Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Clubhouse – Was bedeutet die Hype-App für Informationssicherheit

Dr. Matteo Große-Kampmann

Wer in diesen Tagen die einschlägigen IT-Portale besucht, der kommt um eine App kaum herum: Clubhouse ist aktuell der hellste Stern am Social Network-Himmel. Wir haben dem Clubhouse einen Besuch abgestattet und versuchen nun das neue Netzwerk in seiner Bedeutung für die Informationssicherheit einzuordnen.

Informationssicherheit & Clubhouse – eine gute Kombination?

Informationssicherheit ist überall dort nötig, wo Daten verarbeitet werden. Sie dient dem Schutz vor Gefahren und Bedrohungen sowie der Verhinderung von Schäden. Schäden können hierbei monetär sein. Aber auch der Verlust des „guten Rufs“ kann durch mangelnde Informationssicherheit entstehen.

Zudem ist die Informationssicherheit ein Werkzeug zur Minimierung von Risiken. Informationen können heute alles umfassen. Es ist eine große Chance aber gleichzeitig auch eine große Schwierigkeit, dass Informationen heutzutage auf verschiedenste Arten kombiniert werden können, um neue Erkenntnisse zu gewinnen. Und genau da öffnet Clubhouse neue Türen für Angreifer.

Clubhouse ist ein Ort für Geschichten

Clubhouse ist eine Audio-only-App. Der Podcast 2.0 gewissermaßen, denn es gibt nicht nur Redner:innen und Zuhörer:innen, sondern Zuhörer:innen können auch Redner:innen werden und umgekehrt. Aktuell ist Clubhouse noch ein Invitation Only Netzwerk: Jede:r Nutzer:in muss eingeladen werden und jede:r Nutzer:in hat nur zwei Einladungen zu vergeben. Ohne Einladung, kein Clubhouse.

Verschiedene Artikel kritisieren den Datenschutz bei Clubhouse. Die Diskussion dreht sich hierbei vor allem um das Hochladen der Kontakte zu den Servern von Clubhouse. Weniger jedoch um die Informationssicherheit. Hier werden viele Firmen sicherlich noch aufmerksam werden – auch wenn die AGB der exklusiven App aktuell nur eine persönliche Nutzung vorsehen.

Informationssicherheit bei der Clubhouse App ist ein zweischneidiges Schwert.
Der persönliche Austausch steht bei Clubhouse im Fokus. Sich zu Gesprächen vor oder nach der Arbeit treffen? Kein Problem. Es ist kein Fall bekannt, bei dem ein geschäftlicher Hintergrund Konsequenzen mit sich brachte. Quelle: Datenschutz-generator.de

Denn auf Clubhouse werden Geschichten erzählt und ausgetauscht. Live und ungeschnitten. Das gesprochene Wort zählt. Es gibt keine Moderator:innen oder Editor:innen die Inhalte nochmal gegenlesen und überprüfen. Vor allem gibt es keine Presseabteilung die prüft, ob gewisse Informationen überhaupt mit (unbekannten) Dritten geteilt werden dürfen.

Der nächste Informationssicherheitsvorfall ist nur einen Drop-In weit weg

In den letzten Tagen waren wir in verschiedenen Sessions unterwegs und eines fällt auf: Die Kommunikation ist sehr intim. Das ist Ziel der Plattform und wurde durch das geschickte Vorgehen der Entwickler erreicht.

Diese Intimität scheint den Nutzer:innen jedoch oft auch Geheimnisse zu entlocken. In den 10 Sessions die wir analysiert haben fielen unter anderem folgende Sätze:

  • „Wir bauen für Kunde X aktuell folgendes: [Innovatives Produkt]“
  • „Ich weiß gar nicht, ob ich das erzählen darf…“
  • „Das ist ganz frisch, da darf ich eigentlich nicht drüber sprechen…“

oder ähnliche Sätze. Die so geteilten, häufig vertraulichen Informationen sind für alle Zuhörer:innen mitzuhören. Durch die Klarnamenpflicht, der die Nutzer zum großen Teil auch nachkommen, ist es zudem häufig nicht schwer den Arbeitgeber herauszufinden, der diese vertraulichen Informationen nicht geteilt hätte.

Solche Informationslecks sind nicht neu, können durch Clubhouse allerdings deutlich weiter skalieren und schwerwiegendere Auswirkungen für die Informationssicherheit haben. Für Angreifer sollte auch die Hürde der Telefonnummer leicht zu umgehen sein.

Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!

Der richtige Umgang mit Clubhouse – Was können wir tun?

Digitale Plattformen bieten gerade für Endnutzer:innen keine verpflichtenden Möglichkeiten zur Identifikation. Das ändert auch Clubhouse nicht, trotz der Einstiegshürden und der Pflicht eine Telefonnummer anzugeben.

Jede:r Teilnehmer:in kann die Gespräche aufnehmen und beliebig auswerten. So sind vertrauliche Informationen schneller abhanden gekommen, als mancher Corporate Security Abteilung lieb sein könnte. Die nachträgliche Veröffentlichung in Foren könnte auf der einen Seite zum Problem werden. Aber auch die Option mit der Hilfe von Aufnahmen eine Stimme nachzubilden ist kein Science Fiction Szenario mehr.

Vertrauliche Informationen die dort geteilt werden, können nicht wieder „eingefangen“ werden. Mitarbeiter:innen müssen geschult werden, nicht über sensible Themen oder Informationen zu sprechen. Insbesondere auf Internet-Plattformen, die Daten zumindest zwischenspeichern müssen.

 

Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.

Foto des Autors

Dr. Matteo Große-Kampmann

Mein Name ist Matteo Große-Kampmann. Gemeinsam mit Chris Wojzechowski habe ich die AWARE7 GmbH in Gelsenkirchen gegründet. Ich habe meine Promotion zum Thema "Towards Understanding Attack Surfaces of Analog and Digital Threats" abgeschlossen und bin ausgebildeter ISO 27001 Lead Auditor.
AWARE7 GmbH - Logo

0209 - 8830 6760

info@aware7.de

Öffnungszeiten
Montag - Freitag
8:00 - 17:00 Uhr

Anfahrtsbeschreibung
Google Plus Code F4X5+M2

Unternehmen

AWARE7 GmbH
Munscheidstr. 14
45886 Gelsenkirchen
Impressum | Datenschutz

Forschung & Entwicklung
Über uns
Karriere

Informationen

Schulungen & Workshops

T.I.S.P.-Expertenzertifikat

Ressourcen

Kostenfreies E-Learning
Erfolgsgeschichten
Downloads
Projekte

ISO 27001 Zertifizierung - AWARE7 GmbH
Profil von AWARE7 GmbH in Ariba Discovery anzeigen