{"id":26569,"date":"2021-04-26T11:47:19","date_gmt":"2021-04-26T09:47:19","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26569"},"modified":"2021-04-30T15:34:09","modified_gmt":"2021-04-30T13:34:09","slug":"trello-data-leaks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/trello-data-leaks\/26569\/","title":{"rendered":"Datenlecks bei Trello"},"content":{"rendered":"

Laut Medienberichten<\/a> wurden Daten von hunderten von gro\u00dfen Unternehmen und tausenden von kleinen Unternehmen \u00fcber Trello geleaked. Allerdings war es im herk\u00f6mmlichen Sinne des Wortes gar kein Leak \u2013 die betroffenen Unternehmen benutzten Trello schon seit Jahren, ohne sich etwas Zeit f\u00fcr die Datenschutzeinstellungen zu nehmen und das aktuelle Theater begann, als einige Forscher diese Daten ver\u00f6ffentlichten.<\/p>\n

Das Thema ist auch nicht neu \u2013 alle paar Jahre ger\u00e4t das eine oder andere Unternehmen in die Schlagzeilen, weil es wichtige Informationen \u00f6ffentlich zug\u00e4nglich auf Trello gespeichert hat. Der Forscher Kushagra Pathak versuchte vor drei Jahren mithilfe der Medien auf dieses Thema aufmerksam zu machen<\/a>. Leider werden solche Warnungen in der Regel in k\u00fcrzester Zeit wieder ignoriert.<\/p>\n

Welche Daten geleaked wurden und warum<\/h2>\n

In Trello benutzen Projektteams sogenannte Boards zur Zusammenarbeit. Die Boards sind standardm\u00e4\u00dfig privat, d. h. nur die Teammitglieder k\u00f6nnen die Boards sehen. Wenn allerdings auch jemand Zugriff auf das Board erhalten soll, der nicht zum Team geh\u00f6rt, dann wird das Board auf \u00f6ffentlich<\/em> gestellt. Letztere k\u00f6nnen durch Suchmaschinen wie Google gefunden und indiziert werden und jeder Benutzer kann \u00fcber einen direkten Link auf das Board zugreifen. Die Zugriffsberechtigungen werden f\u00fcr jedes Board individuell eingestellt.<\/p>\n

Mit einer gut formulierten Suchanfrage k\u00f6nnen viele \u00f6ffentlich zug\u00e4ngliche Boards von diversen Unternehmen gefunden werden. Darunter sogar Anmeldedaten, gescannte Dokumente und vertrauliche Gesch\u00e4ftsbesprechungen, die von verschiedenen Forschern gefunden und ver\u00f6ffentlicht wurden.<\/p>\n

Unbefugter Zugriff auf Unternehmensdaten in einem Trello-Workspace kann auch dann problematisch werden, wenn dort keine vertraulichen Dokumente und Passw\u00f6rter gespeichert werden. Angreifer k\u00f6nnen Gesch\u00e4ftsinformationen anwenden, um die Social-Engineering-Angriffe glaubhafter zu gestalten. Beispielsweise kann bei der E-Mail-Kommunikation mit einem Mitarbeiter die Wachsamkeit der betroffenen Person gesenkt werden, indem Details eines laufenden Projekts angegeben werden.<\/p>\n

Trello f\u00fcr effektiven Informationsschutz richtig einstellen<\/h2>\n

Mit nur zwei \u00c4nderungen in den Einstellungen werden Suchmaschinen daran gehindert Daten im entsprechenden Trello-Workspace zu indexieren. Dabei spielt die Sichtbarkeit jedes einzelnen Boards eine wichtigere Rolle, als die Workspace-Sichtbarkeit.<\/p>\n

Die Workspaces verf\u00fcgen \u00fcber zwei Sichtbarkeitseinstellungen: privat und \u00f6ffentlich. Die empfehlenswerte Auswahl liegt klar auf der Hand.<\/p>\n

\"Sichtbarkeitseinstellungen<\/p>\n

Bei den Boards stehen mehr Auswahlm\u00f6glichkeiten zur Verf\u00fcgung: privat (nur Board-Mitglieder haben Zugang), Workspace (alle Workspace-Mitglieder haben Zugang), Organisation (alle Mitarbeiter haben Zugang \u2013 diese Option ist Enterprise-Kunden vorbehalten) und \u00f6ffentlich (alle haben Zugang). Auf der aktuellen Benutzeroberfl\u00e4che von Trello ist eine deutliche Erkl\u00e4rung zu den Sichtbarkeitsoptionen zu finden und es wird darauf hingewiesen, dass Webcrawler nur Zugriff auf \u00f6ffentlich zug\u00e4ngliche Boards haben. Dementsprechend h\u00e4tte jegliche Auswahl, abgesehen von \u00f6ffentlich<\/em>, den Vorfall verhindert, der f\u00e4lschlicherweise als Datenleck bezeichnet wird.<\/p>\n

\"Sichtbarkeitseinstellungen<\/p>\n

Unserer Ansicht nach, sollte der Zugriff auf arbeitsrelevante Informationen grunds\u00e4tzlich auf ein Minimum an Mitarbeitern beschr\u00e4nkt sein und folglich eignet sich die private Option am besten daf\u00fcr. Das bedeutet ein bisschen mehr Arbeitsaufwand \u2013 jemand muss die Verwaltung der Zugriffsberechtigungen \u00fcbernehmen \u2013 aber dadurch wird die Integrit\u00e4t der Informationen gew\u00e4hrleistet.<\/p>\n

Einstellungen f\u00fcr sichere Zusammenarbeit<\/h2>\n

Damit Informationen nicht ungewollt an die \u00d6ffentlichkeit gelangen, ist es wichtig die Sichtbarkeit der Trello-Boards richtig einzustellen. Beachten Sie zudem auch folgende Sicherheitsma\u00dfnahmen:<\/p>\n