Ist Slack sicher? Wie man bei der Zusammenarbeit sicher bleibt

Smartphone with Slack app and chat bubbles
Klicken Sie hier für eine Zusammenfassung dieses Artikels
Ist Slack sicher? Eine kurze Zusammenfassung

Millionen von Benutzern tauschen jedes Jahr Nachrichten und Dateien auf Slack aus. Unternehmen jeder Größe verlassen sich darauf, um die Zusammenarbeit zwischen Kollegen, Kunden und Lieferanten zu erleichtern.

Slack selbst verfügt über viele Sicherheitsmaßnahmen auf Unternehmensebene, um eine sichere Umgebung zu gewährleisten. Hierzu gehören ISO- und SOC-Sicherheitszertifizierungen, HIPAA- und FINRA-Compliance-Zertifizierungen und ein robustes GDPR-Datenmanagementprogramm.

Anwender auf Unternehmens- und individueller Ebene können mehrere Dinge tun, um die Sicherheit der Daten, die sie über Slack versenden, weiter zu gewährleisten:

  1. Vermeiden Sie die Weitergabe vertraulicher Informationen wie Passwörter und vertrauliche Geschäftspraktiken.
  2. Verwenden Sie eine Zwei-Faktor-Authentifizierung (2FA).
  3. Entwickeln Sie solide Protokolle für das Onboarding und Offboarding von Mitarbeitern.
  4. Schulen Sie Ihre Mitarbeiter in den besten Praktiken für Slack.
  5. Verwenden Sie Kanäle, um den Zugriff von externen Benutzern zu verwalten.
  6. Seien Sie vorsichtig bei der Integration von Anwendungen Dritter.
  7. Lernen Sie, Phishing-Versuche zu erkennen.
  8. Installieren Sie ein gutes Antivirenprogramm.

Lesen Sie unseren vollständigen Artikel unten, um mehr über die Sicherheit von Slack zu erfahren.

Mehr als 8 Millionen Menschen tauschen jeden Tag Nachrichten, Dateien und Bilder auf Slack aus. Vor allem kleine und mittlere Unternehmen haben Slack seit seinem Debüt im Jahr 2014 für sich entdeckt, vor allem wegen der einfachen Einrichtung und Nutzung.

Aber nicht nur kleine Unternehmen lieben Slack. Als IBM Slack als offizielles Instant Messaging- und Kollaborationstool für seine mehr als 350.000 Mitarbeiter/innen auswählte, wurde dieser Schritt allgemein als großer Sieg im Kampf zwischen Slack und Microsoft Teams angesehen.

Aber wie sicher ist Slack wirklich? Und was können Sie tun, um sicherzustellen, dass die Informationen, die Sie versenden, sicher sind und privat bleiben? Egal, ob Sie Arbeitgeber oder Arbeitnehmer sind, wir sagen Ihnen alles, was Sie über Slack und Sicherheit wissen müssen.

Slack Sicherheits- und Datenschutzbedenken

Die Online-Privatsphäre und die Sicherheit der über die Plattform gesendeten Daten sind legitime Aspekte, unabhängig davon, ob Sie den Slack-Desktop oder die Slack-App auf einem mobilen Gerät verwenden. Zum Glück verfügt Slack über ein paar gute Systeme und Richtlinien, um Ihre privaten Daten zu schützen.

Wie Slack Daten verwaltet

slack logo

Slack macht keine halben Sachen, wenn es um die Sicherheit von Daten geht. Das Unternehmen verwendet Sicherheit auf Unternehmensniveau, um globale Compliance-Anforderungen zu erfüllen und Slack-Informationen zu schützen.

Das Unternehmen verfügt über eine Reihe von sicherheitsrelevanten Zertifizierungen, darunter ISO/IEC 27001, 27017, 27018 und 27701, SOC 2, SOC3, APEC für Prozessoren und APEC für Controller. Darüber hinaus ist Slack HIPAA- und FINRA-konform. Das Unternehmen hat außerdem ein GDRP-Compliance-Programm eingeführt.

Slack verschlüsselt die Daten im Ruhezustand und bei der Übertragung. Darüber hinaus bietet es weitere Sicherheitsfunktionen zum Schutz sensibler Daten, wie die Zwei-Faktor-Authentifizierung, die Begrenzung der Sitzungsdauer und die Sitzungsverwaltung. Allerdings wird keine Ende-zu-Ende-Verschlüsselung verwendet, da die Administratoren die Möglichkeit haben sollen, zu Geschäftszwecken auf die Kommunikation zuzugreifen.

