Messenger
In vielen Unternehmen, vor allem in Kleinunternehmen, werden für die Mitarbeiterkommunikation keine speziellen Systeme wie Slack oder Microsoft Teams eingesetzt, sondern gewöhnliche Messenger wie WhatsApp, Telegram und Signal. Und während man für den Privatgebrauch vor allem die Mobilversionen bevorzugt, verwenden viele im beruflichen Umfeld Desktop-Anwendungen, ohne sich viele Gedanken darüber zu machen, wie sicher diese eigentlich sind.
In unserem jüngsten Beitrag über Schwachstellen in der Desktop-Version von Signal haben wir darauf hingewiesen, dass es am sinnvollsten wäre, auf die Desktop-Version von Signal (und auf Desktop-Versionen von Messengern im Allgemeinen) zu verzichten. Da der Grund dafür nicht sofort ersichtlich ist, möchten wir in diesem Artikel ausführlicher auf die Schwachstellen von Desktop-Messengern in Bezug auf die Cybersicherheit eingehen.
Bitte bedenken Sie, dass wir über Desktop-Versionen von „zivilen“ Messaging-Apps (wie Telegram, WhatsApp und Signal) sprechen – und nicht über Unternehmensplattformen wie Slack und Microsoft Teams, die sich speziell an Arbeitsprozesse anpassen (und als solche ein wenig anders funktionieren und daher in diesem Beitrag nicht berücksichtigt werden).
1. Außen App, innen Browser
Eines der wichtigsten Dinge, die man über Desktop-Versionen von Messengern wissen sollte, ist, dass die meisten von ihnen auf dem Electron-Framework basieren. Im Wesentlichen bedeutet dies, dass ein solches Programm im Kern eine Webanwendung ist, die in einem eingebetteten Chromium-Browser geöffnet wird.
Dies ist der eigentliche Grund, warum Electron bei Entwicklern von Desktop-Versionen von Messengern so beliebt ist: Das Framework macht es schnell und einfach, Anwendungen zu erstellen, die auf allen Betriebssystemen laufen. Das bedeutet aber auch, dass Programme, die auf Electron aufgebaut sind, zwangsläufig auch sämtliche Schwachstellen des Frameworks übernehmen.
Zugleich sollte man sich darüber im Klaren sein, dass Chrome und Chromium aufgrund ihrer unglaublichen Beliebtheit immer im Rampenlicht stehen. Cyberkriminelle finden regelmäßig Schwachstellen in diesen Programmen und erstellen umgehend Exploits mit detaillierten Beschreibungen, wie diese ausgenutzt werden können. Für den normalen, eigenständigen Chrome-Browser ist dies kein so großes Problem: Google geht sehr schnell auf Informationen über Sicherheitslücken bereit und veröffentlicht regelmäßig Patches. Um sich zu schützen, müssen Sie lediglich die Updates unverzüglich installieren. Bei Programmen, die auf Electron basieren, wird der eingebettete Browser jedoch nur dann aktualisiert, wenn die Entwickler eine neue Version der Anwendung veröffentlichen.
Worauf läuft all das also hinaus? Wenn Ihre Mitarbeiter Anwendungen verwenden, die auf Electron basieren, bedeutet dies, dass sie mehrere Browser auf ihren Systemen laufen haben, für die regelmäßig Exploits erscheinen. Zudem können weder Sie noch Ihre Mitarbeiter die Updates für diese Browser kontrollieren. Und je mehr solcher Anwendungen es gibt, desto höher sind die damit verbundenen Risiken. Deshalb ist es sinnvoll, zumindest die Anzahl der „zivilen“ Messenger, die im Unternehmen zu beruflichen Zwecken genutzt werden, zu begrenzen.
2. Schlüsselfrage
Einer der größten Vorzüge moderner Messenger ist die Ende-zu-Ende-Verschlüsselung, was bedeutet, dass zur Entschlüsselung von Nachrichten die privaten Schlüssel der Chat-Teilnehmer benötigt werden, die deren Geräte niemals verlassen. Und so lange niemand sonst die Verschlüsselungsschlüssel kennt, ist Ihre Korrespondenz sicher geschützt. Gelangt allerdings ein Angreifer in den Besitz des privaten Schlüssels, kann er nicht nur Ihre Korrespondenz lesen, sondern sich auch als einer der Chat-Teilnehmer ausgeben.
