Microsoft: Slack steht auf interner Verbots-Liste - wie auch anderes

Die jüngsten Erfolge des Business-Messengers Slack brachten auch die wenig überraschende Tatsache ans Licht, dass der Dienst bei Microsoft für die unternehmensinterne Kommunikation nicht besonders gern gesehen ist. Recherchen hierzu führten ... mehr... Microsoft, App, Skype, Kommunikation, Startup, Slack Bildquelle: Slack Microsoft, App, Skype, Kommunikation, Startup, Slack Microsoft, App, Skype, Kommunikation, Startup, Slack Slack

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Mit anderen Worten: "Unternehmen verbietet Anwendungen, die es in internen Richtlinien als unsicher einstuft, doch es existieren Ausnahmen." Wer hätte eine solche Überraschung für möglich gehalten?
 
@danieltapoka: Das ist imho nicht der Punkt. Der Punkt ist: Warum ist Slack unsicher? Weil die Daten über fremde Infrastruktur laufen? Und wie sieht dann der Vergleich zu Microsofts ganzen Cloud-Diensten für fremde Unternehmen aus?
 
@dpazra: Spielt doch in diesem Fall keine Rolle. Wenn ein Unternehmen ein selbst entwickeltes Produkt hat, welches den Anwendungszweck erfüllt, warum sollte man dann das Risiko eingehen und die internen Daten über externe Dienstleister schleusen?! Anders sieht das natürlich als Unternehmen XY aus, welches kein solches Produkt im eigenen Portfolio hat. Das wäre dann auf einen externen Dienstleister angewiesen.
 
@Joyrider: Oh, man muss ein Produkt nicht selbst entwickelt haben, um ihm vertrauen zu können. Man kann schonmal ein deutlich höheres Maß an Vertrauen ansetzen, wenn man ein Produkt selbst hostet und das Produkt öffentlicher Kontrolle ausgesetzt ist.

Z.B. kann man für 13€ einen Root-Server mieten, darauf Matrix, NextCloud (inkl. Kalender), Collabora Office (das ist quasi LibreOffice Online), einen Mailserver und so weiter installieren lassen (alles freie Software) und schon lässt man seine Daten weder über irgendeine Fremdadministrierte Maschine laufen noch über Software, die man nicht überprüfen kann.
 
@dpazra: Klar, kann man machen. Ändert aber nichts daran dass es absolut keinen Grund gibt, ein Fremdprodukt einzusetzen, wenn man etwas sehr ähnliches aus eigenem Hause hat und nutzen kann.

Ansonsten geht jetzt dieser "OpenSource kann jeder prüfen, da sind keine Hintertürchen drin"-Kram wieder los... nee danke, da bin ich raus.
 
@Joyrider: Glaube ich dir, dass du da raus bist, ist natürlich ein unbequemer Gedanke, wenn man gerne proprietäre Software einsetzt.
 
@dpazra: Und einen Admin für 4000€ monatlich. Geht scharf.
 
@eshloraque: Warte mal, du kennst jemand, der mir 4000€/Monat für die einmalig 4 Stunden und ab dann 15 Minuten am Tag zahlt, die ich investiere um diese Kombination zu administrieren? Könntest du hier kurz die Kontaktdaten reinschreiben, ich habe spontanes Interesse an einem Nebenjob.
 
@dpazra: nö, die 4000€ im Monat kriegst du dafür, dass du jegliche Datenlecks und Datenverluste verhinderst. Natürlich stehen in deinem Arbeitsvertrag 8h Normalarbeit, Erreichbarkeit rund um die Uhr und Einsatzbereitschaft innerhalb von 15 Minuten bei Notfall.
 
@dpazra: Was man machen kann und was für das Business wichtig ist sind zwei paar schuhe...toll das Matrix, nextcloud, collabora, libre freie Software sind...kaum ein unternehmen hat die Kompetenzen und Fähigkeiten diese Software zu prüfen, so wie auch bei properitärer Software womit sich die Praxis für diese unternehmen einfach nicht unterscheidet.

Und der root Server für 13€ ist auch nur virtuell, die kiste ist fremdadministriert
 
@eshloraque: Datenlecks und Datenverluste verhindern ist schon ok, jeden Tag Updates und gucken ob irgendetwas relevantes in den LWN Security Updates steht, ist in den 15 Minuten inbegriffen, auf die Statusübersicht der Systemdienste, auf das Auftauchen der Domain in Mailserver Blacklists und auf kritische Lines im Log vom Vortag gucken ebenfalls. Ansonsten ist das in erster Linie eine Frage der Sicherheitspolicies und weniger eine Sache manueller Arbiet.