Wie Slack mit Sicherheitsbedrohungen umgeht

Zusätzlich zu den oben erwähnten zuverlässigen Sicherheitsmaßnahmen von Slack bekämpft das Unternehmen die Bedrohung durch Cyberkriminelle mit seinem Slack Bug Bounty-Programm. Das bedeutet, dass jeder über Schwachstellen berichten kann, die er in Slack gefunden hat, und dafür eine Prämie erhält. So kann Slack daran arbeiten, die Schwachstellen zu beheben und seine Software zu verbessern. Das Bug Bounty-Programm fördert die Identifizierung von Slack-Sicherheitslücken, bevor sie ausgenutzt werden.

Zahlreiche wichtige Schwachstellen wurden durch das Bounty-Programm identifiziert und von Slack behoben, bevor sie ausgenutzt wurden. Seit Beginn des Programms hat Slack über 900.000 Dollar an Sicherheitsforscher vergeben, die potenzielle Schwachstellen in der Slack-Plattform identifiziert haben.

Wie Slack mit Regierungsanfragen umgeht

Justice lady with legal scale and sword icon

In den Datenschutzrichtlinien von Slack heißt es, dass das Unternehmen nicht freiwillig Informationen an Regierungen weitergibt. Allerdings wird das Unternehmen Anfragen nachkommen, die sich aus einem gültigen Rechtsverfahren ergeben. Das bedeutet, dass das Unternehmen Informationen speichert und sie weitergibt, wenn es gesetzlich dazu verpflichtet ist.

Aber wer oder was gehört zu einem gültigen Gerichtsverfahren? Dieser Begriff bezieht sich auf jeden, der in einen Rechtsstreit verwickelt ist, also auch auf Ihre Konkurrenten, die Sie oder Ihr Unternehmen verklagen. Sie können das Gericht bitten, Slack zu zwingen, die in Ihren Slack-Kanälen enthaltenen Informationen herauszugeben. Dazu könnten wichtige Informationen gehören, von denen Sie nicht wollen, dass Ihr Konkurrent sie bekommt. Dieses Alptraumszenario ist sehr unwahrscheinlich, aber nicht völlig unmöglich.

Generell ist der Gedanke, dass die interne Kommunikation Ihres Unternehmens von anderen gelesen werden könnte, nicht schön, auch wenn dies in einigen Fällen notwendig sein könnte. Slack gibt jedes Jahr einen Transparenzbericht heraus, der alle Offenlegungen im Zusammenhang mit gültigen Anfragen zu Rechtsverfahren zusammenfasst. Obwohl die Zahl der Offenlegungen gering ist, wurden vertrauliche Daten weitergegeben.

Sind Ihre Slack-Chats privat?

Vom Standpunkt eines Mitarbeiters aus betrachtet, machen Sie sich vielleicht weniger Gedanken darüber, wie angreifbar die sensiblen Daten Ihres Unternehmens sind, sondern eher darüber, wie privat Ihre persönlichen Informationen auf Slack sind.

Wie bei den meisten Unternehmens-Tools gehen Sie davon aus, dass alles, was Sie tun, von Ihrem Chef, dessen Chef oder der Personalabteilung gespeichert und überprüft werden kann. Slack ist von dieser Annahme nicht ausgenommen.

Sie können jedoch leicht überprüfen, wie und welche Informationen Ihr Unternehmen speichert. So geht’s:

  1. Gehen Sie von Ihrem Slack-Desktop aus zu Ihrem Profil und klicken Sie dann auf Mehr > Kontoeinstellungen. Sie werden auf eine Slack-Webseite weitergeleitet.
  2. Klicken Sie auf der linken Seite des Bildschirms auf Über diesen Workspace (möglicherweise müssen Sie zuerst „Menü“ öffnen).
  3. Klicken Sie auf Retentions & Exports.
  4. Unter Auf welche Daten können meine Administratoren zugreifen? finden Sie eine Beschreibung der Informationen, die abrufbar sind.
  5. Folgen Sie dem Link Mehr erfahren, um alle verfügbaren Optionen zum Speichern und Abrufen von Daten zu sehen.

