Elnur - stock.adobe.com
Die Sicherheit von Collaboration Tools gewährleisten
Die Nutzung von Collaboration-Plattformen nimmt rasant zu – doch Unternehmen sorgen sich zu wenig um deren Sicherheit. Das betont eine neue Studie von Metrigy.
Die COVID-19-Pandemie hat zu einer rapiden Zunahme des Einsatzes von Collaboration Tools geführt. Der Grund ist die Verlegung der firmeninternen Arbeitsplätze ins Home-Office.
Eine Studie von Metrigy Research verdeutlicht das Ausmaß der Entwicklung: Ganze 41 Prozent der 476 Unternehmen, die an der globalen Studie Workplace Collaboration: 2021-22 teilnahmen, nutzen mehr als eine Meeting-Anwendung. Fast 38 Prozent haben mehrere Team-Collaboration-Anwendungen im Einsatz, und über 15 Prozent mehr als ein Telefonsystem. Von den 58 Prozent, die Collaboration-Anwendungen verwenden, erlaubt mehr als die Hälfte den externen Zugriff auf einzelne Gruppen – oder plant dies bis Ende 2021 zu ermöglichen.
Wie sicher sind Collaboration Tools?
Mit der steigenden Anzahl der Collaboration-Apps sind auch die Herausforderungen bei der Sicherheit gewachsen – und zwar aus verschiedenen Gründen.
Die in Collaboration-Anwendungen verfügbaren Sicherheitsfunktionen variieren stark. Einige Apps bieten detaillierte, fein abgestufte Richtlinien zur Kontrolle der Teilnahme an Meetings, Dateifreigabe, Chat und externem Zugriff. Andere hingegen sind in ihren Möglichkeiten begrenzt. Die Anbieter sind außerdem dazu übergegangen, eine Ende-zu-Ende-Verschlüsselung anzubieten – doch mit kundeneigenen Schlüsseln ist diese Funktion noch nicht in allen Anwendungen verfügbar.
Die Anbieter verbessern ihre Anwendungen ständig mit neuen Funktionen. Eine moderne Meeting-App ermöglicht beispielsweise die Erstellung von Transkripten, den Chat mit Teilnehmern und die gemeinsame Nutzung von Dateien. Diese stellen alle ein potenzielles Risiko für Datenlecks und den Verlust der Datenkontrolle dar.
Die primären Sicherheitsrisiken sind jedoch der unbefugte Zugriff auf Meetings, wie zum Beispiel Zoombombing, auf Teambereiche und auf Inhalte, die in Teambereichen gespeichert oder von diesen generiert werden.
Der Mangel an konsistenten Sicherheitsfunktionen in Verbindung mit der Zunahme an Apps und Funktionen stellt für Unternehmen ein immer dringlicheres Problem dar. Die Folgen sind zunehmende Probleme bei dem Versuch, konsistente Richtlinien zu aktivieren und durchzusetzen sowie eine End-to-End-Transparenz zu schaffen, um Bedrohungen zu erkennen und zu entschärfen, bevor oder nachdem sie auftreten.
Darüber hinaus sehen sich Unternehmen mit zusätzlichen Sicherheitsrisiken bei der Zusammenarbeit konfrontiert. Dazu gehören:
- Betrugsangriffe gegen die Telefoninfrastruktur, die zu finanziellen Kosten führen;
- Denial-of-Service-Angriffe gegen Netzwerke und lokale Anwendungen, die den Zugriff unterbrechen; und
- die Notwendigkeit, Richtlinien durchzusetzen, die die angemessene Nutzung von Collaboration-Kanälen intern und extern regeln, wie zum Beispiel die Erkennung und Verhinderung von potenziell missbräuchlicher oder unangemessener Sprache.
Wie Sie Sicherheitsrisiken minimieren
Für IT- und Unternehmensverantwortliche im Bereich Sicherheit besteht die Schwierigkeit darin, ein Gleichgewicht herzustellen zwischen dem Sicherheitsbedürfnis und dem Bedarf an effektiver virtueller Zusammenarbeit. Laut der Metrigy-Studie verfügen nur 41 Prozent der Studienteilnehmer über einen proaktiven Sicherheitsplan. Weitere 31 Prozent prüfen entweder, ob sie einen Plan erstellen oder vorhaben, bis Ende 2021 einen solchen zu implementieren.
