leowolfert - Fotolia
Slack führt Enterprise Key Management ein
Die Enterprise-Key-Management-Funktion soll Slack-Nutzern mehr Sicherheit geben, ohne die Handhabung der Anwendung und der integrierten Apps zu erschweren.
Das Unternehmen Slack Technologies führt ab sofort das Enterprise Key Management in seinem Instant-Messaging-Dienst ein. Die Funktion soll Anwendern mehr Sicherheit und Flexibilität bieten und dabei Handhabung und Nutzererleben nicht verändern. „Slack wird auch bei Verwendung der neuen Funktion Slack bleiben,“ sagt Ilan Frank, Director Product, Enterprise bei Slack. „Das heißt trotz des neuen Service, eigene Keys zur Verschlüsselung zu verwenden, ändert sich nichts an der Funktionsfähigkeit des Messaging-Dienstes oder der hier genutzten Apps. Auch die Suchfunktion wird nicht beeinträchtigt.“
Wie Frank anführt war es dem Unternehmen eine Priorität, eine Funktion zu entwickeln, die nicht nur Sicherheit, sondern auch Nutzerfreundlichkeit bietet. Besonders nützlich sei dies vor allem für die Kunden des Enterprise Grid und Firmen, die stark reguliert werden bzw. zahlreiche Richtlinien einhalten müssen. Branchen wie Finanzdienstleistungen, Gesundheitswesen oder Behörden erhalten laut Frank nicht die benötigte Sicherheit, wenn es um Kollaborations-Tools geht. Diese Anforderungen soll das neue Feature nun adressieren.
Bereits im September 2018 kündigte der Hersteller das Produkt an, das ab Oktober 2018 als Beta-Version bei ausgesuchten Kunden zum Einsatz kam. Im Januar wurde der Anwenderkreis für eine limitierte Version erweitert und nun ist das Produkt generell verfügbar. Insgesamt verwendete Slack 15 Monate an Entwicklungsaufwand, um mit einem voll funktionsfähigen Dienst an den Start zu gehen.
Im ersten Schritt unterstützt EKM AWS KMS. Allerdings ist das Unternehmen offen für weitere KMS- und HSM-Lösungen und wird hier je nach Bedarf erweitern. Das heißt Microsoft und Google könnten als nächstes auf der Roadmap stehen.
Slack verschlüsselt alle Nachrichten und Dateien, also Objekte, die in einer Suche recherchierbar sind. Da Echtzeittonaufnahmen oder -videos nicht gespeichert werden und somit auch nicht gesucht werden können, ist auch eine Verschlüsselung nicht möglich.
Alle Daten werden „at rest“ verschlüsselt, also nachdem sie abgelegt wurden, und währen der Datenübertragung (in transit). Bevor die EKM-Funktion verfügbar war, verfügte Slack über die Keys für die Ver- und Entschlüsselung. Mit EKM erhalten die Anwender mehr Kontrolle über ihre Daten und können Slack nach wie vor nutzen, so wie sie es gewohnt sind, beispielsweise die erweiterte Suchfunktion. Der Suchindex wird mit dem Schlüssel des Anwenders „at rest“ verschlüsselt. Um dies zu gewährleisten fügte Slack bestimmte Attribute jeder Nachricht und jeder Datei hinzu. Es gibt vier Attribute: Workspace ID, Channel ID, Organisation ID und Hour ID, mit denen Nachrichten oder Dateien gekennzeichnet werden können.
Mit Kundenanwendungen sieht es ein wenig anders aus. Diese Anwendungen nutzen eine POST HTTP-Anfrage für Slack. Diesen Apps müsste man einen Teil des Schlüssels zum Ver- und Entschlüsseln zur Verfügung stellen, was die Daten weniger sicher macht. Anstatt diese Methode zu verwenden, kommuniziert der Slack-Server mit der App mittels HTTP, so dass die Informationen während der Datenübertragung verschlüsselt werden. Danach erfolgt eine Anfrage an das KMS des Anwenders, den Schlüssel für Ver- und Entschlüsselung kurzfristig nutzen zu dürfen. Das gilt ebenso, wenn die Informationen vom Server zurück an die App gesendet werden.
Das EKM-Toll kann als Add-on zu Slack Enterprise Grid erworben werden und soll die bestehenden Sicherheitsfunktionen von Slack erweitern, indem Kunden nun die Kontrolle über die Verschlüsselungscodes haben. Damit bietet es die Sicherheit eines lokalen (on-premise) Service mit den Vorteilen eines Cloud-Tools. Channels, File-Sharing, verschiedene Suchfilter und mehr als 1.500 Apps innbegriffen – alles bleibt unter der Kontrolle des Anwenders, mit kompletter Transparenz und Kontrolle für die Administratoren.
Zudem hofft der Anbieter, sich mit den verbesserten Sicherheitsoptionen seiner Lösung neue Märkte zu erschließen, beispielsweise den Finanzsektor, professionelle Dienstleister, die Konsumgüterbranche oder andere stark regulierte Unternehmen.