Das mit den Notfällen rund um die Uhr ist natürlich lästig, allerdings kann ich mich auf Anhieb an keinen Notfall ankündigen, außer den "Notfall" der vorher bekannten Wartungsdowntime im Rechenzentrum.

Ich bin natürlich auch nur für den Server zuständig und dass die Dienste laufen, ich moderiere jetzt nicht die Kanäle im Matrix-Chat-Server und ich lege auch nicht die Useraccounts in Nextcloud, aber ich nehme mal an, dass machen Slack und Microsoft auch nicht für ihre Kunden.

Das größte Problem sehe ich in den 8h Normalarbeit, darauf käme ich nie und nimmer. Die Zertfikate aktualisieren sich von alleine, die Backups machen sich von alleine und die Software aktualisiert sich von alleine. Dass ein Paketupgrade auch nur ein manuelles absegnen einer neuen Konfigurationsdatei erfordert kommt vielleicht einmal in 2 Monaten vor, dass es eine Sicherheitslücke in der benutzten Software gibt, die einen manuellen Workaround (wie letztens die TCP SACK Panic) erfordert, vielleicht einmal in einem halben Jahr. Vielleicht käme ich auf 8h in der ersten Woche in der ich den ganzen Spaß einrichte.

Ich glaube richtig Arbeit hat man mit den ganzen Problemen, die der User mit der Bedienung der Software hat, weniger mit dem Betrieb der Infrastruktur, solange es nur ein Server mit ein paar Diensten ist, aber ich glaube nicht, dass Slack oder ein Exchange-Anbieter mit soetwas umsonst helfen, da wird man auch für seinen Support zahlen müssen.
 
@dpazra: Du redest hier schon von 10-Mann-Klitischen mit 3 PCs, oder? Wenn ja, gebe ich dir recht. Werden es aber mal 100 oder mehr PCs, steigen die Anforderungen expotenziell. Und dann sind wir immernoch nur in Deutschland ... jetzt werden wir mal global ... biste immer noch bei 4000€ dabei?
 
@Bautz: Ok, jetzt kommt es aber drauf an worüber wir im Detail reden. 100 Klienten setzen einen Server mit den oben genannten Diensten nicht unter Volllast, die Anforderungen an die Infrastruktur steigen nicht von 10 auf 100. Der Aufwand für den Enduser-Support steigt vielleicht, aber den kriegt man woanders auch nicht umsonst.

Das ist mein Punkt oben: Es ist nicht so teuer, ein Backend unter eigener Kontrolle für bestimmte Produktivitätsdienste zu haben (Versionskontrolle, Chat-Software, E-Mail-Server, etc.). Das was teuer wird, wird bei eigenem und fremden Backend teurer, aber das ist kein Argument gegen eigene IT-Dienste.
 
@dpazra: Also ernsthaft, ich hoffe jetzt einfach, dass du dein Geld nicht im IT-Sektor verdienst.

Die Anforderungen steigen bei den ersten 5000 Mitarbeitern überproportinal an... Stichworte Redundanzen, Ausfallsicherheit, Zertifizierungen und gesetzliche Vorgaben ... Und ich rede hier nur von Infrastruktur vor dem internen Netz und Clients.
 
@dpazra: Jedes Unternehmen, das eine gewisse Kompetenz im IT-Bereich mitbringt, verfügt über interne Richtlinien dieser Art. Es kann gut sein, dass Microsoft Slack unter realen Bedingungen gar nicht besonders kritisch sieht. Wenn aber nur eine Chance von 0,0001 % besteht, dass ihre Daten eventuell gefährdet sein könnten, wird ein Unternehmen, das 120 Milliarden US-Dollar Umsatz pro Jahr macht, dieses Risiko nicht eingehen.

Bei Microsoft geht es nicht darum, dass mal ein paar Kundendaten verlorengehen könnten. Die ganze Welt (und das ist keine Untertreibung) ist irgendwie mit der Software dieses Konzerns verknotet. Also versuchen sie, jedes noch so kleine Risiko zu umgehen. Ob das Risiko jetzt Slack heißt oder Apple oder Google oder Tante Emmas Bauernladen, spielt gar keine Rolle. Null Toleranz gegenüber möglichen Fehlerquellen - fertig.

Ob das jetzt richtig ist oder nicht, ist wieder eine andere Diskussion.
 
