In vielen Unternehmen, vor allem in Kleinunternehmen, werden f\u00fcr die Mitarbeiterkommunikation keine speziellen Systeme wie Slack oder Microsoft Teams eingesetzt, sondern gew\u00f6hnliche Messenger wie WhatsApp, Telegram und Signal. Und w\u00e4hrend man f\u00fcr den Privatgebrauch vor allem die Mobilversionen bevorzugt, verwenden viele im beruflichen Umfeld Desktop-Anwendungen, ohne sich viele Gedanken dar\u00fcber zu machen, wie sicher diese eigentlich sind.<\/p>\n
In unserem j\u00fcngsten Beitrag \u00fcber Schwachstellen in der Desktop-Version<\/a> von Signal haben wir darauf hingewiesen, dass es am sinnvollsten w\u00e4re, auf die Desktop-Version von Signal (und auf Desktop-Versionen von Messengern im Allgemeinen) zu verzichten. Da der Grund daf\u00fcr nicht sofort ersichtlich ist, m\u00f6chten wir in diesem Artikel ausf\u00fchrlicher auf die Schwachstellen von Desktop-Messengern in Bezug auf die Cybersicherheit eingehen.<\/p>\n Bitte bedenken Sie, dass wir \u00fcber Desktop-Versionen von \u201ezivilen\u201c Messaging-Apps (wie Telegram, WhatsApp und Signal) sprechen \u2013 und nicht \u00fcber Unternehmensplattformen wie Slack und Microsoft Teams, die sich speziell an Arbeitsprozesse anpassen (und als solche ein wenig anders funktionieren und daher in diesem Beitrag nicht ber\u00fccksichtigt werden).<\/p>\n Eines der wichtigsten Dinge, die man \u00fcber Desktop-Versionen von Messengern wissen sollte, ist, dass die meisten von ihnen auf dem Electron<\/a>-Framework basieren. Im Wesentlichen bedeutet dies, dass ein solches Programm im Kern eine Webanwendung ist, die in einem eingebetteten Chromium-Browser<\/a> ge\u00f6ffnet wird.<\/p>\n Dies ist der eigentliche Grund, warum Electron bei Entwicklern von Desktop-Versionen von Messengern so beliebt ist: Das Framework macht es schnell und einfach, Anwendungen zu erstellen, die auf allen Betriebssystemen laufen. Das bedeutet aber auch, dass Programme, die auf Electron aufgebaut sind, zwangsl\u00e4ufig auch s\u00e4mtliche Schwachstellen des Frameworks \u00fcbernehmen.<\/p>\n Zugleich sollte man sich dar\u00fcber im Klaren sein, dass Chrome<\/a> und Chromium aufgrund ihrer unglaublichen Beliebtheit immer im Rampenlicht stehen. Cyberkriminelle finden regelm\u00e4\u00dfig Schwachstellen in diesen Programmen und erstellen umgehend Exploits mit detaillierten Beschreibungen, wie diese ausgenutzt werden k\u00f6nnen. F\u00fcr den normalen, eigenst\u00e4ndigen Chrome-Browser ist dies kein so gro\u00dfes Problem: Google geht sehr schnell auf Informationen \u00fcber Sicherheitsl\u00fccken bereit und ver\u00f6ffentlicht regelm\u00e4\u00dfig Patches. Um sich zu sch\u00fctzen, m\u00fcssen Sie lediglich die Updates unverz\u00fcglich installieren<\/a>. Bei Programmen, die auf Electron basieren, wird der eingebettete Browser jedoch nur dann aktualisiert, wenn die Entwickler eine neue Version der Anwendung ver\u00f6ffentlichen.<\/p>\n Worauf l\u00e4uft all das also hinaus? Wenn Ihre Mitarbeiter Anwendungen verwenden, die auf Electron basieren, bedeutet dies, dass sie mehrere Browser auf ihren Systemen laufen haben, f\u00fcr die regelm\u00e4\u00dfig Exploits erscheinen. Zudem k\u00f6nnen weder Sie noch Ihre Mitarbeiter die Updates f\u00fcr diese Browser kontrollieren. Und je mehr solcher Anwendungen es gibt, desto h\u00f6her sind die damit verbundenen Risiken. Deshalb ist es sinnvoll, zumindest die Anzahl der \u201ezivilen\u201c Messenger, die im Unternehmen zu beruflichen Zwecken genutzt werden, zu begrenzen.