Das Bundesamt für Cybersicherheit (BACS) in Bern listet jeden Monat minutiös die Top-Bedrohungen in der Schweiz auf. Demnach erfolgen drei der vier häufigsten Betrugsversuche über digitale Kanäle. Aktuell sind das betrügerische Jobangebote in sozialen Netzwerken, E-Mails oder Jobbörsen, gefälschte Droh-E-Mails von Behörden sowie Ransomware-Attacken mit Verschlüsselungs-Trojanern. Und auch die aktuell «sehr beliebten» Fake-Anrufe zielen angeblich im Namen von Zoll- oder Polizei-Behörden darauf ab, die Opfer zum Herunterladen von digitalen Fernzugriffs-Tools zu verleiten, um so Zugriff auf deren E-Banking-Konten zu bekommen.
Spam und Phishing sind laut BACS die häufigsten digitalen Angriffsmethoden. Angesichts der zunehmenden Digitalisierung von Wirtschaft und Gesellschaft ist davon auszugehen, dass die Flut von Angriffsversuchen sowohl im privaten als auch im geschäftlichen Bereich weiter steigen wird. Damit rückt zwangsläufig auch die digitale Kommunikation und Kollaboration in Unternehmen stärker in den Fokus von Cyberkriminellen: E-Mail- und Chat-Programme, Videokonferenzsysteme, Kontakt-Datenbanken und Projektmanagement-Systeme sind lohnende Ziele für Angriffsversuche aller Art. Schliesslich handelt es sich in der Regel um wertvolle Daten: personenbezogene oder sensible Informationen wie Interna, Kontakte, Prozesse, technische Details, Patente, Kunden, Partner oder anderes geistiges Eigentum. Und die sind für Cyberkriminelle im wahrsten Sinne des Wortes Gold wert.
Für Schweizer Unternehmen geht es in diesem Zusammenhang auch darum, bei der Auswahl einer UCC-Lösung die relevanten Sicherheits- und Datenschutzaspekte zu beachten. Die entsprechenden Anforderungen betreffen einerseits das Backend, also die Infrastruktur und Administration, und andererseits das Frontend, also die Schnittstelle zu den Anwendern, die häufig als schwächstes Glied in der Fehlervermeidungskette eingeschätzt werden. Umso wichtiger ist es, die Clients so zu gestalten, dass Fehlbedienungen von vornherein möglichst ausgeschlossen sind.
Die grössten Fallstricke
Zu den typischen Fallstricken zählen Fehlkonfigurationen, unzureichendes Identitäts- und Berechtigungsmanagement, unzureichende Verschlüsselung, Cloud-Risiken sowie eine fehlende ganzheitliche Sicherheitsstrategie. Fehlkonfigurationen, insbesondere bei Identitäts- und Berechtigungskonzepten, können dazu führen, dass unbefugte Personen Zugriff auf vertrauliche Informationen erhalten oder zentrale Routing-Einstellungen manipuliert werden. Der Missbrauch von Administrationsrechten aber kann weitreichende Folgen haben, etwa die Freigabe privater Bereiche. Bei der Nutzung von Cloud-Diensten können unklare Hosting-Modelle zu Datenschutzverletzungen führen, wenn beispielsweise Daten in unsicheren Drittstaaten gespeichert, verarbeitet oder dorthin übermittelt werden. Es muss daher sichergestellt sein, dass die Daten in der Schweiz oder in Ländern mit gleichwertigem Datenschutzniveau gehostet werden.
Ein besonders sensibles Thema ist die Verschlüsselung. Die Kommunikation über unsichere Netze ohne ausreichende Verschlüsselung ist ein grosses Risiko. Besonders problematisch ist dies bei cloudbasierten Lösungen, wenn nicht alle Komponenten und Datenströme verschlüsselt sind. Viele Unternehmen verfügen zudem über keine umfassende Sicherheitsstrategie für ihre Collaboration-Apps. Oft werden nur einzelne Aspekte geschützt und Bedrohungen wie Angriffe auf Messaging-Apps oder über APIs unterschätzt. Offene APIs werden jedoch für die Integration und Workflow-Optimierung genutzt und bieten daher Angriffsflächen für Zugangsdiebstahl und Datenabfluss. Zu den typischen Angriffsformen auf UCC-Dienste gehören Denial-of-Service-Attacken (DoS) und Service-Hijacking.
Die Anwender als vierte Gewalt
Am Frontend erhöhen komplexe UCC-Clients die Gefahr von Fehlbedienungen. Zu viele Einstellungs- und Konfigurationsmöglichkeiten überfordern die Anwender und führen häufig zu fehlerhaften Einstellungen oder Fehlbedienungen. Deshalb müssen die Anwender durch regelmässige Mitarbeiterschulungen in die Lage versetzt werden, UCC-Lösungen sicher zu nutzen. Andernfalls kann die Unwissenheit der Nutzer dazu führen, dass Sicherheitsmassnahmen untergraben werden, wie etwa durch die Nutzung unsicherer Passwörter, die als Einfallstor für Cyberattacken missbraucht werden können.
