Wer in diesen Tagen die einschlägigen IT-Portale besucht, der kommt um eine App kaum herum: Clubhouse ist aktuell der hellste Stern am Social Network-Himmel. Wir haben dem Clubhouse einen Besuch abgestattet und versuchen nun das neue Netzwerk in seiner Bedeutung für die Informationssicherheit einzuordnen.
Informationssicherheit & Clubhouse – eine gute Kombination?
Informationssicherheit ist überall dort nötig, wo Daten verarbeitet werden. Sie dient dem Schutz vor Gefahren und Bedrohungen sowie der Verhinderung von Schäden. Schäden können hierbei monetär sein. Aber auch der Verlust des “guten Rufs” kann durch mangelnde Informationssicherheit entstehen.
Zudem ist die Informationssicherheit ein Werkzeug zur Minimierung von Risiken. Informationen können heute alles umfassen. Es ist eine große Chance aber gleichzeitig auch eine große Schwierigkeit, dass Informationen heutzutage auf verschiedenste Arten kombiniert werden können, um neue Erkenntnisse zu gewinnen. Und genau da öffnet Clubhouse neue Türen für Angreifer.
Clubhouse ist ein Ort für Geschichten
Clubhouse ist eine Audio-only-App. Der Podcast 2.0 gewissermaßen, denn es gibt nicht nur Redner:innen und Zuhörer:innen, sondern Zuhörer:innen können auch Redner:innen werden und umgekehrt. Aktuell ist Clubhouse noch ein Invitation Only Netzwerk: Jede:r Nutzer:in muss eingeladen werden und jede:r Nutzer:in hat nur zwei Einladungen zu vergeben. Ohne Einladung, kein Clubhouse.
Verschiedene Artikel kritisieren den Datenschutz bei Clubhouse. Die Diskussion dreht sich hierbei vor allem um das Hochladen der Kontakte zu den Servern von Clubhouse. Weniger jedoch um die Informationssicherheit. Hier werden viele Firmen sicherlich noch aufmerksam werden – auch wenn die AGB der exklusiven App aktuell nur eine persönliche Nutzung vorsehen.
Denn auf Clubhouse werden Geschichten erzählt und ausgetauscht. Live und ungeschnitten. Das gesprochene Wort zählt. Es gibt keine Moderator:innen oder Editor:innen die Inhalte nochmal gegenlesen und überprüfen. Vor allem gibt es keine Presseabteilung die prüft, ob gewisse Informationen überhaupt mit (unbekannten) Dritten geteilt werden dürfen.
Der nächste Informationssicherheitsvorfall ist nur einen Drop-In weit weg
In den letzten Tagen waren wir in verschiedenen Sessions unterwegs und eines fällt auf: Die Kommunikation ist sehr intim. Das ist Ziel der Plattform und wurde durch das geschickte Vorgehen der Entwickler erreicht.
Diese Intimität scheint den Nutzer:innen jedoch oft auch Geheimnisse zu entlocken. In den 10 Sessions die wir analysiert haben fielen unter anderem folgende Sätze:
- “Wir bauen für Kunde X aktuell folgendes: [Innovatives Produkt]”
- “Ich weiß gar nicht, ob ich das erzählen darf…”
- “Das ist ganz frisch, da darf ich eigentlich nicht drüber sprechen…”
oder ähnliche Sätze. Die so geteilten, häufig vertraulichen Informationen sind für alle Zuhörer:innen mitzuhören. Durch die Klarnamenpflicht, der die Nutzer zum großen Teil auch nachkommen, ist es zudem häufig nicht schwer den Arbeitgeber herauszufinden, der diese vertraulichen Informationen nicht geteilt hätte.
Solche Informationslecks sind nicht neu, können durch Clubhouse allerdings deutlich weiter skalieren und schwerwiegendere Auswirkungen für die Informationssicherheit haben. Für Angreifer sollte auch die Hürde der Telefonnummer leicht zu umgehen sein.
Der richtige Umgang mit Clubhouse – Was können wir tun?
Digitale Plattformen bieten gerade für Endnutzer:innen keine verpflichtenden Möglichkeiten zur Identifikation. Das ändert auch Clubhouse nicht, trotz der Einstiegshürden und der Pflicht eine Telefonnummer anzugeben.
Jede:r Teilnehmer:in kann die Gespräche aufnehmen und beliebig auswerten. So sind vertrauliche Informationen schneller abhanden gekommen, als mancher Corporate Security Abteilung lieb sein könnte. Die nachträgliche Veröffentlichung in Foren könnte auf der einen Seite zum Problem werden. Aber auch die Option mit der Hilfe von Aufnahmen eine Stimme nachzubilden ist kein Science Fiction Szenario mehr.
Vertrauliche Informationen die dort geteilt werden, können nicht wieder “eingefangen” werden. Mitarbeiter:innen müssen geschult werden, nicht über sensible Themen oder Informationen zu sprechen. Insbesondere auf Internet-Plattformen, die Daten zumindest zwischenspeichern müssen.