@dpazra: Die direkte Konkurrenzsituation ist hier ein nicht zu unterschätzender Punkt. Sicher ist aber die allgemeine Betriebssicherheit ein Punkt der auch reinspielen könnte
 
@dpazra: Du musst unterscheiden welche Daten Du von wem verarbeiten lässt. Die Planung für das Feierabendbier mit ein paar Kollegen ist recht unwichtig und kann deshalb gerne egal wo verarbeitet werden. Aber Firmengeheimnisse / vertrauliche Daten will man doch lieber schützen. Also lagert man sie lieber nicht bei fremden Firmen. Aber selbst da gibt es natürlich auch Ausnahmen. So werden Finanzdaten zum Beispiel bei Steuerberatern verarbeitet - aber die sind vertraglich gebunden.
 
Aber wieso denn das? Sicherlich hat Slack eine Datenschutzerklärung in der drinsteht, dass alles gut wird und es keinen Grund zur Beunruhigung gibt? Wenn als nächstes noch bekannt wird, dass Microsoft interne Papiere ungern auf Google Drive oder in Google Docs sieht, dann bricht bei mir der Glaube an die schöne neue Cloud-Welt aber komplett zusammen.

Natürlich ist dem Cloud- und Software-As-A-Service-Anbieter Microsoft völlig klar, was die Datenschutzimplikationen von Cloud und Software-As-A-Service: Deine Interna liegen im Zweifel jemand anderem offen und wie er damit umgeht, darüber kann er dir zwar irgendwelche Versprechungen machen (Papier ist geduldig), überprüfen kannst du es im Zweifle aber nicht.

Dem Leser verbleibt als Übungsaufgabe, den Transfer von Microsofts Slack(nicht)nutzung zu seiner eigenen Skype-, Azure, OneDrive oder Office-365-Nutzung zu leisten.
 
MS bestätigt damit doch direkt den Grundsatz nummer 1: Willst du Sicherheit für DEINE Daten, setze nicht auf Dienste und Speicher, die woanders liegen.

Wenn man das in anderen Themen anspricht, dann ist man aber der Verschwörungstheoretiker.
 
@bLu3t0oth: Es verbleibt zu erklären, wie dieser Grundsatz mit der Nutzung von OneDrive, Azure, Office 365, externen Exchange-Anbietern, etc. in Einklang zu bringen ist.
 
@dpazra: Kommt auf das Szenario an
 
@bLu3t0oth: Ok, in welchem Szenario in dem ich Sicherheit für meine Daten haben möchte, kann ich gemeinsame Dokumente mit Office 365 bearbeiten oder auf OneDrive abspeichern oder meine E-Mails bei fremden Exchange-Dienstleistern lagern und dabei deinem Grundsatz zur Sicherheit für meine Daten entsprechen?
 
@dpazra: In dem Szenario in dem du bei MS arbeitest.
Dann muss aber der Exchange auch von MS gehostet sein.

Arbeitest du nicht bei MS, dann sollte der Exchange bei dir seinen Host haben und Onedrive kannst du ausschalten. So fern O365 die Daten nicht extern zwischenspeichert(ich boykottiere dieses ABo-Office generell, daher keine Ahnung), kannst du O365 nutzen, ansonsten auch das nicht.

Alles was du aus der Hand gibst ist grundsätzlich potenziell kompromittiert.
 
@dpazra: Es gäbe auch eine Möglichkeit der "externen" sicheren Nutzung, beim Beispiel Exchange wäre die sinnvollste variante wohl jedeweden Mailverkehr verschlüsselt stattfinden zu lassen...da kann man auch über ein eigenes mailgateway sicherstellen dass im Exchange letztlich nur verschlüsselte mails landen.

Voila, sicherer fremd gehosteter Exchange Server
 
@0711: Damit kannst du den reinen E-Mail-Text schützten. Du kannst gemeinsame Termine, Kommunikationsmuster, die Sichtbarkeit von Beziehungen (wer schreibt wem, wer scheint wichtig zu sein, etc.), die Arbeitszeiten (wann werden erste und letzte E-Mail abgerufen), usw. damit nicht schützen. Desweiteren gibt es solche Schutzmöglichkeiten nicht für z.B. kollaborativ bearbeitete Dokumente (zwei User pfuschen übers Internet in der selben Tabelle herum, z.B.).
 
@dpazra: Was letztlich immer ein Problem bei Mailverkehr ist

Kollab ist jetzt auch nicht direkt die stärke von Exchange...
 
@dpazra: Lol, dreh Deine Frage mal um. In welchem technischen Szenario kannst Du Sicherheit für Deine Daten haben, wenn Du mit anderen gemeinsam Dokumente bearbeiten und abspeichern willst und Emails schicken und dabei Deinem Grundsatz zur Sicherheit für Deine Daten entsprechen?
 