Gleichzeitig kann auch die UCC-Lösung selbst dazu beitragen, die Anwender vor Risiken zu schützen. Zu den Sicherheitsaspekten gehört daher auch ein sinnvoller modularer Aufbau: Im Gegensatz zu «All-in-One»-Lösungen oder «Best-of-Breed»-Ansätzen bieten sie weder überbordende, schwer zu administrierende und zu bedienende Funktionsmonster noch ein Konglomerat verschiedenster Programme mit jeweils eigener Bedienlogik. Die Qualität modularer Systeme ist allerdings abhängig von der Integrationstiefe der einzelnen Module und der gemeinsamen Oberfläche, über die sie gesteuert werden.
Mach 3
UCC-Lösungen sind in der Regel nach dem Schichtenmodell aufgebaut: dem Infrastruktur-, dem Plattform- und dem Software-Layer. Die Absicherung von UCC-Diensten muss daher auf mehreren Ebenen erfolgen. Vorbild dafür ist eine mehrschichtige Sicherheitsarchitektur nach dem Zero-Trust-Prinzip, die im Hintergrund jeden Zugriff validiert. Sie reicht von der untersten Hardware-Ebene, also Prozessor und Server, über die dezentrale Datenhaltung, eine durchgängige Zugangs- und Zugriffskontrolle bis hin zu automatisierten Sicherheitsanalysen und Audits.
Zur Erhöhung der Resilienz bei der Datenverarbeitung und -speicherung ist es sinnvoll, die UCC-Infrastruktur auf mehrere Standorte oder Server zu verteilen. Durch hybride oder Multi-Cloud-Ansätze wird eine höhere Resilienz erzielt, um Ausfälle und Angriffe besser abzufedern. Zur Überwachung und Sicherung des UCC-Datenverkehrs sollten zudem Next-Generation Firewalls (NGFW) eingesetzt werden, ebenso wie SIEM-Systeme (Security Information and Event Management) für Echtzeitüberwachung und Bedrohungserkennung. Und Antivirus- und Anti-Malware-Lösungen auf allen genutzten Geräten für die Endpoint-Sicherheit sollten genauso selbstverständlich sein wie verschlüsselte Verbindungen für Remote-Zugriffe auf das UCC-System. Eine wichtige Prophylaxe-Massnahme sind auch DLP-Tools (Data Loss Prevention) zur Verhinderung von Datenlecks, etwa bei Dateiübertragungen.
Letztlich lassen sich aus diesen Überlegungen eine Reihe von technischen und organisatorischen Voraussetzungen für die sichere Kommunikation und Kollaboration im Unternehmen ableiten: Open Source schafft im Gegensatz zu proprietären Lösungen die notwendige Transparenz, um Hintertüren auszuschliessen, über die Daten abfliessen könnten. Zudem ist der Code dadurch auditierbar und damit beweissicher. Das macht entsprechend ausgestattete UCC-Lösungen ideal für Branchen mit besonders strengen Compliance-Anforderungen, wie zum Beispiel das Finanz- oder Gesundheitswesen. Für zusätzliche Kontrolle und Datenhoheit in hybriden Umgebungen sorgen Hosting-Optionen, bei denen skalierbare On-Premises-Anteile durch Cloud Services aus sicheren Schweizer Rechenzentren ergänzt werden. Confidential Computing sorgt durch die Kapselung sensibler Daten mittels Enklaven-Technologie für deren Schutz auch während der Verarbeitung und damit für Datenhoheit. Dabei dürfen weder die Anschaffungs- noch die Betriebskosten aus dem Ruder laufen. Niedrigere Gesamtkosten (TCO) sind die Voraussetzung dafür, dass Sicherheit in der Kommunikation und Kollaboration im Unternehmen bezahlbar bleibt.
Ganz allgemein trifft für die Sicherheit von UCC-Lösungen genau das zu, was generell für digitale Systeme gilt: hohe Resilienz, Dezentralität und digitale Autonomie. Jede Form von Abhängigkeit ist kontraproduktiv. Wer das Heft des Handelns nicht jederzeit in der eigenen Hand hat, kann weder für die Sicherheit und Integrität der eigenen Daten noch die seiner Kunden und Partner garantieren.
Die Autorin
Andrea Wörrlein hat Amerikanistik, Psychologie und Kommunikationswissenschaften an der Friedrich-Alexander-Universität Erlangen-Nürnberg studiert. Heute lebt sie in der Schweiz und ist Mitglied des Verwaltungsrates von
VNC in Zug.
