
Zeit, die Sicherheit von Messaging-Anwendungen zu überprüfen
Die meisten Organisationen haben keine formelle Richtlinie zur Nutzung von Messaging-Anwendungen, aber nach einer kürzlich getroffenen Entscheidung des Hauptadministrators des US-Repräsentantenhauses sollten sie ihre Richtlinien möglicherweise überdenken.
Ein Memo, das letzte Woche verschickt wurde, informierte die Mitarbeiter des Kongresses darüber, dass der WhatsApp-Messaging-Dienst auf allen Geräten des US-Repräsentantenhauses verboten wurde. In der Mitteilung heißt es: „Das Office of Cybersecurity hat WhatsApp aufgrund mangelnder Transparenz hinsichtlich des Schutzes von Nutzerdaten, fehlender Verschlüsselung gespeicherter Daten und potenzieller Sicherheitsrisiken, die mit seiner Verwendung verbunden sind, als hohes Risiko für die Nutzer eingestuft.“
Das Memo erklärt nicht, was mangelnde Transparenz tatsächlich bedeutet, aber Anfang dieses Jahres sagte ein WhatsApp-Offizieller, dass das israelische Spyware-Unternehmen Paragon Solutions seine Nutzerbasis, zu der viele Regierungsbeamte gehören, ins Visier genommen habe. Stattdessen empfiehlt das Memo die Nutzung anderer Messaging-Apps, darunter Microsoft Teams, Apple FaceTime und Signal.
Es ist nicht klar, wie weit verbreitet diese und andere Anwendungen wie Discord in Unternehmensumgebungen genutzt werden, aber viele Endnutzer gehen davon aus, dass es ein Security-Niveau gibt, das möglicherweise nicht so robust ist, wie sie glauben.
Mögliche Sicherheitsbedenken und Schwachstellen
Spyware auf einem Mobiltelefon kann heimlich und ohne Wissen des Nutzers Informationen über dessen Aktivitäten überwachen und sammeln, einschließlich der Verfolgung des Anrufverlaufs, der Textnachrichten, des Standorts und der Surfaktivitäten, zusätzlich zur Aufzeichnung von Audio und Video. Es kann über bösartige Apps, Phishing-Links oder durch das Ausnutzen von Schwachstellen im Betriebssystem eines Mobilgeräts installiert werden.
Laut einer aktuellen Studie, die vom DARKNAVY-Institut veröffentlicht wurde, ist es jetzt sogar möglich, eingebaute Browserkomponenten und URL-Parsing-Mechanismen auszunutzen, um Remote-Code auszuführen, ohne dass eine Nutzerinteraktion über den Empfang der Nachricht hinaus erforderlich ist.
Ebenso beunruhigend ist, dass es für Endnutzer dieser Anwendungen relativ einfach ist, versehentlich sensible Daten preiszugeben, wie zum Beispiel die inzwischen berüchtigte Einladung zu einem Signal-Chat, die fälschlicherweise von Beamten des Verteidigungsministeriums an einen Journalisten gesendet wurde.
Aufklärung von Führungskräften über die Risiken
Cybersecurity-Teams haben natürlich schon immer vor den Gefahren der Schatten-IT gewarnt, solange man sich erinnern kann. Heutzutage ist es für Endnutzer jedoch einfacher denn je, Gruppenchats über eine Vielzahl von Diensten einzurichten, von denen einige nicht einmal verschlüsselt sind.
Abgesehen davon, die Nutzung dieser Anwendungen für geschäftliche Angelegenheiten zu verbieten, scheint es nicht viel zu geben, was Cybersecurity-Verantwortliche tun können, um das Risiko, das diese Anwendungen darstellen, zu verringern. Viele der eifrigsten Nutzer dieser Anwendungen sind die Führungskräfte der Organisation. Das bedeutet nicht, dass Cybersecurity-Teams die Hände in den Schoß legen und wegschauen sollten.
Bildung kann nach wie vor ein wirksames Instrument sein. Cybersecurity-Experten sollten sicherstellen, dass sie Führungskräfte jedes Mal informieren, wenn es einen größeren Cybersecurity-Vorfall im Zusammenhang mit einer Messaging-Anwendung gibt. Tatsächlich wären viele dieser Gespräche, die über Messaging-Anwendungen stattfinden, auf E-Mail-Plattformen, in deren Sicherung die Cybersecurity-Teams viel Zeit und Mühe investiert haben, etwas sicherer.
Letztendlich können Cybersecurity-Fachleute nur begrenzt etwas tun, um Endnutzer vor sich selbst zu schützen. Jedoch sollten Sie sicherstellen, dass Sie mit gutem Beispiel vorangehen. Schließlich sind viele der Endnutzer von Messaging-Diensten auch Cybersecurity-Experten, die es besser wissen sollten.

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.