@0711: "Voila, sicherer fremd gehosteter Exchange Server" - Voila, falsch! Du hast das Wichtigste vergessen: die Metadaten. Und gleichzeitig verlierst Du einen Großteil der Funktionität. Exchange ist mehr als ein dummer Mailserver.
 
@Nunk-Junge: Wenn die firmeninternen Dokumente geimansam auf einem Firmenserver bearbeitet werden, dann ist das sicher, weil Keime Daten in fremde Hände gegeben werden. Das gleiche gilt zwischen Firmenmails, wenn der Emailserver von der Firma betrieben wird.
 
@dpazra: Meist arbeitet man als Firma nicht völlig autark und hat gemeinsame "bearbeitungsplattformen", das Dienstleistungsgewerbe brummt nicht umsonst
 
@Nunk-Junge: Metadaten sind viel aber nicht die wichtigsten Daten eines Unternehmens
 
@0711: Metadaten sind viel wichtiger als Du meinst. Sie sagen viel mehr aus als die meisten Dokumente und Mails in einem Unternehmen. Wenn Du alleine siehst, wer wann mit wem kommuniziert (ohne die Inhalte zu lesen), dann erkennst Du wo es gerade brummt - lässt z.B. ein bevorstehendes Release erahnen. Du siehst wer mit wem spricht - lässt neue Entwicklungen erahnen. Das wann zeigt Dir wieviel gearbeitet wird - lässt Personalengpässe und neues Personal erkennen. Alles lässt persönliches Verhalten, Charakter, Leistungsfähigekeit, etc. erahnen. --- Und glaub nicht, dass das nur theoretisch ist. Das sind Dinge die real gemacht werden und die mit unglaublich hoher Zuverlässigkeit funktionieren.
 
@Nunk-Junge: Alles richtig was du schreibst, nur sind und bleiben es nicht die wichtigsten daten eines Unternehmens. Die meisten haben keine Auswirkungen auf das unternehmen selbst, es kann aber vor allem für weitere informationsbeschaffung dienen aber auch für gezielte manipulationsversuche.
 
@dpazra: Das ist eine simple Risikoabschätzung. Das macht jede Firma. So gibt es auch deutsche Firmen, die ihren Mitarbeitern untersagen, dass Firmendaten auf den firmeneigenen Notebooks gespeichert sind, wenn sie in die USA reisen. Bei der US-Einreise werden ab und an Notebooks kontrolliert und von der NSA Daten runterkopiert.
 
@bLu3t0oth: Nein, nur: "Setze nicht auf Dienste und Speicher, die bei der direkten Konkurrenz liegen".
 
Diese Überschriften immer.... Jedem Unternehmen steht es frei, seinen Mitarbeitern Software zur Verfügung zu stellen, Einschränkungen bezüglich selbiger durchzusetzen.unternehmen sind da pragmatischer als der ottonormaluser (fanboy?).
 
@darius_: Japp, sehe da auch kein Problem oder Grund zur Verwunderung drin. Eher völlig normales (und erwartetes) Verhalten eines Unternehmens hinsichtlich IT-Sicherheit. Jede Firma, die nicht völlig neben der Spur ist achtet darauf, welche Software und Dienste von den Mitarbeitern eingesetzt werden. Nur das "wie" ist natürlich unterschiedlich gelöst (strenge Whitelists oder einfach NoGo-Listen und der Rest ist erstmal frei).
 
Die raten von GitHub ab??? und von "cloud-basierten" Diensten ebenfalls???
Das gehört Microsoft! Also wenn jetzt nicht klar ist, dass bei MS einiges schief läuft, dann weiß ich auch nicht...
 
@Zonediver: Ich glaube, du solltest den Text noch mal lesen....
 
@Zonediver: Sie raten zur Vorsicht mit dem public GitHub...vergangene datenlecks darüber lassen einen gewissen sinn hinter diesem rat sehen.
Sie "raten" bzw verbieten konkurrenzdienste...nun warum sollte man im unternehmen auch nicht freigegebene Software nutzen können?
 
@0711: MS ist hier offener als die meisten anderen. Man darf sogar Chrome und Firefox benutzen, und das nicht nur zu Testzwecken.
 
Hmm......und verbietet hier bei uns den Einsatz von O365, Azure Cloud und Skype for Business? Da können keine Informationen abgefangen werden? Hmm...hmm..hmm..hmm.hmm....
 