<\/p>\n \u00a0<\/p>\n Einer der gr\u00f6\u00dften Vorz\u00fcge moderner Messenger ist die Ende-zu-Ende-Verschl\u00fcsselung<\/a>, was bedeutet, dass zur Entschl\u00fcsselung von Nachrichten die privaten Schl\u00fcssel der Chat-Teilnehmer ben\u00f6tigt werden, die deren Ger\u00e4te niemals verlassen. Und so lange niemand sonst die Verschl\u00fcsselungsschl\u00fcssel kennt, ist Ihre Korrespondenz sicher gesch\u00fctzt. Gelangt allerdings ein Angreifer in den Besitz des privaten Schl\u00fcssels, kann er nicht nur Ihre Korrespondenz lesen, sondern sich auch als einer der Chat-Teilnehmer ausgeben.<\/p>\n An diesem Punkt zeigt sich das Problem der Desktop-Versionen von Messengern: Sie speichern die Verschl\u00fcsselungsschl\u00fcssel auf der Festplatte, was bedeutet, dass diese leicht gestohlen werden k\u00f6nnen. Klar, ein Angreifer muss sich irgendwie Zugang zum System verschaffen, z. B. durch Malware, aber das ist bei Desktop-Betriebssystemen durchaus machbar<\/a>. Bei mobilen Betriebssystemen ist es aufgrund ihrer Architektur deutlich schwieriger<\/a>, Verschl\u00fcsselungsschl\u00fcssel zu entwenden \u2013 insbesondere, wenn dies aus der Ferne erfolgt.<\/p>\n Mit anderen Worten: Durch die Nutzung der Desktop-Variante eines Messengers erh\u00f6ht sich das Risiko, dass der Verschl\u00fcsselungsschl\u00fcssel und damit die berufliche Korrespondenz in die falschen H\u00e4nde ger\u00e4t, zwangsl\u00e4ufig und erheblich.<\/p>\n Angenommen, es l\u00e4uft alles glatt und bislang ist niemand im Besitz des Verschl\u00fcsselungsschl\u00fcssels einer Ihrer Mitarbeiter gekommen: Das bedeutet, dass die gesamte Gesch\u00e4ftskorrespondenz sicher und unversehrt ist, nicht wahr? Nicht ganz. Cyberkriminelle k\u00f6nnten sowohl Tools zur Fernverwaltung<\/a> (Remote Access Tools) als auch Remote Access Trojaner<\/a> (die beide dasselbe Akronym teilen \u2013 RAT) verwenden, um sich Zugang zur Arbeitskorrespondenz zu verschaffen. Der Unterschied zwischen ihnen ist eher symbolisch: Sowohl legitime Tools als auch illegale Trojaner k\u00f6nnen dazu verwendet werden, viele interessante Dinge mit Ihrem Computer anzustellen.<\/p>\n RATs sind Bedrohungen, gegen die Desktop-Messenger-Clients, im Gegensatz zu ihren mobilen Gegenst\u00fccken, praktisch machtlos sind. Solche Programme erm\u00f6glichen es selbst unerfahrenen Angreifern, Zugang zum Inhalt vertraulicher Korrespondenzen zu erhalten. In einem Desktop-Messenger sind alle Chats bereits automatisch entschl\u00fcsselt, weshalb es nicht n\u00f6tig ist, die privaten Schl\u00fcssel zu stehlen. Im Remote-Desktop-Modus kann jeder Ihre Korrespondenz lesen, selbst wenn sie \u00fcber den sichersten Messenger der Welt gef\u00fchrt wird. Und nicht nur lesen, sondern auch Nachrichten im Arbeits-Chat schreiben und sich dabei als Mitarbeiter des Unternehmens ausgeben.<\/p>\n Zudem handelt es sich bei den Fernverwaltungstools um v\u00f6llig legitime Programme, mit allen sich daraus ergebenden Konsequenzen. Denn erstens k\u00f6nnen sie im Gegensatz zu Malware, die aus irgendeiner dunklen Ecke des Internets stammen muss, ohne Probleme online gefunden und heruntergeladen werden. Und zweitens warnt nicht jede Sicherheitsl\u00f6sung den Benutzer, wenn Fernzugriffstools auf seinem Computer gefunden werden.<\/p>\n \u00a0<\/p>\n Ein weiterer Grund, keine Desktop-Clients beliebter Messenger zu verwenden, ist das Risiko, dass sie als zus\u00e4tzlicher unkontrollierter Kanal genutzt werden, um Schaddateien auf die Computer Ihrer Mitarbeiter zu \u00fcbertragen. Selbstverst\u00e4ndlich k\u00f6nnen Sie sich eine solche Datei \u00fcberall einfangen. Aber bei E-Mail-Anh\u00e4ngen und erst recht bei Dateien, die aus dem Internet heruntergeladen werden, sind sich die meisten Nutzer der potenziellen Gefahr bewusst. Dateien, die in einem Messenger empfangen werden, vor allem in einem, der als sicher eingestuft wird, werden jedoch anders betrachtet: \u201eWas soll da schon schief gehen?\u201c Dies gilt insbesondere dann, wenn die Datei von einem Kollegen stammt: \u201eDa kann doch nichts schiefgehen\u201c, ist hier meist die g\u00e4ngige Meinung.