Zwischen Risiko und Notwendigkeit – Messengerdienste im Unternehmen

Aus unserem Alltag und auch im unternehmerischen Kontext sind sie kaum wegzudenken, sorgen sie doch für unkomplizierte und schnelle Kommunikation, ganz ohne Scherereien: Messengerdienste wie Signal und WhatsApp haben längst den Alltag erobert. Dass ihr Einsatz datenschutzrechtlich oftmals kritisch zu sehen ist, haben wir bereits in vergangenen Artikeln ausführlich betrachtet. Doch da in den letzten Tagen gleich mehrere Meldungen zu diesem Thema auf unseren Schreibtischen landeten, möchten wir diese Gelegenheit nutzen, über den aktuellen Stand zu berichten.

EU-Parlamentarier dürfen nicht per Messengerdienst „Signal“ kommunizieren

Dass auch im politischen Umfeld gerne mal zur unkomplizierten, schnellen Nachricht gegriffen wird, als sich mit umständlichen E-Mails oder – gottbewahre – einem persönlichen Gespräch aufzuhalten, dürfte heutzutage kaum verwundern.

Man sollte jedoch meinen, dass angesichts der teils vertraulichen Inhalte hier besonders auf die Sicherheit der verwendeten Systeme geachtet werden sollte. Umso mehr verwunderte uns eine kürzlich von netzpolitik.org veröffentlichte Meldung aus dem Europäischen Parlament.

Die Abgeordneten Martin Schirdewan und Manon Aubry, beide Teil der Linksfraktion im EU-Parlament, beantragten vergangene Woche bei der Haustechnik die Installation der Desktop-Version des Messengers „Signal“. Dieser gilt als recht sicher, insbesondere durch die implementierten Verschlüsselungsalgorithmen und die Ausgestaltung als Open-Source. Unterstützung erhielt der Messenger zudem durch Persönlichkeiten wie dem Whistleblower Edward Snowden und WhatsApp-Gründer Brian Acton. Der Wunsch der Abgeordneten erscheint demnach durchaus angebracht und sinnvoll.

Dem Anliegen wurde jedoch überraschenderweise eine Absage erteilt. Hintergrund sei, dass Signal keine Standardsoftware im EU-Parlament sei und zuvor ausgiebig getestet und freigegeben werden müsse. Die Haustechnik empfahl den Parlamentariern daraufhin, die Web-Applikation von WhatsApp zu verwenden.

Angesichts der zahllosen Skandale um Facebook, der zunehmenden Vernetzung der beteiligten Dienste und der nicht von der Hand zu weisenden Gefahr eines Zugriffs US-amerikanischer Behörden, erscheint ein solcher Hinweis als vieles, aber nicht als zeitgemäß. Verschärfend kommt hinzu, dass es sich bei der hier in Frage stehenden Kommunikation nicht etwa um Urlaubsbilder oder Einkaufslisten handelt, sondern um politische Interna direkt aus dem Europäischen Parlament. Die standardmäßige Abwicklung derartiger Kommunikation über einen solchen Messengerdienst mutet angesichts der vorgenannten Problemstellungen geradezu fahrlässig an.

Wie heise nach Veröffentlichung dieses Artikels berichtet, rückte die IT-Abteilung des Parlaments nun von der zuvor geäußerten Empfehlung ab. Man prüfe Signal derzeit. Da dies aber einige Zeit dauern könnte, wird auf „Jabber“ verwiesen. Auch unter dem Kürzel „XMPP“ bekannt, handelt es sich hierbei um ein Protokoll, welches quelloffen, plattformneutral und verschlüsselt ist. Lediglich die Einrichtung ist aufwändiger als bei den üblichen Messengern. Bei Wahl eines zuverlässigen Clients bestehen jedoch weitaus weniger datenschutzrechtliche Bedenken als beim geistigen Bruder von Facebook. Der Jabber-Client „Conversations“ etwa nutzt die GPLv3-Lizenz und enthält ebenfalls eine Ende-zu-Ende-Verschlüsselung. Trotz dieses Kurswechsels überrascht dennoch, dass die IT-Abteilung eines der zentralen Organe der Europäischen Union im Jahr 2019 derart hinter den digitalen Anforderungen der heutigen Zeit hinterher hinkt.

Ein Sicherheitsleck kommt selten allein

Diese Skepsis ist angesichts der geradezu regelmäßig eintreffenden Meldungen über Sicherheitslücken und mehr oder minder großen Skandalen auch durchaus begründet.

GIF als Einfallstor für Malware

So bestand seit Anfang dieses Jahres ein signifikantes Sicherheitsleck beim Messengerdienst WhatsApp, welches dafür sorgte, dass Schadsoftware auf das Endgerät gespielt werden konnte. Einfallstor für die Malware war in diesem Fall ein Exploit der GIF-Bibliothek des Messengerdienstes. Nach Empfang eines infizierten Bewegtbildes erlangt der Angreifer umfassende Zugriffsrechte, sobald der Nutzer das nächste Mal auf die Bibliothek zum Versand eines eigenen Bildes zugreift. Eine detaillierte Beschreibung und ein aufschlussreiches Beweisvideo veröffentlichte TheHackerNews.

Die Sicherheitslücke wurde zwischenzeitlich durch ein Update behoben.

Auch Signal hört zuweilen mit

Doch auch Signal ist nicht gänzlich frei von Skandalen und Sicherheitslecks. Ein Ende September entdeckter Fehler in der „Anrufen“-Funktion in der Android-Version ermöglichte es einem potenziellen Angreifer, den Anruf ohne Kenntnis des Angerufenen selbst anzunehmen. Hierdurch bestand für den so Angerufenen die Gefahr, unerkannt abgehört zu werden.

Auch dieser Fehler wurde mittlerweile behoben.

WhatsApp: Riskante Bequemlichkeit

Angesichts der zahlreichen Unwägbarkeiten und der fortlaufend auftretenden Sicherheitslücken wird deutlich, dass der Einsatz von WhatsApp genau durchdacht werden sollte. Insbesondere im unternehmerischen Kontext liegen die Vorteile einer weit verbreiteten und unkomplizierten Möglichkeit der Kommunikation auf der Hand. Auch für die Korrespondenz mit Kunden bietet sich die unkomplizierte Kontaktaufnahme mehr als an.

Oftmals werden die Risiken die Vorteile jedoch bei weitem überwiegen. Neben den bekannten Problemen wie den bislang unklaren Zugriffsmöglichkeiten seitens US-Behörden und der Übermittlung von Metadaten an Facebook stellen sich weitere Hürden.

• Eine unternehmens-, bzw. teaminterne Verwendung des Dienstes – selbst wenn diese Nutzung freiwillig erfolgt – kann leicht dazu führen, dass Mitarbeiter den Dienst aus schlichter Notwendigkeit nutzen müssen. Eine Wahlmöglichkeit besteht nämlich faktisch kaum, wenn das gesamte Team mittels dieses Dienstes kommuniziert. Eine Verletzung des Rechts auf informationelle Selbstbestimmung des Mitarbeiters liegt hier nicht fern, da in diesem Fall eine Verarbeitung personenbezogener Daten nicht nur durch den Arbeitgeber, sondern auch durch Dritte erfolgt.
• Darüber hinaus kann nicht ausgeschlossen werden, dass durch die „Online/Offline“-Anzeige eines Mitarbeiter-Accounts und die dadurch eröffnete Möglichkeit der Kontrolle eine Mitbestimmungspflicht des Betriebsrates gem. § 87 Abs. 1 Nr. 6 BetrVG begründet wird.
• Verwendet bei einem Gruppenchat jedenfalls einer der Teilnehmer noch einen älteren Client, der die relativ neu eingeführte Ende-zu-Ende-Verschlüsselung nicht unterstützt, so erfolgt auch hier die gesamte Konversation unverschlüsselt.
• Letztlich steht regelmäßig eine Verletzung von Art. 25 DSGVO im Raume, wonach der Verantwortliche „sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung – [trifft], die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen“.

Dass die Wahl eines Dienstes wie WhatsApp zumindest den Grundsatz der Datenminimierung nicht wahren dürfte, liegt hierbei auf der Hand.

Fast immer ist eine Risikoabwägung erforderlich

In vielen Unternehmen stellt sich die Frage, „ob“ ein Messenger dienstlich Verwendung findet, oftmals nicht mehr. Zu wichtig und zu etabliert sind bereits gefundene Lösungen. Vielmehr geht es um die Frage, „wie welcher“ Dienst eingesetzt wird. Bei der Entscheidung sind insbesondere die Sensibilität der übermittelten Daten, die Unternehmensstruktur und das Geschäftsfeld in die erforderliche Abwägung einzubeziehen.

Flankiert werden sollte ein Einsatz auch immer durch entsprechende Richtlinien und Dienstanweisungen, um bestehenden Risiken bestmöglich entgegenwirken zu können. Dies gilt umso mehr, da viele Sicherheitslücken durch regelmäßige Updates eingedämmt werden können.