Diese Ironie. Der ganzen Welt will man cloud Lösungen verlaufen und aufdrängen, aber bei einem selber bleibt man natürlich On-Premise inhouse :)
 
@xxMSIxx: Wo steht denn was von on-prem?! Statt Slack kommt Teams zum Einsatz, eine Cloud-Lösung. Statt Google Docs kommt O365 zum Einsatz, eine Cloud-Lösung. Statt GitHub kommt Azure DevOps Services für Closed Source zum Einsatz, ebenfalls eine Cloud-Lösung. Und alle diese Lösungen laufen in denselben Datenzentren, in denen auch alle anderen Azure Dienste und Kunden laufen.

MS kann nur für die eigenen Dienste besser abschätzen, wie die Daten geschützt sind. On-Prem gibt es da im Grunde nicht mehr. Es gibt nicht mal mehr virtuelle Maschinen, die nicht im regulären Azure-Kontext laufen.
 
@HeadCrash: naja wenn MS die eigene Cloud nutzt, kann man auch onPrem nennen. Eigentlich war das ganze eh sarkastisch gemeint. Dieser ganze Artikel ist totaler Klickbait Sensationsjournalismus. Große Überraschung: Eine Firma will, dass man die vorgegeben Collaborations Tools, die die eigenen IT Architekten für ein abgesicherten Umfeld designed haben, nutzt und keine fremden Tools in fremden clouds. WIE JEDE ANDERE FIRMA DER WELT. Wer das hier als News bezeichnet hat vermutlich nie in einer Bude über 50 Mitarbeitern gearbeitet.

Interessant, dass man überhaupt fremde Cloud Services nutzen kann von Arbeitsclients. Das sollte eigentlich gar nicht gehen, wenn Security seinen Job macht.
 
@xxMSIxx: "Interessant, dass man überhaupt fremde Cloud Services nutzen kann von Arbeitsclients. Das sollte eigentlich gar nicht gehen, wenn Security seinen Job macht."

Das sehe ich anders. Cloud Services sind nicht per se schlecht. In den allermeisten Fällen kann man sogar davon ausgehen, dass eine professional verwaltete Cloud jedem eigenen Rechenzentrum weit überlegen ist. Alleine die Unsummen, die ein Cloud Provider in die Security seiner Systeme steckt überschreiten den Jahresumsatz vieler Unternehmen, die eigene Infrastruktur betreiben bei weitem. Security bedeute nicht, eigenen Server laufen lassen, Firewall dicht machen und gut ist. Das ist ein Mythos, der sich immer noch hält und der dafür sorgt, dass die meisten gar nicht wissen, dass sie schon lange gehackt sind.

Wenn ein Cloud Provider saubereres Design seiner Dienste belegen kann und dann z.B. noch Mechanismen wie "Bring your own Key" unterstützt, sehe ich überhaupt keine Probleme mit Cloud. Die meisten Daten, die auf diesem Planeten verarbeitet werden, sind sowieso nicht schützenswert. Das Dilemma ist nur, dass die meisten bei der Cloud-Diskussion in einen reinen Schwarz-Weiß-Modus schalten und ohne Sinn und Verstand diskutieren.

Ich habe mal ein größeres Wirtschaftsprüfungsunternehmen beraten und dort denkt man noch in "physikalischer Sicherheit". Die Server stehen beim kleinen Provider über die Straße in einem abgeschlossenen Serverraum, zu dem nur das Unternehmen selbst den Schlüssel hatte. Wer noch so über Security denkt, hat im Grunde schon verloren.
 
@HeadCrash: altes Denken in physikalischer Sicherheit hat trotzdem nichts damit zu tun, dass jedes Unternehmen seine eigenen Tools für DMS /Collaboration / Plattform hat. Wenn diese in der Cloud sind, kein Problem. Ich habe nichts generell gegen Cloud Services. Allerdings sollte alles andere abgeriegelt sein. Das man selber unter Kollegen selber irgendwelche fremden Cloud Services nutzt oder nutzen kann, ist für mich ein Fehler. Deshalb gibt es doch die Collab tools. Damit alle auf den selben Plattformen arbeiten. Und diese entsprechend gesichert sind.
 
@xxMSIxx: behindert in vielen unternehmen zu viele arbeitsabläufe, whitelisting von webdiensten ist heute vielfach unpraktikabel und it soll eben Produktion fördern und nicht hemmen
Kommentar abgeben Netiquette beachten!
Einloggen

Microsofts Aktienkurs in Euro

Microsoft Aktienkurs -1 Jahr
Zeitraum: 1 Jahr

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr TP-Link Archer T2U NanoTP-Link Archer T2U Nano
Original Amazon-Preis
14,90
Im Preisvergleich ab
13,38
Blitzangebot-Preis
11,90
Ersparnis zu Amazon 20% oder 3

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles