund, und Sie das besser einordnen können, kurz ein wenig zu uns. Wir sind ansässig in München. Mittlerweile knapp 70 Mitarbeiter, unterschiedlichster Couleur - ein sehr bunter Haufen aus über 20 Nationen. Und aus der Taufe gehoben wurde das Projekt von den GMX-Gründern. Mit dem hehren Ziel, eine digitale Welt zu schaffen, in der Vertraulichkeit und Privatsphäre Realität sind. Das klingt jetzt erst mal sehr abstrakt. Ganz konkret haben wir aber den Weg dorthin begonnen, am Anfang dieses Jahres, als wir unseren Business Messenger „ginlo @work“ gelauncht haben. Dabei handelt es sich um einen vollverschlüsselten Messenger, der Unternehmen volle Datenhoheit einräumt und ein zentrales Management und Archiv anbietet.

Slide: Wer braucht denn einen neuen Messenger?
Leider muss ich dasselbe, was ich ihnen erkläre, in den letzten zwei Jahren auch in meinem Freundeskreis und Bekanntenkreis immer wieder erläutern. Was machen wir? Was tun wir? Und hier kam häufig die Gegenfrage: „Aber Fabio, wer braucht denn bitte heute noch einen neuen Messenger? Die gibt's doch schon wie Sand am Meer!“ Und dann gab es die eine Gruppe, die es immer wieder festgemacht haben an Beispielen aus dem privaten Bereich. Vornehmlich Whatsapp oder der Facebook Messenger. Und dann gab es die andere Gruppe. Die haben ihre Argumente unterlegt mit Beispielen aus dem Businessbereich, Beispiel Slack oder HipChat. Und vielen von Ihnen wird es wahrscheinlich auch so gehen, dass Sie sagen „ja mittlerweile ist es doch gang und gäbe in Unternehmen, dass wir mit Messenger-Diensten arbeiten im täglichen Leben." Das ist aber tatsächlich mitnichten so. Wir sind da etwas voreingenommen, weil wir selber aus der digitalen Branche kommen.

Slide: 65% der Unternehmen bieten Mitarbeitern keine BM Lösung
Über alle Unternehmen hinweg  - wir haben hier ein bisschen Probleme mit der Darstellung - aber über alle Unternehmen hinweg haben wir in einer Studie festgestellt - die wir Anfang des Jahres an 700 Mitarbeitern über alle Unternehmensgrößen, Branchen hinweg, durchgeführt haben - dass 65 % der deutschen Unternehmen nach wie vor keine Business Messaging Lösung anbieten. Für uns ist das ein Grund, weshalb die erste Gruppe, die private Messenger als Beispiel angeführt hat, gar nicht so falsch liegt. Denn tatsächlich ist es so, dass dafür auf fast der Hälfte aller deutschen Geschäftshandys WhatsApp installiert ist. Da kann man jetzt sagen „Warum“? Für uns ist der Grund recht naheliegend. Den haben Sie im Slide davor gesehen. Mitarbeiter möchten auf der Arbeit sich genauso organisieren und genauso produktiv arbeiten, wie sie das im Privatleben tun. Sie möchten nun mal ein Team Event so organisieren, wie sie die letzten fünf Geburtstage organisiert haben. Und für solche Use-Cases ist nun mal ein Tool wie WhatsApp die erste Wahl.

Warum ist das aber ein Sicherheitsproblem?

Wir sind heute hier auf einer Security Messe und das, was Sie wahrscheinlich am häufigsten hören werden in diesem Zusammenhang ist natürlich die DSGVO. Und das ist auch richtig. Das ist ein Problem, denn WhatsApp greift auf die Kontaktdaten, die in den Adressbüchern der Handys vorhanden sind, zu und teilt diese personenbezogenen Daten ohne die Einwilligung der Einzelnen mit dem Mutterkonzern Facebook in den USA. Das ist ein DSGVO-Verstoß. Das ist absolut richtig und kann auch theoretisch empfindliche Strafen nach sich ziehen. Natürlich fehlen hier noch zahlreiche Gerichtsurteile. Wir haben noch nichts gesehen, was dort passiert. Aber das Risiko ist da.

