Der Arbeitsalltag ist geprägt von einem stetig wachsenden Informationsaustausch: Heute verbringen Mitarbeitende fast die Hälfte ihrer Arbeitszeit mit Kommunikation. E-Mail und andere Kollaborationstools kommen dabei zwar häufig zum Einsatz, doch wenn es um Echtzeitkommunikation in Unternehmen geht, ist Instant Messaging (IM) zum klaren Favoriten avanciert.
Die Gründe dafür liegen auf der Hand: Messaging-Apps sind intuitiv, unterstützen eine Vielzahl von Formaten, und dank Smartphone sind alle jederzeit und überall erreichbar. Mitarbeiterunterstützung im Aussendienst, Kundenservice, Austausch von Dokumenten und Verträgen, Gruppenvideokonferenz? Kein Problem, die technologische Revolution von gestern ist heute vielerorts Geschäftsalltag.
Der stetig wachsende digitale Austausch von Informationen über Smartphones stellt Unternehmen aber auch vor neue Herausforderungen, wie zum Beispiel Sicherheit, Datenschutz, regulatorische Anforderungen oder die Integration mit bestehenden Systemen.
Es gilt: Safety first
Unter dem Datenschutzgesetz in der Schweiz (DSG) oder der Datenschutz-Grundverordnung im EU-Raum (DSGVO) sind Unternehmen verpflichtet, für den Schutz von persönlichen oder sensiblen Daten zu sorgen, auch bei der mobilen Kommunikation. Durch den Einsatz von IM-Plattformen in der Unternehmenskommunikation ist die mobile Sicherheit zu einem zentralen Thema in Unternehmen aufgerückt.
Vorab sei in diesem Zusammenhang gesagt, dass ursprünglich für den Privatgebrauch entwickelte Messaging-Apps nicht über die erforderlichen Sicherheitseinstellungen für den professionellen Einsatz verfügen. Zudem basiert deren Geschäftsmodell oftmals auf der systematischen Erfassung und Vermarktung von Metadaten, also Informationen zum Standort, zu Zeit und Dauer der Kommunikation, Telefonnummern und IP-Adressen. Solche Apps sind somit weder DSGVO-konform noch taugen sie für die Unternehmenskommunikation. Was schieflaufen kann, wenn eine App nicht über die nötigen Einstellungen zur sicheren Unternehmenskommunikation verfügt, zeigte kürzlich der Vorfall «Signalgate» bei der US-Administration.
Der erste Schritt zum sicheren Messaging im Berufsumfeld besteht darin, Apps für den Privatgebrauch durch einen datenschutzkonformen Kommunikationskanal zu ersetzen. Dabei setzt sich die Sicherheit einer unternehmenstauglichen Kommunikationslösung aus mehreren Bausteinen zusammen. Die Ende-zu-Ende-Verschlüsselung (E2EE) ist ein guter Anfang; sie stellt sicher, dass Nachrichten nur für die jeweils vorgesehenen Empfänger lesbar sind, nicht aber für den Dienstbetreiber. Wichtig ist, dass sämtliche Nutzerdaten, Dateien, Bilder, Videos sowie Gruppen- und Videoanrufe verschlüsselt sind. Arbeitet der Anbieter mit einem offenen Quellcode, können die Verschlüsselungsstandards jederzeit von externen Akteuren überprüft werden.
Allerdings dürfte spätestens seit «Signalgate» klar sein, dass Datenschutz in der Unternehmenskommunikation nicht nur von der Verschlüsselung abhängt. Eine unternehmenstaugliche Messaging-App sollte ebenso eine Auswahl von Funktionen bieten, die helfen, den Risikofaktor Mensch mitzudenken. Dazu gehören unter anderem geschlossene Benutzergruppen und verifizierbare User-IDs; diese Optionen stellen sicher, dass keine ungebetenen Gäste mithören und -lesen. Mit den entsprechenden Sicherheitseinstellungen hätte «Signalgate» im Voraus verhindert werden können. Andere Funktionen wie etwa die zentrale Nutzerverwaltung und App-Konfiguration ermöglichen IT-Administratoren, Richtlinien auf den Geräten der Mitarbeitenden mit konfigurierbaren Parametern zu sichern und durchzusetzen – was insbesondere in BYOD-Szenarien essenziell ist. Das Einbinden einer Messaging-Lösung in ein Active Directory oder in ein Mobile Device Management (MDM) kann es Unternehmen zudem erlauben, die Nutzerverwaltung und App-Verteilung vollständig zu automatisieren.