Screenshot of the 'What data can my admins access?' page on the Slack website

Der Unterschied zwischen öffentlichen Kanälen, privaten Kanälen und Direktnachrichten ist hier besonders wichtig. Admins können möglicherweise nur Daten aus den offenen, öffentlichen Kanälen exportieren, während Ihre DMs und die gesperrten, privaten Kanäle nicht außerhalb der Teilnehmer an diesen Unterhaltungen geteilt werden können. Denken Sie jedoch daran, dass es immer einfach ist, Screenshots zu machen, auch von privaten Nachrichten.

Als Faustregel gilt: Vermeiden Sie es, etwas schriftlich zu versenden, von dem Sie nicht möchten, dass es veröffentlicht wird. Heben Sie sich abfällige Kommentare über Ihren Chef oder Beschwerden über einen Kunden am besten für einen Drink nach Feierabend in der Kneipe auf.

Wie Sie auf Slack sicher bleiben

Trotz der Sicherheitsmaßnahmen ist Slack immer noch ein Cloud-basierter Dienst. Daher ist er anfällig für entschlossene Cyber-Kriminelle. Hier sind acht Möglichkeiten, wie Sie Ihre Sicherheit maximieren und Ihre Bedenken bezüglich des Datenschutzes in Slack ausräumen können.

1. Geben Sie keine vertraulichen Informationen weiter

Geben Sie niemals Passwörter oder andere vertrauliche oder sensible Informationen auf Slack preis. Dies gilt auch für das Versenden von Dateien, die private Unternehmens- oder Kundendaten enthalten.

Wenn Sie die Passwortinformationen an einen Kollegen weitergeben müssen, sollten Sie eine App zur Passwortverwaltung verwenden. 1Password bietet eine nützliche Option für Teams, um Passwörter unternehmensweit zu teilen. Alle anderen vertraulichen und sensiblen Informationen sollten über sicherere interne Kanäle versendet werden, die nicht leicht von Hackern oder als Opfer einer gerichtlichen Verfügung entdeckt werden können.

2. Richten Sie eine Zwei-Faktor-Authentifizierung ein

Es ist immer eine gute Idee, die Zwei-Faktor-Authentifizierung (2FA) für die Anmeldung zu verwenden. Wenn Sie die 2FA verwenden, können Sie sich bei Slack mit Ihrem Passwort und einem Verifizierungscode anmelden, den Sie auf Ihrem Handy erhalten. Diese Multifaktor-Authentifizierung macht es sehr schwierig, nur mit den Anmeldedaten Zugang zu Slack zu erhalten.

Sie können 2FA in Slack entweder über eine Authentifizierungs-App oder per SMS einrichten, indem Sie die folgenden Schritte ausführen:

  1. Gehen Sie zu Ihrem Profil, klicken Sie auf „Mehr“ und gehen Sie zu „Kontoeinstellungen„.
  2. Klicken Sie auf „Erweitern“ neben „Zwei-Faktor-Authentifizierung“ und wählen Sie „Zwei-Faktor-Authentifizierung einrichten„.
  3. Geben Sie Ihr Passwort ein und klicken Sie auf „Passwort bestätigen„.
  4. Wählen Sie entweder „Eine App verwenden“ oder „SMS„, je nachdem, welche Methode Sie bevorzugen.
  5. Folgen Sie den Anweisungen, um Ihre App (über einen QR-Code) oder Ihre Telefonnummer zu verknüpfen.
  6. Geben Sie den Code ein, den Sie per SMS oder über die App erhalten haben, und klicken Sie dann auf „Code bestätigen„. Sie können sich jetzt mit 2FA anmelden.

Vergessen Sie nicht, dass Sie so die zweistufige Verifizierung nur für ein Benutzerkonto einrichten können. Wenn Sie dies in Ihrem gesamten Unternehmen tun möchten, stellen Sie sicher, dass alle Ihre Mitarbeiter diese Option aktivieren.

Für Unternehmen, die bereits ein Single Sign On-Protokoll verwenden, kann 2FA auch für zusätzliche Sicherheit genutzt werden.

3. Richten Sie ein System zur Verwaltung des Onboarding und Offboarding von Mitarbeitern ein.

Slack-picture-homepage

Für größere Arbeitgeber besteht eine der größten Herausforderungen darin, den Überblick darüber zu behalten, welche Mitarbeiter Zugriff auf Slack erhalten. Um den unerwünschten Zugriff von Mitarbeitern zu vermeiden, die nicht mehr im Unternehmen sind, und um sicherzustellen, dass neue Mitarbeiter rechtzeitig Zugang zu den Daten erhalten, ist es wichtig, einen dokumentierten Prozess für den Slack-Zugang zu haben.