Slide: Whatsapp auf dem Geschäftshandy ist in dreierlei Hinsicht problematisch
Aber damit ist es nicht getan. Die DSGVO und WhatsApp ist ein Compliance-Problem. Das ist richtig. Das ist auch ernst zu nehmen. Darunter fallen aber auch Dinge, wie die Archivierungspflichten, denen Sie in solch einem Szenario nicht nachkommen können. Und darüber hinaus unterliegt - darüber hinaus liegt es doch in Ihrem ureigenen Interesse als Unternehmen selbst die Hoheit über das zu haben, was in Ihrem Unternehmen passiert. Sie möchten doch Geschäftsabläufe selbst nachvollziehen können. Sie möchten doch Know-how, Informationen, die intern geshared werden, nachhaltig sichern können und verfügbar machen. Das können Sie nicht, wenn dieser Dienst als „Neben-IT“ oder „Schatten-IT“ - welchen Begriff auch immer Sie bevorzugen -  an Ihnen vorbeiläuft.

Slide: „Network“
Kommen wir zum Thema „Datensicherheit“. Es ist auch tatsächlich ein Sicherheitsproblem an sich. Denn auf den ersten Blick mag es kein großes Geheimnis sein: ein Adressbuch, in den Kontaktdaten zu finden sind, die Sie womöglich auch über andere Wege auf Netzwerken wie Xing oder LinkedIn finden oder frei im Netz verfügbar.

Das Problem liegt eher darin, dass, wenn ich genug Adressbücher aus Ihrem Unternehmen kombiniere, ich so etwas wie einen sozialen Graphen Ihres Unternehmens erhalte. Und dieser soziale Graph kann mir sehr viel über ihr Unternehmen verraten. Er kann mir verraten, mit welchen Kunden und Partnern sie zusammenarbeiten. Er kann mir verraten, wer in Ihrem Unternehmen eine was für gewichtige Rolle spielt. Das sind alles Informationen, die auch für potentielle Angreifer durchaus interessant sind. Und er kann mir womöglich auch sehr sensible Informationen verraten, wie beispielsweise Insider Informationen. Dass, wenn ich auch noch das Ganze mit einem Adressbuch eines anderen Unternehmens kombiniere, ich sehe „Hey, da gibt es auf Vorstandsebene zwischen Ihrem Unternehmen und dem Mitbewerber, den Sie vielleicht übernehmen könnten, sehr viele gegenseitige Adressbucheinträge." Das sind alles implizite Daten, die sensibel sind und die wertvoll sind.

Slide NSA:
Jetzt ist es ja grundsätzlich nicht so schlimm, wenn Facebook so etwas weiß. Nur leider entstehen diese Informationen außerhalb Ihrer Rechtsprechung. Sie entstehen auf der anderen Seite des Ozeans. In einem Konzern, der, mal ganz abgesehen von dieser Thematik (der NSA), auch sich nicht gerade mit Ruhm bekleckert, wenn es darum geht, Daten vertraulich zu behandeln. Und wenn diese Daten beim Konzern wie Facebook landen, müssen Sie auch davon ausgehen, dass diese Daten bei der NSA landen. Und das ist ein Geheimdienst, der auch in den vergangenen Jahren nicht mehr alles ganz so geheim halten konnte, wie er das eigentlich gerne gehabt hätte. Und ein Geheimdienst - das wissen viele nicht, und die das wissen, vergessen das auch gern - der in der Vergangenheit auch gezielt für Wirtschaftsspionage eingesetzt wurde.

Vor einigen Jahren hieß es „unter Freunden hört man sich nicht ab“. Wir wissen alle, wie es damals tatsächlich war. Und die Freundschaft ist in Zeiten von Handelskriegen und „America First“ auch nicht mehr so ganz das, was sie mal war. Und plötzlich gibt es dann das Unikat aus dem Schwarzwald baugleich auch aus Dallas Texas. Ich kann Ihnen nicht sagen - und das kann Ihnen wahrscheinlich niemand mit abschließender Sicherheit sagen - wie viel davon heute schon stattfindet. Was ich aber sagen kann, ist, dass diese Szenarien Teil Ihrer Risikoeinschätzung sein sollten. Teil Ihrer Risikoanalyse. Es ist einfach naiv zu denken, dass hier die Daten, die kompletten Geschäftsdaten und Wirtschaftsgeheimnisse aus dem europäischen Raum, fertig indiziert liegen und weil man so gute Freunde ist, die Versuchung einfach ausgeblendet wird, auf diese doch auch mal zu zugreifen für die eigenen Interessen. Das sollte man einfach berücksichtigen.