Gleichzeitig ist die weltweite Tendenz der Cyberkriminalität (bei der immer häufiger KI eine Rolle spielt) weiter steigend, auch in der Schweiz. Nach Angaben des Bundesamtes für Statistik wurden 2024 mehr als 59’000 digitale Straftaten registriert. Im Vergleich zum Vorjahr stellt dies einen Anstieg von 35 Prozent dar. Noch auffallender ist, dass der Grossteil der registrierten Straftaten (rund 55’000 oder über 90 Prozent) in den Bereich der Cyberwirtschaftskriminalität fällt. Somit ist Cybersicherheit in Unternehmen oberstes Gebot, insbesondere bei mobilen Geräten. Denn diese stellen nach wie vor ein attraktives Ziel für böswillige Akteure dar.
Geschäftskontinuität durch ein «Out of Band»-Tool sichern
In Unternehmen ist Compliance heute eine Konstante. Während die DSGVO den Umgang mit personenbezogenen Daten regelt, geht es bei den Richtlinien NIS2 und DORA um den Schutz von Netzwerk- und Informationssystemen in Organisationen. Unter NIS2 (Netzwerk und Informationssysteme) liegt es an den Entscheidungsträgern, digitale Risiken zu bewerten, Massnahmen zur Risikominimierung zu ergreifen und deren Umsetzung zu überwachen. Sie richtet sich insbesondere an Organisationen aus wesentlichen Sektoren (z. B. öffentliche Verwaltungen, Gesundheit, digitale Infrastruktur etc.). Parallel dazu regelt DORA (Digital Operational Resilience Act) die Verbesserung der Widerstands- und Reaktionsfähigkeit von Unternehmen im Finanzsektor.
In Anbetracht der zunehmenden Anzahl von Cyberbedrohungen geht es bei beiden Richtlinien sowohl um Präventionsmassnahmen als auch um Cyberresilienz. Statistisch sind Cyberattacken vorprogrammiert; die eigentliche Frage ist nicht ob, sondern wann sie stattfinden werden. Die NIS2-Richtlinie legt einen starken Fokus auf die Geschäftskontinuität, insbesondere im Hinblick auf die Widerstandsfähigkeit kritischer Infrastrukturen und Dienste: Unternehmen in diesen Sektoren sollten in der Lage sein, Angriffen standzuhalten, ohne ganze Unternehmensbereiche lahmlegen zu müssen. Das Gesetz verlangt nach einem Business Continuity Plan, der detailliert beschreibt, wie auf Cyberattacken reagiert wird.
Somit ist das Vorhandensein eines unabhängigen Kommunikationskanals (Stichwort «Out of Band») in Krisenfällen von vitalem Interesse: Unternehmen müssen damit rechnen, dass IT-Systeme und/oder die üblichen Kommunikationskanäle (z.B. E-Mail oder Kollaborationstools) nicht verfügbar sind. Während einer Krise ermöglicht eine unabhängige Messaging-App, die abseits von kompromittierten IT-Infrastrukturen funktioniert, Schlüsselpersonen oder ganze Abteilungen über vordefinierte Verteilerlisten zu erreichen, wodurch die Kommunikation zwischen Experten, Geschäftsführung und externen Akteuren aufrechterhalten und koordiniert werden kann. Krisen sind meist hektisch, weshalb es sinnvoll ist, ein «Out of Band»-Tool im Voraus zu implementieren. Unternehmen können sich so im Notfall auf einen Kommunikationskanal verlassen, der die schnelle Wiederaufnahme der Geschäftsaktivitäten unterstützt und zur Einhaltung der erwähnten Richtlinien beiträgt.
Die Zahl der Cyberangriffe steigt seit Jahren auch in der Schweiz, wie Zahlen des NCSC beziehungsweise BACS zeigen. Besonders beliebte Ziele sind mobile Endgeräte wie Smartphones. (Quelle: BACS/Statista )
Für wen lohnt sich ein firmeneigener Business-Messenger?