An diesem Punkt zeigt sich das Problem der Desktop-Versionen von Messengern: Sie speichern die Verschlüsselungsschlüssel auf der Festplatte, was bedeutet, dass diese leicht gestohlen werden können. Klar, ein Angreifer muss sich irgendwie Zugang zum System verschaffen, z. B. durch Malware, aber das ist bei Desktop-Betriebssystemen durchaus machbar. Bei mobilen Betriebssystemen ist es aufgrund ihrer Architektur deutlich schwieriger, Verschlüsselungsschlüssel zu entwenden – insbesondere, wenn dies aus der Ferne erfolgt.
Mit anderen Worten: Durch die Nutzung der Desktop-Variante eines Messengers erhöht sich das Risiko, dass der Verschlüsselungsschlüssel und damit die berufliche Korrespondenz in die falschen Hände gerät, zwangsläufig und erheblich.
3. RAT im Chat
Angenommen, es läuft alles glatt und bislang ist niemand im Besitz des Verschlüsselungsschlüssels einer Ihrer Mitarbeiter gekommen: Das bedeutet, dass die gesamte Geschäftskorrespondenz sicher und unversehrt ist, nicht wahr? Nicht ganz. Cyberkriminelle könnten sowohl Tools zur Fernverwaltung (Remote Access Tools) als auch Remote Access Trojaner (die beide dasselbe Akronym teilen – RAT) verwenden, um sich Zugang zur Arbeitskorrespondenz zu verschaffen. Der Unterschied zwischen ihnen ist eher symbolisch: Sowohl legitime Tools als auch illegale Trojaner können dazu verwendet werden, viele interessante Dinge mit Ihrem Computer anzustellen.
RATs sind Bedrohungen, gegen die Desktop-Messenger-Clients, im Gegensatz zu ihren mobilen Gegenstücken, praktisch machtlos sind. Solche Programme ermöglichen es selbst unerfahrenen Angreifern, Zugang zum Inhalt vertraulicher Korrespondenzen zu erhalten. In einem Desktop-Messenger sind alle Chats bereits automatisch entschlüsselt, weshalb es nicht nötig ist, die privaten Schlüssel zu stehlen. Im Remote-Desktop-Modus kann jeder Ihre Korrespondenz lesen, selbst wenn sie über den sichersten Messenger der Welt geführt wird. Und nicht nur lesen, sondern auch Nachrichten im Arbeits-Chat schreiben und sich dabei als Mitarbeiter des Unternehmens ausgeben.
Zudem handelt es sich bei den Fernverwaltungstools um völlig legitime Programme, mit allen sich daraus ergebenden Konsequenzen. Denn erstens können sie im Gegensatz zu Malware, die aus irgendeiner dunklen Ecke des Internets stammen muss, ohne Probleme online gefunden und heruntergeladen werden. Und zweitens warnt nicht jede Sicherheitslösung den Benutzer, wenn Fernzugriffstools auf seinem Computer gefunden werden.
4. Was soll schon schiefgehen?
Ein weiterer Grund, keine Desktop-Clients beliebter Messenger zu verwenden, ist das Risiko, dass sie als zusätzlicher unkontrollierter Kanal genutzt werden, um Schaddateien auf die Computer Ihrer Mitarbeiter zu übertragen. Selbstverständlich können Sie sich eine solche Datei überall einfangen. Aber bei E-Mail-Anhängen und erst recht bei Dateien, die aus dem Internet heruntergeladen werden, sind sich die meisten Nutzer der potenziellen Gefahr bewusst. Dateien, die in einem Messenger empfangen werden, vor allem in einem, der als sicher eingestuft wird, werden jedoch anders betrachtet: „Was soll da schon schief gehen?“ Dies gilt insbesondere dann, wenn die Datei von einem Kollegen stammt: „Da kann doch nichts schiefgehen“, ist hier meist die gängige Meinung.