Sorgen Sie dafür, dass jemand in Ihrem Unternehmen dafür verantwortlich ist, den Zugriff auf Slack zu gewähren oder zu verweigern, sobald sich die Belegschaft ändert.

Wenn Arbeitgeber für einen korrekten und aktuellen Zugang zu Slack sorgen, vermeiden sie das Risiko, dass ehemalige Mitarbeiter auf Slack zugreifen und es auf unzulässige Weise nutzen.

4. Trainieren Sie Benutzer in den besten Praktiken von Slack

Unternehmen, die Slack für die Zusammenarbeit nutzen, sollten sich Zeit nehmen, um sicherzustellen, dass alle Mitarbeiter die Richtlinien des Unternehmens zur Nutzung von Slack verstehen. Sie können diesen Prozess rationalisieren, indem Sie die E-Mail-Sicherheitsrichtlinien Ihres Unternehmens auf Slack anwenden.

Dazu reicht es jedoch nicht aus, die Richtlinien irgendwo aufzuschreiben. Unternehmen sollten Slack-Schulungen in den Einführungsprozess der Mitarbeiter anbieten. Sie sollten auch regelmäßig Auffrischungskurse anbieten, um sicherzustellen, dass die Informationen im Gedächtnis bleiben.

5. Nutzen Sie Kanäle, um den Zugriff externer Benutzer zu verwalten

Wenn Sie mit Kunden oder Händlern auf Slack zusammenarbeiten, schränken Sie den breiten Zugriff auf Unternehmensinformationen ein, indem Sie Kanäle erstellen. Mit Slack Connect können Sie sie einladen und die Informationen kontrollieren, auf die sie zugreifen können.

Achten Sie darauf, dass Sie genau wissen, auf welche privaten und öffentlichen Kanäle Außenstehende Zugriff haben. Wenn das Projekt abgeschlossen ist, löschen Sie den Kanal, und der externe Zugriff verschwindet.

6. Seien Sie vorsichtig bei der Integration von Drittanbieter-Apps

Slack bietet zahlreiche Apps zur Integration an, darunter Google Drive und Dropbox. Dieser Komfort birgt zusätzliche Risiken. Mit jeder App eines Drittanbieters, die mit Slack verbunden ist, erhöht sich das Potenzial für Sicherheitslücken. Slack ist nur so sicher wie die Sicherheit der am schwächsten verknüpften App.

Auch wenn die beliebtesten Integrationen im Allgemeinen sicher sind, ist es ratsam, solche Verbindungen auf ein Minimum zu beschränken. Nur Administratoren sollten solche Integrationen genehmigen. Dies verhindert, dass Mitarbeiter eigenständig riskante Drittanbieter-Apps hinzufügen können.

7. Hüten Sie sich vor Phishing-Versuchen

Ähnlich wie E-Mail ist auch Slack nicht immun gegen Phishing-Angriffe. 2017 verschickten Hacker gefälschte Slackbot-Nachrichten an eine Gruppe von Kryptowährungsfans auf Slack. Diese Nachrichten leiteten sie zu einer gefälschten Website weiter, auf der sie um finanzielle Informationen gebeten wurden. Auch direkte Slack-Nachrichten sind eine beliebte Phishing-Methode, um unvorsichtige Slack-Nutzer zu erreichen.

Die meisten Menschen wissen, wie sie Phishing-Versuche erkennen können, die in ihrem E-Mail-Posteingang landen, aber gefährliche Direktnachrichten, die sie über neuere Technologien wie Slack erhalten, lassen sie weniger misstrauisch werden. Die Hacker nutzen diese niedrigere Verdachtsschwelle aus, um ahnungslose Anwender dazu zu bringen, vertrauliche Informationen preiszugeben. Wenn Sie die Tricks kennen, die beim Phishing häufig verwendet werden, können Sie das Risiko bereits verringern.

