Der HR-Software-Gigant Rippling hat Deel, einen Hauptkonkurrenten von Rippling, einer brisanten Anschuldigung wegen Unternehmensspionage ausgesetzt. In einem Blog-Beitrag, in dem Rippling seine Klage gegen Deel darlegt und vor Empörung kocht, beschuldigt das Unternehmen Deel, einen Spion in seinem Lohnbuchhaltungsteam eingeschleust zu haben, um "Tausende von verdächtigen Suchvorgängen durchzuführen und gestohlene vertrauliche Geschäftsdaten direkt an Deel weiterzuleiten."
Diese Geschichte verdeutlicht die tiefgreifende Anfälligkeit herkömmlicher Lösungen für die Zusammenarbeit in Unternehmen, die die Tür für gefährliche, störende und potenziell schwächende Datenkompromittierungen und -exfiltrationen öffnen.
Die Geschichte spielt sich wie in einem Kinofilm ab, und Slack spielt eine faszinierende Nebenrolle, oder sagen wir besser "Ermöglicher".
Wie TechCrunch berichtet, spielte Slack eine wichtige Rolle bei den Betrügereien und deren Aufdeckung. Der Klage zufolge war der Mitarbeiter, der keinen legitimen Grund hatte, auf die Geschäftsgeheimnisse zuzugreifen, irgendwie in der Lage, Slack-Kanäle über 6.000 Mal frei zu durchsuchen, um vertrauliche Daten über die Vertriebspipeline zu finden und zu nutzen.
Die Erzählung in Bezug auf Slack konzentriert sich auf die Tatsache, dass das Rippling-Team die Analyse der ungewöhnlichen Slack-Aktivitäten nutzte, um das anhaltende, hohe Suchvolumen des Mitarbeiters in diesen sensiblen Kanälen zu erkennen. Daraufhin wurde ein Slack-Honeypot-Kanal eingerichtet, ein "Tipp" an die leitenden Angestellten von Deel gesendet, dass dieser Kanal für sie von Interesse sei, und dann wurde der Mitarbeiter sofort dabei beobachtet, wie er in diesem ansonsten ungenutzten und leeren Kanal herumschnüffelte. Unglaublich, wenn es stimmt.
In dieser Erzählung wird Slack als Protagonist dargestellt, der bei der Entdeckung der Sicherheitslücke hilft. Das scheint sehr nett zu sein. Dabei wird jedoch ein massives Problem ignoriert, das in der Erzählung nicht erwähnt wird: die Tatsache, dass Slack einem zufälligen Mitarbeiter, der es nicht wissen muss, den Zugriff auf hochsensible Daten ermöglichte. Das ist kein guter Verfechter des Datenschutzes und der Privatsphäre; das ist ein giftiger Wegbereiter für schlechtes Verhalten und Exfiltration.
Auch wenn es angebracht ist, die Wachsamkeit des Rippling-Teams zu loben, wirft es doch die Frage auf: Warum sind all diese vertraulichen Daten so offen für die Entdeckung durch jeden Unruhestifter im Unternehmen?
Die Antwort ist, dass Slack, Teams und Konsorten ihre Produkte so konzipiert haben, dass sie die geringstmögliche Sicherheit bieten, die einen Schnüffeltest in einem Unternehmen bestehen würde. Zero Trust ist einfach nicht standardmäßig Teil des Bildes. Die Kanäle sind in der Regel weit offen, ohne sinnvolle Segmentierung. Und selbst wenn Kanäle "privat" gehalten werden, sind sie nicht sicher. In Slack sind die Daten nicht Ende-zu-Ende verschlüsselt, so dass jeder mit Admin-Zugang auf alles zugreifen kann.
Der fahrlässige Umgang mit der Zero-Trust-Architektur erstreckt sich auch auf viele andere Beispiele, wie z. B. die Art und Weise, wie Microsoft Teams mit Föderationen umgeht. Das ist kein Fehler, sondern Absicht. Wie Jen Easterly, die ehemalige Direktorin der U.S. Cybersecurity and Infrastructure Security Agency, auf einer vergangenen Black Hat-Konferenz sagte: "Jahrzehntelang hat man es Technologieanbietern erlaubt, fehlerhafte, unsichere und mangelhafte Software zu entwickeln."