Die in der Desktop-Version von Signal gefundenen Schwachstellen im Zusammenhang mit dem Umgang des Messengers mit Dateien (wie in unserem letzten Beitrag beschrieben) sind ein gutes Beispiel dafür. Wenn diese Schwachstellen ausgenutzt werden, kann ein Angreifer unbemerkt infizierte Dokumente an Chat-Teilnehmer verteilen und sich dabei als einer dieser Teilnehmer ausgeben.
Dies ist nur ein hypothetisches Szenario, das auf fortgeschrittene technische Fähigkeiten des Angreifers schließen lässt. Auch andere Szenarien sind nicht auszuschließen: von Massenmailings basierend auf gestohlenen Datenbanken bis hin zu zielgerichteten Angriffen unter Einsatz von Social Engineering.
Auch hier gelten die mobilen Betriebssysteme als besser gegen Malware geschützt, was das Problem für die Nutzer von mobilen Messenger-Clients weniger akut macht. Bei den Desktop-Clients ist das Risiko, irgendeine Art von Malware auf den Desktop-Computer zu schleusen, weitaus größer.
5. Gute Vorbereitung ist das A und O
Dabei dürfen herkömmliche Bedrohungen nicht außer Acht gelassen werden. Die [KSMail placeholder]spezialisierten Sicherheitslösungen auf Mail-Gateway-Ebene des Unternehmens[/KSMail placeholder] verstärken den Schutz vor schädlichen Anhängen und Phishing. Bei Desktop-Messenger-Clients ist die Sache jedoch etwas komplizierter. Es gibt keine Lösung, die in den Ende-zu-Ende-verschlüsselten Nachrichtenaustausch über die Server des Messengers selbst eingreifen kann; gefährliche Objekte können nur am Ausgang abgefangen werden, was das Schutzniveau verringert.
Auch dies ist bei mobilen Geräten ein weitaus geringeres Problem. Sie sind schwerer mit Schadsoftware zu infizieren, und es werden dort weniger wichtige Dateien gespeichert. Außerdem ist es unwahrscheinlich, dass eine seitliche Bewegung im Unternehmensnetzwerk nach einem erfolgreichen Angriff auf ein mobiles Gerät die gleichen verheerenden Folgen hat.
Ein Desktop-Messenger auf einem Arbeitsrechner stellt einen Kommunikationskanal dar, der nicht nur für den Netzwerkadministrator unkontrollierbar, sondern auch vollständig gegen seine Aktionen gesichert ist; dies könnte zu einer sehr unangenehmen Situation führen.
Vorsorge ist besser als Nachsorge (und Schuldzuweisungen)
Im Grunde schließen wir dort ab, wo wir angefangen haben: wie in der Einleitung bereits erwähnt, empfiehlt es sich, keine Desktop-Versionen von Messengern zu verwenden. Wenn das aus irgendeinem Grund nicht in Frage kommt, sollten Sie zumindest grundlegende Vorsichtsmaßnahmen treffen:
– Installieren Sie unbedingt Sicherheitssoftware auf Ihren Arbeitsgeräten. Nur so schützen Sie sich vor unschönen Dingen, die über Messenger in Ihr Firmennetzwerk eindringen können.
– Sollten Ihre Mitarbeiter mehr als einen Messenger für dienstliche Zwecke nutzen, sollten Sie versuchen, dies zu unterbinden. Beschränken Sie sich auf einen Messenger und unterbinden Sie den Einsatz der anderen.
– Behalten Sie außerdem den Überblick über die auf den Arbeitsgeräten installierten und verwendeten Remote-Access-Tools.
– Apropos: Unsere Kaspersky Endpoint Security Cloud verfügt über eine Cloud-Discovery-Funktion, die die Versuche von Mitarbeitern erfasst, nicht zugelassene Cloud-Dienste zu nutzen.
– Um die Wirksamkeit all dieser Maßnahmen zu steigern und zugleich ihre absolute Notwendigkeit zu demonstrieren, wäre ein Sicherheitstraining für die Mitarbeiter hilfreich.
Tipps