Tatort „Dienst-Handy“: Nutzung von WhatsApp in Unternehmen

Malware wird zunehmend über beliebte Apps verbreitet

Von unserem Gastautor Sascha Wellershoff, Vorstand der Virtual Solution AG in München

[datensicherheit.de, 25.03.2020] Ich kenne DAX-Konzerne mit riesigen IT- und Rechtsabteilungen, in denen Manager jeden Tag Informationen via WhatsApp austauschen. Ich kenne sogar internationale IT-Sicherheitsanbieter, die die Nutzung von WhatsApp für ihre Mitarbeiter genehmigt haben – natürlich nur „für den sporadischen Gebrauch und unkritische Daten“. Wer die Realität kennt, weiß, dass es anders aussieht. WhatsApp gehört Facebook, und damit einem der größten Datensammler auf diesem Planeten. Der Messenger-Dienst hat sich weitreichende Rechte eingeräumt, darunter den Zugriff auf alle in einem Smartphone gespeicherten Telefonnummern und Kontaktdetails. Die Übermittlung dieser personenbezogenen Daten – und darunter fallen bei einem dienstlich genutzten Gerät auch alle Geschäftskontakte – ist laut DSGVO ein schwerwiegender Verstoß gegen die Datenschutzrichtlinien, wenn nicht von jedem einzelnen gespeicherten Kontakt zuvor eine Einwilligung eingeholt wird. Und das dürfte eigentlich so gut wie nie der Fall sein.

Verbreitung von Malware über beliebte Apps

DAX-Konzerne, IT-Sicherheitsanbieter und alle anderen Unternehmen verstoßen also gegen geltendes Recht, wenn sie die geschäftliche Nutzung von WhatsApp und anderer „neugieriger“ Apps tolerieren. Das Absaugen von Daten ist dabei nur die eine Kehrseite der Medaille, die große Beliebtheit von WhatsApp & Co. ist längst auch ein gefundenes Fressen für Malware-Verbreiter. Immer wieder fangen sich Millionen von Anwendern einen Virus ein, über den Cyber-Kriminelle schlimmstenfalls die Tür ins Unternehmensnetzwerk öffnen. Steht diese erst einmal sperrangelweit offen, ergeben sich grenzenlose Möglichkeiten, Schaden anzurichten. Prominentestes Beispiel im Januar 2020: Jeff Bezos, CEO von Amazon, dessen private Daten vermutlich durch ein verschicktes Video abgesaugt wurden. Gerade veraltete Anwendungen oder „App-Leichen“, die schon seit längerer Zeit kein Update mehr erhalten haben, werden zum potenziellen Einfallstor für Hacker. Die Gefahren dürften den meisten Firmen inzwischen hinreichend bekannt sein, trotzdem tolerieren sie die Vermischung von privaten und geschäftlichen Daten und Anwendungen. Betriebliche Internas sind damit hochgefährdet, da sie ganz einfach per Copy-and-Paste weitergegeben werden können. Und dies wird vom Unternehmen weder bemerkt noch kann es verhindert werden.

Striktes Verbot von Apps ist nicht die richtige Lösun

Ein App-Verbot, um die Risiken einzudämmen und datenschutzkonform zu agieren, ist allerdings nur eine halbherzige Lösung. Schnell fühlen sich die Mitarbeiter kontrolliert – zudem findet sich immer ein Weg, die Regeln zu umgehen. Viel Kreativität ist dabei nicht gefordert. Zudem sind die User es gewohnt, mal eben eine neue App auszuprobieren. Ob diese tatsächlich sicher ist beziehungsweise die Grundsätze des Datenschutzes einhält, ist fraglich. Wer liest sich schon wirklich die Datenschutzerklärung durch, bevor er eine App installiert? Ein striktes Verbot ist deshalb nicht die richtige Lösung. Smartphone und Tablets gehören heute zum Alltag und richtig genutzt erhöhen sie den Spaß an der Arbeit und die Produktivität. Sicheres mobiles Arbeiten muss auch nicht kompliziert sein. Nur müssen mobile Endgeräte von Anfang an geschützt werden: Mit einer technischen Lösung, die den privaten und geschäftlichen Bereich auf dem Gerät strikt voneinander abschottet, beispielsweise mit Hilfe der bewährten Container-Technologie. So bleiben Unternehmensdaten, E-Mails, Kontakte, Kalender, Notizen, Dokumente und Chat-Verläufe sicher verwahrt. Und das Dienst-Handy – ob nun gestellt vom Arbeitgeber oder das geschäftlich genutzte Privatgerät – wird nicht zum Tatort.

Weitere Informationen zum Thema:

datensicherheit.de, 21.12.2019
Schwachstelle im Gruppenchat von WhatsApp entdeckt

datensicherheit.de, 10.07.2019
Von WhatsApp bis Threema: Überwachung gängiger Messenger möglich

datensicherheit.de, 14.05.2019
Schwachstelle in Whatsapp-Anrufen ermöglicht Übernahme von iPhones

datensicherheit.de, 13.05.2019
ESET Sicherheitswarnung: Sicherheitslücke in WhatsApp zwingt Nutzer zum Eingreifen