Slide: Emails
Doch jetzt sind wir ein bisschen abgeschweift. Eigentlich geht es ja um die digitale Kommunikation und wir haben ja auch eingangs gesehen, diese neuen Dienste, die meist aus Übersee kommen - denn das ist ein Problem, das nicht nur WhatsApp betrifft, das betrifft auch Slack, es betrifft auch HipChat, betrifft diese ganzen amerikanischen Dienste - diese werden ja noch nicht so ausgiebig genutzt, wie wir alle das annehmen.

Nochmal: 65 % der Unternehmen bieten ihren Mitarbeitern gar keine Messaging-Dienste an. Keine Business Messaging Dienste, weil das Medium Nummer 1 in Deutschland nach wie vor die E-Mail ist. Mit zuletzt 280 Milliarden täglich versendeter und empfangener E-Mails. Und dabei handelt es sich um ein Medium, was vor über einem Vierteljahrhundert erfunden wurde, als die heutige Gefahrenlage noch überhaupt nicht absehbar war. Ein Medium, das unverschlüsselt in etwa so sicher ist, wie eine Postkarte. Und trotzdem sehen wir hier keinen Abbruch in der in der Popularität dieses Mediums.

Slide: Anteil der Hacks
Und so erstaunte es eigentlich auch nicht, dass die Bitkom in einer kürzlichen Studie herausgefunden hat, dass in 41 % der registrierten Datenvorfälle Kommunikationsdaten gestohlen wurden, weil es ist einfach und es ist sehr lukrativ. Wenn Sie überlegen, was Sie alles via E-Mail sharen, dann wissen Sie, wovon ich spreche. Und ich denke, wir werden über das E-Mail-Szenario noch ein wenig mehr gleich von den Kollegen von Retarus hören, nach mir.

Slide: 4 Tipps für Ihre digitale Kommunikation
Doch was können wir jetzt tun? Wir haben folgende Situation: Viel der digitalen Kommunikation in Unternehmen findet über „Neben-IT“ oder „Schatten-IT“ statt, was Probleme auf Compliance-Seite bedeutet und was Ihnen als Unternehmen, die Datenhoheit entzieht. Auf der anderen Seite unterliegen viele der Dienste, die Sie vielleicht als Alternativen wahrnehmen, US-amerikanischer Rechtsprechung und können so Konsequenzen in Richtung Wirtschaftsspionage und Datensicherheit für Sie haben. Und zu guter Letzt kommuniziert ohnehin jeder über ein latent unsicheres Medium. Selbst verschlüsselte E-Mails, wie wir Anfang des Jahres erfahren haben, sind nicht mehr ganz so sicher, wie wir das noch ursprünglich dachten. Und so ist für uns, für mich, die digitale Kommunikation intern eines der größten Datenlecks und nicht unverdient einer der ersten Angriffsvektoren bei Cyberangriffen.

Was können Sie tun?

Das Allheilmittel haben wir nicht. Aber es gibt ein paar einfache Tipps, die ich Ihnen mitgeben möchte.

  1. Und das Erste ist: Trennen Sie Geschäftliches und Privates klar - BYOD fühlt sich sehr modern an, ist auf dem Papier sehr kosteneffizient, aber am Ende bringen Sie sich damit in Teufels Küche. Die Frage der Datenhoheit, die Frage des Datenschutzes wurde in diesem Land nie abschließend geklärt für diese Szenarien. Deswegen halten sich dran – trennen Sie Geschäftliches von Privatem klar. Wenn Sie das technisch nicht können, dann machen Sie das Ganze zumindest rechtlich über betriebliche Vereinbarungen etc. Das schafft schon mal eine gute Basis.
  2.  Es ist gar nicht mal ein Tipp, mehr eine Bitte an Sie: Denken Sie über Alternativen zur E-Mail nach. Führen Sie Alternativen ein. E-Mail stirbt nicht seit 25 Jahren, weil keiner – Verzeihung - die Eier in der Hose hat, es abzusägen. Machen sie was. Gehen sie neue Wege. Es wird funktionieren! Sie müssen beginnen und selbst, wenn Sie es von heut auf morgen nicht ersetzen, werden Sie den E-Mail-Verkehr reduzieren. Was wiederum ihre Angriffsfläche reduziert.
  3. Europäische Lösungen. Schauen Sie nicht immer nach Übersee. Wir haben hier - gerade hier auch in diesen Hallen haben wir - sehr patente Anbieter, wir haben sehr patente Lösungen. Vielleicht haben sie an der ein oder anderen Stelle noch nicht den Reifegrad und noch nicht die Verbreitung, wie man das vielleicht von den US-amerikanischen Diensten kennt. Aber Sie sind von der Datensicherheit, als auch vom Datenschutz und der rechtlichen Sicherheit viel besser bedient, wenn Sie etwas nehmen, was aus derselben Rechtsprechung kommt wie Sie selbst.
  4. Und zu guter Letzt: Verschlüsseln, verschlüsseln, verschlüsseln.