8. Verwenden Sie ein gutes Antivirenprogramm

Wann immer Sie online gehen, besteht das Risiko, dass Ihr Gerät mit Malware infiziert wird. Das gilt auch für Slack. Es ist viel zu einfach, versehentlich auf einen dubiosen Link zu klicken oder einen dubiosen Anhang zu öffnen. Wenn dies geschieht, ist die Wahrscheinlichkeit groß, dass bösartige Inhalte auf einem einzelnen Computer oder einem unternehmensweiten Server landen. Ein solider Virenschutz identifiziert diese Bedrohungen schnell und beseitigt sie, bevor sie zu größeren Problemen führen.

Um mehr darüber zu erfahren, wie ein Antivirenprogramm Ihnen dabei helfen kann, online sicherer zu sein, und um ein Programm zu finden, das für Sie geeignet ist, lesen Sie unsere Empfehlungen für die beste Antiviren-Software des Jahres 2021.

Fazit

Slack ist ein äußerst beliebtes Tool für die sofortige Kommunikation und Zusammenarbeit. Allerdings sind die Vorteile von Slack auch mit Sicherheitsrisiken verbunden.

Für Unternehmen und Einzelpersonen, die Slack nutzen, ist es wichtig, auf die Sicherheitsbedrohungen zu achten und Maßnahmen zu ergreifen, um diese zu minimieren. Versenden Sie keine vertraulichen Informationen über Slack. Verwenden Sie die Zwei-Faktor-Authentifizierung für eine zusätzliche Sicherheit beim Login. Kontrollieren Sie genau, wer Zugang zu Slack hat.

Diese grundlegenden Sicherheitsmaßnahmen, kombiniert mit den strengen Sicherheitsprotokollen von Slack, machen Slack sicher und zu einem effizienten Mittel der Zusammenarbeit und Kommunikation.

Ist Slack sicher? Häufig gestellte Fragen

Möchten Sie mehr über Slack und dessen Sicherheit erfahren? Schauen Sie sich unsere FAQ unten an. Wenn Sie eine Frage haben, die hier nicht beantwortet wurde, schreiben Sie einen Kommentar und wir werden uns so schnell wie möglich bei Ihnen melden.

Slack arbeitet mit Sicherheitsmaßnahmen auf Unternehmensniveau, um die Integrität der gesendeten und gespeicherten Daten zu schützen. Slack ist außerdem FINRA- und HIPAA-konform und besitzt ein zuverlässiges GDPR-Compliance-Programm. Dennoch ist jeder Cloud-basierte Softwaredienst anfällig für Cyberangriffe, und Slack ist davon nicht ausgenommen.

Anwender können zusätzliche Maßnahmen ergreifen, um ihre Daten zu schützen, z. B. eine Zwei-Faktor-Authentifizierung verwenden, keine vertraulichen Informationen über Slack-Nachrichten versenden und sich vor möglichen Phishing-Versuchen, die über Slack gesendet werden, in Acht nehmen.

Ob Ihr Chef oder die Personalabteilung Ihre direkten Slack-Nachrichten sehen kann, hängt davon ab, wie sie Slack eingerichtet haben. Es ist generell eine gute Methode, nichts schriftlich zu verfassen, von dem Sie nicht möchten, dass es veröffentlicht wird.

Lesen Sie unseren vollständigen Artikel, um zu erfahren, wie Sie ganz einfach überprüfen können, was Ihr Unternehmen auf Slack überwacht.

Nein, Slack verwendet keine Ende-zu-Ende-Verschlüsselung. Es verschlüsselt Ihre Daten zwar während der Übertragung und im Ruhezustand, aber nur, um die Informationen vor äußeren Kräften zu schützen. Eine Ende-zu-Ende-Verschlüsselung würde bedeuten, dass niemand außer dem Absender und dem Empfänger auf die Inhalte zugreifen kann. Auf Slack können Arbeitgeber und Administratoren ihre Mitarbeiter überwachen. Mit anderen Worten: Bei Slack können Sie nicht sicher sein, dass Ihr Chef Ihre Nachrichten nicht mitliest.

Seit Juli 2021 ist Salesforce Eigentümer von Slack und hat es in die Salesforce Suite von Unternehmenssoftware integriert. Salesforce ist ein Tool für das Management von Kundenbeziehungen, das auch andere ergänzende Anwendungen wie Kundenservice, Marketing-Automatisierung, Analysen und Anwendungsentwicklung anbietet. Der Hauptsitz von Salesforce befindet sich in San Francisco, Kalifornien.

International security coordinator
Marko has a Bachelor's degree in Computer and Information Sciences. He coordinates and manages VPNOverview.com's team of international VPN researchers and writers.