Barracuda full logo

Zeit, die Sicherheit von Messaging-Anwendungen zu überprüfen

Themen:
3. Juli. 2025
|
Mike Vizard

Die meisten Organisationen haben keine formelle Richtlinie zur Nutzung von Messaging-Anwendungen, aber nach einer kürzlich getroffenen Entscheidung des Hauptadministrators des US-Repräsentantenhauses sollten sie ihre Richtlinien möglicherweise überdenken.

Ein Memo, das letzte Woche verschickt wurde, informierte die Mitarbeiter des Kongresses darüber, dass der WhatsApp-Messaging-Dienst auf allen Geräten des US-Repräsentantenhauses verboten wurde. In der Mitteilung heißt es: „Das Office of Cybersecurity hat WhatsApp aufgrund mangelnder Transparenz hinsichtlich des Schutzes von Nutzerdaten, fehlender Verschlüsselung gespeicherter Daten und potenzieller Sicherheitsrisiken, die mit seiner Verwendung verbunden sind, als hohes Risiko für die Nutzer eingestuft.“

Das Memo erklärt nicht, was mangelnde Transparenz tatsächlich bedeutet, aber Anfang dieses Jahres sagte ein WhatsApp-Offizieller, dass das israelische Spyware-Unternehmen Paragon Solutions seine Nutzerbasis, zu der viele Regierungsbeamte gehören, ins Visier genommen habe. Stattdessen empfiehlt das Memo die Nutzung anderer Messaging-Apps, darunter Microsoft Teams, Apple FaceTime und Signal.

Es ist nicht klar, wie weit verbreitet diese und andere Anwendungen wie Discord in Unternehmensumgebungen genutzt werden, aber viele Endnutzer gehen davon aus, dass es ein Security-Niveau gibt, das möglicherweise nicht so robust ist, wie sie glauben.

Mögliche Sicherheitsbedenken und Schwachstellen

Spyware auf einem Mobiltelefon kann heimlich und ohne Wissen des Nutzers Informationen über dessen Aktivitäten überwachen und sammeln, einschließlich der Verfolgung des Anrufverlaufs, der Textnachrichten, des Standorts und der Surfaktivitäten, zusätzlich zur Aufzeichnung von Audio und Video. Es kann über bösartige Apps, Phishing-Links oder durch das Ausnutzen von Schwachstellen im Betriebssystem eines Mobilgeräts installiert werden.

Laut einer aktuellen Studie, die vom DARKNAVY-Institut veröffentlicht wurde, ist es jetzt sogar möglich, eingebaute Browserkomponenten und URL-Parsing-Mechanismen auszunutzen, um Remote-Code auszuführen, ohne dass eine Nutzerinteraktion über den Empfang der Nachricht hinaus erforderlich ist.

Ebenso beunruhigend ist, dass es für Endnutzer dieser Anwendungen relativ einfach ist, versehentlich sensible Daten preiszugeben, wie zum Beispiel die inzwischen berüchtigte Einladung zu einem Signal-Chat, die fälschlicherweise von Beamten des Verteidigungsministeriums an einen Journalisten gesendet wurde.

Aufklärung von Führungskräften über die Risiken

Cybersecurity-Teams haben natürlich schon immer vor den Gefahren der Schatten-IT gewarnt, solange man sich erinnern kann. Heutzutage ist es für Endnutzer jedoch einfacher denn je, Gruppenchats über eine Vielzahl von Diensten einzurichten, von denen einige nicht einmal verschlüsselt sind.

Abgesehen davon, die Nutzung dieser Anwendungen für geschäftliche Angelegenheiten zu verbieten, scheint es nicht viel zu geben, was Cybersecurity-Verantwortliche tun können, um das Risiko, das diese Anwendungen darstellen, zu verringern. Viele der eifrigsten Nutzer dieser Anwendungen sind die Führungskräfte der Organisation. Das bedeutet nicht, dass Cybersecurity-Teams die Hände in den Schoß legen und wegschauen sollten.

Bildung kann nach wie vor ein wirksames Instrument sein. Cybersecurity-Experten sollten sicherstellen, dass sie Führungskräfte jedes Mal informieren, wenn es einen größeren Cybersecurity-Vorfall im Zusammenhang mit einer Messaging-Anwendung gibt. Tatsächlich wären viele dieser Gespräche, die über Messaging-Anwendungen stattfinden, auf E-Mail-Plattformen, in deren Sicherung die Cybersecurity-Teams viel Zeit und Mühe investiert haben, etwas sicherer.

Letztendlich können Cybersecurity-Fachleute nur begrenzt etwas tun, um Endnutzer vor sich selbst zu schützen. Jedoch sollten Sie sicherstellen, dass Sie mit gutem Beispiel vorangehen. Schließlich sind viele der Endnutzer von Messaging-Diensten auch Cybersecurity-Experten, die es besser wissen sollten.

Abonnieren Sie den Barracuda-Blog
Mike Vizard

Mike Vizard berichtet seit mehr als 25 Jahren über Themen aus dem IT-Bereich und hat eine Reihe von Publikationen im Bereich Technologie herausgegeben oder zu diesen beigetragen – darunter InfoWorld, eWeek, CRN, Baseline, ComputerWorld, TMCNet und Digital Review. Derzeit bloggt er für IT Business Edge und wirkt bei CIOinsight, The Channel Insider, Programmableweb und Slashdot mit. Mike bloggt außerdem über aufkommende Cloud-Technologie für SmarterMSP.

Verbinde dich mit Mike auf LinkedIn oder Twitter.

Verwandte Beiträge:
CVE-Kontroverse schafft Gelegenheit zur Verbesserung
CVE-Kontroverse schafft Gelegenheit zur Verbesserung
 Finanzierungskrise des CVE-Programms: Auswirkungen und strategische Reaktion
Finanzierungskrise des CVE-Programms: Auswirkungen und strategische Reaktion
 Navigieren durch die malaysische Änderung des Datenschutzgesetzes 2024
Navigieren durch die malaysische Änderung des Datenschutzgesetzes 2024
 Die amerikanische Cyberabwehrbehörde hat ihre Prioritäten für 2024 festgelegt. Sollten Sie sie übernehmen?
Die amerikanische Cyberabwehrbehörde hat ihre Prioritäten für 2024 festgelegt. Sollten Sie sie übernehmen?
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.