Slide: "Verschlüsselung"
Warum sage ich das? Zum einen, weil wir natürlich darauf setzen. Aber wir machen das nicht einfach so, sondern wir machen es aus Überzeugung, weil wir sagen: Verschlüsselung reduziert für Sie die Notwendigkeit von Vertrauen. Wenn Sie gut verschlüsseln oder Lösungen finden, die konsequent verschlüsseln und Ihnen dabei die Schlüsselhoheit geben, dann haben Sie automatisch auch die Datenhoheit. Und dann kann es, wenn man das ganz weit treibt das Gedankenspiel, kann es Ihnen eigentlich auch egal sein, wo die Daten am Ende liegen. Wenn Sie konsequent verschlüsselt sind, Sie der Einzige sind, der diese Schlüssel tatsächlich auch halten kann, ist egal wo die Daten liegen.

Slide: „Standhinweis“
Wir selbst haben uns zur Aufgabe gemacht, diese drei Themen (Datenhoheit, Datensicherheit und Compliance) unter einen Hut zu bringen. Unseres Wissens nach finden Sie nicht viele andere Unternehmen, die es schaffen, Ihnen in der digitalen Kommunikation alle drei Dinge gleichzeitig zu ermöglichen. Meistens müssen Sie an irgendeinem Schritt Vertrauen geben. An den Anbieter, an einen Partner oder vielleicht im schlimmsten Fall an eine Regierung in Übersee. Das sollten Sie nicht tun. Wir haben unsere Lösung über eine hierarchische Verschlüsselung so aufgebaut, dass wir zu keinem Zeitpunkt technisch irgendwie in der Lage wären, an Ihre Informationen zukommen, während Sie zentral ein Archiv sämtlicher Kommunikation halten können und darauf auch zugreifen können, wenn das nötig ist. Wenn Sie mehr darüber erfahren wollen, bitte besuchen Sie uns hier in dieser Halle an Stand 526. Einmal den Gang runter, etwas weiter vorne rechts. Ich möchte gerne mit Ihnen darüber sprechen, ich stehe auch nach dem Vortrag nochmal für Fragen bereit. Ansonsten bedanke mich für Ihre Aufmerksamkeit. Dankeschön.

Moderator:
Fabio Marti, meine Damen und Herren. Mal so ´ne kurze Frage, weil Sie hatten jetzt gerade so gesagt: „Denken Sie über Alternativen nach.“ Aber eine Alternative bietet jetzt Office 365, die haben ja jetzt groß MS Teams. Und ist das nicht genau gerade der Punkt, warum sich viele IT Security Abteilung davor scheuen, wenn ich über Chats gehe, eben wie Slack oder eben wie Threema und was es noch so alles gibt.

Fabio:
Oder was ist Office 365 - es ist natürlich nicht schön gegen andere Aussteller hier zu reden und das möchte ich auch nicht. Aber wir haben Kunden, die mit uns sprechen und die sagen: "Wir möchten dort nicht hin. Wir sehen auch in der Zukunft, dass beispielsweise ein Exchange gar nicht mehr On-Premise verfügbar sein wird. Wir werden die Kontrolle langfristig verlieren." Und Anfang des Jahres gab es noch einen Supreme Court Case „Microsoft gegen die USA“ wo es genau darum ging: "Muss Microsoft den amerikanischen Behörden Zugriff auf Daten gewähren, die auf europäischen Servern liegen?" Am Ende kam es nie zu einem Urteil, weil durch die Hintertür mit dem Budgetplan ein neues Gesetz verabschiedet wurde, was den Behörden genau dieses Recht einräumt und damit war das Urteil hinfällig. Fakt ist, daraus entstanden ist jetzt, was wir heute haben: Ja, die amerikanischen Behörden haben Zugriff, rein rechtlich, auf sämtliche Informationen, egal wo diese liegen. Nochmal - ich kann Ihnen nicht sagen, was genau und wie weit es schon getrieben wird. Aber Sie müssen das in Ihrer Risikokalkulation mitberücksichtigen.

Moderator:
Also nochmal vielen Dank Fabio Marti für die Information.

Sie möchten mehr über ginlo @work erfahren?

Mehr über ginlo @work