<\/p>\n Die in der Desktop-Version von Signal gefundenen Schwachstellen im Zusammenhang mit dem Umgang des Messengers mit Dateien (wie in unserem letzten Beitrag beschrieben<\/a>) sind ein gutes Beispiel daf\u00fcr. Wenn diese Schwachstellen ausgenutzt werden, kann ein Angreifer unbemerkt infizierte Dokumente an Chat-Teilnehmer verteilen und sich dabei als einer dieser Teilnehmer ausgeben.<\/p>\n Dies ist nur ein hypothetisches Szenario, das auf fortgeschrittene technische F\u00e4higkeiten des Angreifers schlie\u00dfen l\u00e4sst. Auch andere Szenarien sind nicht auszuschlie\u00dfen: von Massenmailings basierend auf gestohlenen Datenbanken bis hin zu zielgerichteten Angriffen unter Einsatz von Social Engineering.<\/p>\n Auch hier gelten die mobilen Betriebssysteme als besser gegen Malware gesch\u00fctzt, was das Problem f\u00fcr die Nutzer von mobilen Messenger-Clients weniger akut macht. Bei den Desktop-Clients ist das Risiko, irgendeine Art von Malware auf den Desktop-Computer zu schleusen, weitaus gr\u00f6\u00dfer.<\/p>\n Dabei d\u00fcrfen herk\u00f6mmliche Bedrohungen nicht au\u00dfer Acht gelassen werden. Die [KSMail placeholder]<\/strong>spezialisierten Sicherheitsl\u00f6sungen auf Mail-Gateway-Ebene des Unternehmens[\/KSMail placeholder] <\/strong>verst\u00e4rken den Schutz vor sch\u00e4dlichen Anh\u00e4ngen und Phishing. Bei Desktop-Messenger-Clients ist die Sache jedoch etwas komplizierter. Es gibt keine L\u00f6sung, die in den Ende-zu-Ende-verschl\u00fcsselten Nachrichtenaustausch \u00fcber die Server des Messengers selbst eingreifen kann; gef\u00e4hrliche Objekte k\u00f6nnen nur am Ausgang abgefangen werden, was das Schutzniveau verringert.<\/p>\n Auch dies ist bei mobilen Ger\u00e4ten ein weitaus geringeres Problem. Sie sind schwerer mit Schadsoftware zu infizieren, und es werden dort weniger wichtige Dateien gespeichert. Au\u00dferdem ist es unwahrscheinlich, dass eine seitliche Bewegung im Unternehmensnetzwerk nach einem erfolgreichen Angriff auf ein mobiles Ger\u00e4t die gleichen verheerenden Folgen hat.<\/p>\n Ein Desktop-Messenger auf einem Arbeitsrechner stellt einen Kommunikationskanal dar, der nicht nur f\u00fcr den Netzwerkadministrator unkontrollierbar, sondern auch vollst\u00e4ndig gegen seine Aktionen gesichert ist; dies k\u00f6nnte zu einer sehr unangenehmen Situation f\u00fchren.<\/p>\n \u00a0<\/p>\n Im Grunde schlie\u00dfen wir dort ab, wo wir angefangen haben: wie in der Einleitung bereits erw\u00e4hnt, empfiehlt es sich, keine Desktop-Versionen von Messengern zu verwenden<\/strong>. Wenn das aus irgendeinem Grund nicht in Frage kommt, sollten Sie zumindest grundlegende Vorsichtsma\u00dfnahmen treffen:<\/p>\n \u2013 Installieren Sie unbedingt Sicherheitssoftware auf Ihren Arbeitsger\u00e4ten<\/a>. Nur so sch\u00fctzen Sie sich vor unsch\u00f6nen Dingen, die \u00fcber Messenger in Ihr Firmennetzwerk eindringen k\u00f6nnen.<\/p>\n \u2013 Sollten Ihre Mitarbeiter mehr als einen Messenger f\u00fcr dienstliche Zwecke nutzen, sollten Sie versuchen, dies zu unterbinden. Beschr\u00e4nken Sie sich auf einen Messenger und unterbinden Sie den Einsatz der anderen.<\/p>\n \u2013 Behalten Sie au\u00dferdem den \u00dcberblick \u00fcber die auf den Arbeitsger\u00e4ten installierten und verwendeten Remote-Access-Tools.<\/p>\n \u2013 Apropos: Unsere Kaspersky Endpoint Security Cloud verf\u00fcgt \u00fcber eine Cloud-Discovery<\/a>-Funktion, die die Versuche von Mitarbeitern erfasst, nicht zugelassene Cloud-Dienste zu nutzen.<\/p>\n1. Au\u00dfen App, innen Browser<\/h2>\n
2. Schl\u00fcsselfrage<\/h2>\n
3. RAT im Chat<\/h2>\n
4. Was soll schon schiefgehen?<\/h2>\n
5. Gute Vorbereitung ist das A und O<\/h2>\n
Vorsorge ist besser als Nachsorge (und Schuldzuweisungen)<\/h2>\n