Rippling wurde durch diesen unsicheren Ansatz der Zusammenarbeit in Mitleidenschaft gezogen. Aber es hätte noch viel, viel schlimmer kommen können. Das beste Beispiel dafür, dass die Sicherheit von Slack absolut nicht vertrauenswürdig ist, ist Disney. Das Unternehmen verlor einen riesigen Bestand an sensiblen Daten, weil ein Administrator kompromittiert wurde und ein Terabyte (!!!) vertraulicher Informationen aus seiner Slack-Instanz exfiltrierte. Kommt Ihnen das bekannt vor?
Was wäre, wenn der Spion nicht nur an Deel-Deals interessiert war (Wortspiel beabsichtigt)? Was wäre, wenn er ruchloser wäre? Was wäre, wenn sie von einem kriminellen Syndikat angestellt wären und beabsichtigten, diese vertrauliche Kommunikation zu nutzen, um tief in Systeme einzudringen und Ransomware einzuschleusen? Oder was wäre, wenn ein Hacktivist es auf Blut abgesehen hätte und einfach nur böswillig Informationen in die Welt setzen und den Wert und die Marke des gesamten Unternehmens schädigen wollte?
Wenn Ihr Unternehmen streng vertrauliche Informationen in offenen oder sogar privaten Slack-Kanälen preisgibt, gehen Sie erhebliche Risiken ein. Sicher, jemand könnte ein Held sein, weil er mit Hilfe der Slack-Forensik herausfinden kann, warum das Unternehmen gehackt und vernichtet wurde, aber was nützt es, zu analysieren, wie die Pferde aus dem Stall gekommen sind, wenn sie tausend Meilen entfernt sind?
Die Einführung einer sicheren Collaboration-Suite für sensible Kommunikation ist heute einfach ein Muss. Die Welt wird immer unsicherer, da immer mehr Regierungen die Privatsphäre und die Souveränität von Unternehmens- und Verbraucherdaten als "transaktional" betrachten. In der Zwischenzeit brauchen Kriminelle nur einmal erfolgreich zu sein, um Ihr Unternehmen lahmzulegen oder sogar zu zerstören.
Selbst wenn Sie sich dafür entscheiden, einen Großteil Ihrer nicht sensiblen Kommunikation auf einer herkömmlichen Plattform abzuwickeln, ist eine sichere Lösung für die Zusammenarbeit unerlässlich, um wichtige Anwendungsfälle zu erfüllen, die einen höheren Schutz erfordern:
Für Organisationen mit kritischen Infrastrukturen in der EU, die unter die NIS2-Verordnung fallen, ist die Aufrechterhaltung einer sicheren Kommunikationsplattform sogar eine Anforderung gemäß Artikel 21, um IT-Ausfälle, Katastrophenszenarien und Cybersecurity-Vorfälle zu bewältigen.
Die gute Nachricht ist, dass Sie mit Wire eine voll funktionsfähige, benutzerfreundliche Collaboration-Suite mit der leistungsfähigsten verschlüsselten Ende-zu-Ende-Kommunikation auf dem Markt erhalten, einschließlich Post-Quantum-Kryptographie-Unterstützung. Die Wire-Plattform für die Ende-zu-Ende-Verschlüsselung (E2EE), die erste, die vollständig auf dem IETF-Standard für Messaging Layer Security (MLS) basiert, ist nicht nur unglaublich robust, sondern auch für die Benutzer angenehm unsichtbar. Wire bietet durchdachte Verwaltungskontrollen, die den Anforderungen der sicherheitsbewusstesten Unternehmen gerecht werden, und ist gleichzeitig einfach für Unternehmen, die lediglich eine geschützte Out-of-Band (OOB)-Kommunikationsplattform benötigen, die im Handumdrehen eingesetzt werden kann.
Wenn Ihre Organisation heute noch keinen angemessenen Schutz für ihre sensible Kommunikation hat, sollten Sie nicht warten, bis Sie Teil eines Dramas wie Rippling und Deel sind.