Sichere Anwendungen?

Kritik an Sicherheit von Teams & Slack: "5-6 Jahre hinterher"

Eine aktuelle Studie zu Microsoft Teams und Slack kritisiert die Sicherheit beider Apps. Sie weisen teils schwere Lücken auf, von denen die Unternehmen wissen.

News
VG Wort Pixel
slack microsoft teams integration
Sowohl Slack als auch Teams wird in vielen Unternehmen zur Kommunikation genutzt.
© Slack / Microsoft / Montage: PC Magazin

Eine aktuelle Studie zur Sicherheit von App-Modellen, die in der Unternehmenskommunikation genutzt werden, kritisiert die Anwendungen Slack und Microsoft Teams. Sie seien nicht nicht sicher genug, um Nutzende vor Angriffen auf sensible Unternehmensdaten zu schützen.

Die zugrundeliegenden Untersuchungen, die von der Nachrichtenseite WIRED aufgegriffen wurde, zeigen teils beunruhigende Lücken in den jeweiligen Sicherheitsmodellen von Slack und Teams auf - angefangen bei einer mangelnden Überprüfung der App-Codes von Drittanbietern bis hin zu Standardeinstellungen, die es jedem Benutzer ermöglichen, potenziell gefährliche Apps für einen gesamten Arbeitsbereich zu installieren.

Weiterhin kritiserten die Forscher*innen, dass sowohl Slack als auch Teams potenziell dazu in der Lage wären, nach der Installation weiterer Drittanbieter-Apps Nachrichten als Benutzer zu posten, die Funktionen anderer legitimer Apps zu kapern oder sogar auf Inhalte in privaten Kanälen zuzugreifen (speziell im Fall von Slack), obwohl der Anwendung selbst keine solche Berechtigung erteilt wurde.

Dies ist insofern bedenklich, da besonders seit Pandemie-Beginn viele Unternehmen auf Anwendungen wie Teams oder Slack geradezu angewiesen sind. Es werden nicht nur sensible Informationen von Privatpersonen, sondern auch Ressourcen des Unternehmens gesammelt und geteilt. In vielen Fällen werden mehrere Anwendungen miteinander verknüpft, um auf vielen Kanälen kommunizieren zu können.

Slack wies auf Nachfrage von Wired daraufhin, dass sie über eine Sammlung genehmigter Apps verfügen. Diese sind im Slack App Directory verfügbar und werden vor der Aufnahme gründlich auf ihre Sicherheit und verdächtiges Verhalten geprüft. Daher empfiehlt Slack ausrücklich, nur genehmigte Apps zu installieren und Änderungen nur mit Admin-Rechten zu erlauben.

In der Studie wird dennoch angeführt, dasss die Überprüfung der Anwendungen durch Slack lediglich oberflächlich erfolgt, da Slack selbst keinen Zugriff auf den eigentlichen Code der Apps besitzen. Sowohl in Slack als auch in Teams ist es zudem standardmäßig möglich, weitere Apps zu einem Arbeitsbereich hinzuzufügen, die keiner weiteren Prüfung unterzogen werden müssen.

Im Vergleich zu dem App Store auf iOS Geräten oder Google Play soll das Sicherheitsmodell von Anwendungen wie Slack oder Teams somit ganze "fünf bis sechs Jahre hinterher hinken", was ein geradezu vernichtendes Urteil für beide Unternehmen darstellt.

Microsoft und Slack wussten von der Studie

Microsoft hat sich bisher nicht weiter zur Studie geäußert. Laut der Forscher*innen wurden die Ergebnisse aber bereits im Vorfeld mit Microsoft und auch Slack kommuniziert. Beide Unternehmen sollen angegeben haben, dass sie die Problematik nicht als Sicherheitslücke definieren, da sie auf wissentlichen Taten der Nutzenden basieren.

Nach Ansicht der Forschenden legt diese Auffassung allerdings die ganze Verantwortung in die Hände der Nutzer*innen und Administrator*innen, wenn es um die Beurteilung von Apps geht. Diese seien noch weniger in der Lage, die Legitimität von unbekannten Apps zu erkennen.

Einige der Probleme sollen durch "relativ einfache Patches" behoben werden können. Wenn die Slack- und Teams-Anwendungen jedoch weiterhin auf Servern von Drittanbietern gehostet werden, bleibt das "tiefere Problem" bestehen. Daher müssten Teams und Slack ihr App-Modell grundlegend überarbeiten, um für mehr Sicherheit garantieren zu können.

Microsoft

Gefahr durch Token

Sicherheitslücke in Microsoft Teams entdeckt

Sicherheitsexperten haben eine Schwachstelle in Microsoft Teams entdeckt. Angreifende können sich Token zunutze machen, die lokal gespeichert werden.

Aufmacher Duell Slack vs. Teams

Team-Collaborations-Tools

Microsoft Teams vs. Slack: Was ist besser?

Slack möchte den Markt der Team-Messenger dominieren. Microsoft hält mit Teams dagegen. Welches Angebot ist besser? Wir haben sie verglichen.

27.9.2022 von Laura Pippig

Weiter zur Startseite  

Mehr zum Thema

Microsoft

Gefahr durch Token

Sicherheitslücke in Microsoft Teams entdeckt

Sicherheitsexperten haben eine Schwachstelle in Microsoft Teams entdeckt. Angreifende können sich Token zunutze machen, die lokal gespeichert werden.

2K Games

Direkt nach GTA-Leak

Kundensupport von 2K Games gehacked: Nutzerdaten gestohlen

Der Spielepublisher 2K Games wurde gehacked. Unbekannte verschafften sich Zugriff zum Helpdesk und verschickten Phishing-Mails im Namen des Support.

videkonferenz tool zoom

Lücken beim Videodienst

Hohes Sicherheitsrisiko: Zoom patched Schwachstellen

Bei Zoom gab es offenbar Schwachstellen, die als hohes Risiko eingestuft werden. Per Update wurden die Lücken behoben, das jetzt installiert werden…

Erpressung via E-Mail - so reagieren Sie richtig! Ransomware

Malware-Angriff

Ransomware-Angriff auf DPA: Daten im Darknet

Die Deutsche Presse-Agentur wurde über einen IT-Dienstleister Opfer eines Malware-Angriffs. Sensible Daten diverser Mitarbeitenden sind in Gefahr.

Datenschutz

Sensible Kundendaten

Riesiges Daten-Leck bei Microsoft: 65.000 Firmen betroffen

Ein Konfigurationsfehler bei Microsoft führte zu einem gewaltigen Datenleck. Sensible Kundendaten zahlreicher Firmen waren öffentlich einsehbar.