Ein effizienter Informationsaustausch schafft Mehrwert, fördert die Dynamik und trägt massgeblich zum Erfolg einer Organisation bei. Die Einführung einer Kommunikations-Plattform erfordert jedoch eine sorgfältige Planung und eine eingehende Analyse der technischen und organisatorischen Herausforderungen. Auch könnte ein Mangel an Wissen oder Vorbereitung die Effizienz einer Unternehmens-Chat-App beeinträchtigen. In diesem Zusammenhang ist es wichtig, Benutzerakzeptanz durch Schulung der Mitarbeitenden zu schaffen, sodass die neue Lösung optimal eingesetzt werden kann.
Sichere und datenschutzkonforme SaaS-Lösungen lassen sich dabei meist problemlos an die Bedürfnisse von KMU anpassen und sind flexibel skalierbar. SaaS-Lösungen eignen sich für den firmenweiten Einsatz, können je nach Bedarf auf C-Level und im Top-Management oder aber in Teilbereichen mit sensiblen Daten wie zum Beispiel Forschung oder HR eingesetzt werden. Für grössere Organisationen in kritischen Sektoren (beispielsweise unter NIS2) bietet eine Messenger-Lösung zudem die Möglichkeit, die interne Kommunikation sicher zu gestalten.
Für Institutionen mit besonders hohen Anforderungen an Sicherheit und Datenschutz – wie beispielsweise öffentliche Verwaltungen, Regierungsbehörden oder Unternehmen im Gesundheitswesen – bietet hingegen eine selbstgehostete Lösung vollständige Kontrolle über Daten, Server und Software. Selbstgehostete Lösungen erfordern technisches Fachwissen und sind mit Entwicklungskosten verbunden, aber sie gewährleisten eine vollumfängliche Datenhoheit, die gegebenenfalls höchsten Sicherheitsstandards entspricht und alle rechtlichen Anforderungen in der Unternehmenskommunikation abdeckt.
Integration in andere Systeme
Eine sichere Kommunikations-Plattform lässt sich zudem über APIs oder SDKs nahtlos in das bestehende digitale Ökosysteme eines Unternehmens integrieren. Der spezifische Nutzen einer solchen Integration hängt massgeblich von den individuellen Anforderungen des Unternehmens ab. Grundsätzlich ermöglicht eine Integration eine reibungslose Kommunikation zwischen verschiedenen IT-Systemen und kann beispielsweise für die automatisierte Störungsbenachrichtigung an alle Mitarbeitenden eingesetzt werden.
Durch die Verbindung von Instant-Messaging-Diensten mit Projektmanagement-Tools, CRM-Systemen oder anderer Unternehmenssoftware können Arbeitsabläufe optimiert oder sogar automatisiert werden. Gleichzeitig erlaubt eine direkte Kommunikation zwischen Abteilungen, wie etwa dem Aussendienst und dem Kundenservice, schnellere Reaktionszeiten im Kundenservice. Wird eine Chat-App zudem als Helpdesk auf Unternehmenswebseiten integriert, können Kunden per Chat in wenigen Klicks mit dem Service-Team in direkten Kontakt treten.
Konsequente Datensparsamkeit
Der gesetzliche Rahmen legt eine Zweckbindung der Datenverarbeitung fest und spricht von Datenminimierung. Daten sollten also nur erhoben werden, wenn sie für eine bestimmte Anwendung unbedingt notwendig sind. In Bezug auf Kommunikationslösungen heisst konsequente Datensparsamkeit, dass Gruppen und Kontaktlisten nicht auf Servern, sondern direkt auf den Endgeräten gespeichert werden; im Idealfall ermöglicht die Chat-App einen Service, der gänzlich ohne Angabe von Telefonnummer oder E-Mail-Adresse funktioniert. Dieser Ansatz erlaubt Unternehmen, die Angriffsfläche für Cyberangriffe drastisch zu reduzieren und so den Datenschutz zu verstärken. Gleichzeitig signalisieren Unternehmen mit dem Einsatz einer sicheren Chat-App einen verantwortungsvollen Umgang mit Daten.
Der Autor
Miguel Rodriguez ist Mitglied der Geschäftsleitung und Chief Revenue Officer von
Threema, Schweizer Anbieter von sicheren Kommunikationslösungen. Er ist für den Vertrieb, Customer Success und das Partner-Management zuständig. Miguel Rodriguez ist zudem für die internationale Expansion von Threema verantwortlich.