Die Studie zeigt auch, dass Unternehmen mit dem höchsten ROI oder Produktivitätszuwachs für ihre Collaboration-Investitionen mit doppelt so hoher Wahrscheinlichkeit einen proaktiven Sicherheitsplan für die Zusammenarbeit haben als solche ohne Sicherheitsplan. 21 Prozent der Unternehmen mit einem proaktiven Sicherheitsansatz setzen dabei derzeit auf die Sicherheitsplattform eines Drittanbieters. Weitere 33 Prozent planen die Einführung einer solchen bis Ende 2021. Anbieter von Collaboration-Plattformen, darunter Google, Microsoft und Slack, bieten zudem umfangreiche Sicherheitskontrollen für Data Loss Prevention (DLP) und Compliance.
Zu den Hauptkomponenten eines Sicherheitsplans für Collaboration gehören der Einsatz von Firewalls oder Application Layer Gateways. Damit lassen sich bestimmte Anwendungen vor Bedrohungen schützen. Beispiele sind: Registrierungsversuche für das Session Initiation Protocol (SIP) auf einer Voice-over-IP- (VoIP) oder Meeting-Plattform, die Implementierung von DLP-Kontrollen und Bemühungen, die Einhaltung entsprechender gesetzlicher Vorschriften sicherzustellen. Zusätzliche Komponenten umfassen Sicherheits-Audits durch Dritte, Penetrationstests, proaktives Patch-Management und formale Sicherheitsbewertungen von Anwendungs- und Cloud-Sicherheitsanbietern.
Auswahl einer sicheren Collaboration-Plattform
Neben einem Sicherheitsplan können Unternehmen auch von der Verwendung von Plattformen profitieren, die speziell zur zentralen Durchsetzung und Verwaltung von Richtlinien für unterschiedliche Collaboration-Anwendungen entwickelt wurden.
Zu diesen Collaboration-Security-Plattformen gehören:
- AudioCodes One Voice Operations Center;
- Oracle Communications Security Shield Cloud;
- Ribbon Analytics Platform von Ribbon Communications;
- PowerSuite von Unify Square;
- Virsae Service Management Security Manager, ein Cloud-natives Unified-Communications-Security-Management-Produkt aus Neuseeland;
- SafeGuard Cyber, eine aufstrebende Cloud-Technologie, die die sozialen Ressourcen eines Unternehmens vor Sicherheitsbedrohungen und Compliance-Risikofaktoren schützt; und
- Theta Lake, ein neuer Sicherheits- und Compliance-Anbieter aus Kalifornien, für Kunden, die moderne Collaboration-Plattformen nutzen.
IT- und Sicherheitsverantwortliche sollten im Vorfeld sorgfältige Analysen durchführen. Nur so können sie gewährleisten, dass die Anbieter der Sicherheitsplattformen ihre spezifischen Anforderungen erfüllen. Einige der oben genannten Hersteller konzentrieren sich eher auf den Schutz vor VoIP-Bedrohungen, wie zum Beispiel Angriffe auf SIP-Trunks und Endpunkte. Andere ermöglichen es Unternehmen, die Verwaltung von Sicherheitsrichtlinien über mehrere Collaboration-Plattformen hinweg zu zentralisieren. Oder sie können Kontrollen implementieren, um den Austausch von aufgezeichneten oder erfassten Meeting-Informationen zu begrenzen.
Collaboration-Verantwortliche müssen Risiken verstehen
Der letzte Aspekt, mit dem sich Unternehmen befassen müssen, ist die Verantwortung für die Collaboration-Sicherheit. Heutzutage tragen Sicherheitsorganisationen – zu denen auch Chief Information Security Officer (CISO) und Chief Security Office (CSO) gehören – größtenteils die Verantwortung für die Sicherheit der Zusammenarbeit.
Allerdings hat Metrigy Research herausgefunden, dass es ihnen in vielen Fällen an Wissen über spezifische, neu entstehende Bedrohungen fehlt. Security-Organisationen sollten deshalb eng mit den Collaboration-Verantwortlichen zusammenarbeiten, um sicherzustellen, dass sie die Risiken verstehen und diese abmildern können. Idealerweise sollte jede Sicherheitsgruppe einen definierten Collaboration-Security-Verantwortlichen haben.
Die Bedrohungen für die Collaboration-Sicherheit werden zunehmen, da Unternehmen den Einsatz virtueller Anwendungen ausweiten und eine breitere Palette externer Collaboration-Funktionen aktivieren. Es ist an der Zeit, einen proaktiven Security-Plan zu entwickeln und zu gewährleisten, dass die Sicherheit innerhalb der CISO-Funktion gut sichtbar ist.