Laut Medienberichten wurden Daten von hunderten von großen Unternehmen und tausenden von kleinen Unternehmen über Trello geleaked. Allerdings war es im herkömmlichen Sinne des Wortes gar kein Leak – die betroffenen Unternehmen benutzten Trello schon seit Jahren, ohne sich etwas Zeit für die Datenschutzeinstellungen zu nehmen und das aktuelle Theater begann, als einige Forscher diese Daten veröffentlichten.
Das Thema ist auch nicht neu – alle paar Jahre gerät das eine oder andere Unternehmen in die Schlagzeilen, weil es wichtige Informationen öffentlich zugänglich auf Trello gespeichert hat. Der Forscher Kushagra Pathak versuchte vor drei Jahren mithilfe der Medien auf dieses Thema aufmerksam zu machen. Leider werden solche Warnungen in der Regel in kürzester Zeit wieder ignoriert.
Welche Daten geleaked wurden und warum
In Trello benutzen Projektteams sogenannte Boards zur Zusammenarbeit. Die Boards sind standardmäßig privat, d. h. nur die Teammitglieder können die Boards sehen. Wenn allerdings auch jemand Zugriff auf das Board erhalten soll, der nicht zum Team gehört, dann wird das Board auf öffentlich gestellt. Letztere können durch Suchmaschinen wie Google gefunden und indiziert werden und jeder Benutzer kann über einen direkten Link auf das Board zugreifen. Die Zugriffsberechtigungen werden für jedes Board individuell eingestellt.
Mit einer gut formulierten Suchanfrage können viele öffentlich zugängliche Boards von diversen Unternehmen gefunden werden. Darunter sogar Anmeldedaten, gescannte Dokumente und vertrauliche Geschäftsbesprechungen, die von verschiedenen Forschern gefunden und veröffentlicht wurden.
Unbefugter Zugriff auf Unternehmensdaten in einem Trello-Workspace kann auch dann problematisch werden, wenn dort keine vertraulichen Dokumente und Passwörter gespeichert werden. Angreifer können Geschäftsinformationen anwenden, um die Social-Engineering-Angriffe glaubhafter zu gestalten. Beispielsweise kann bei der E-Mail-Kommunikation mit einem Mitarbeiter die Wachsamkeit der betroffenen Person gesenkt werden, indem Details eines laufenden Projekts angegeben werden.
Trello für effektiven Informationsschutz richtig einstellen
Mit nur zwei Änderungen in den Einstellungen werden Suchmaschinen daran gehindert Daten im entsprechenden Trello-Workspace zu indexieren. Dabei spielt die Sichtbarkeit jedes einzelnen Boards eine wichtigere Rolle, als die Workspace-Sichtbarkeit.
Die Workspaces verfügen über zwei Sichtbarkeitseinstellungen: privat und öffentlich. Die empfehlenswerte Auswahl liegt klar auf der Hand.
Bei den Boards stehen mehr Auswahlmöglichkeiten zur Verfügung: privat (nur Board-Mitglieder haben Zugang), Workspace (alle Workspace-Mitglieder haben Zugang), Organisation (alle Mitarbeiter haben Zugang – diese Option ist Enterprise-Kunden vorbehalten) und öffentlich (alle haben Zugang). Auf der aktuellen Benutzeroberfläche von Trello ist eine deutliche Erklärung zu den Sichtbarkeitsoptionen zu finden und es wird darauf hingewiesen, dass Webcrawler nur Zugriff auf öffentlich zugängliche Boards haben. Dementsprechend hätte jegliche Auswahl, abgesehen von öffentlich, den Vorfall verhindert, der fälschlicherweise als Datenleck bezeichnet wird.
Unserer Ansicht nach, sollte der Zugriff auf arbeitsrelevante Informationen grundsätzlich auf ein Minimum an Mitarbeitern beschränkt sein und folglich eignet sich die private Option am besten dafür. Das bedeutet ein bisschen mehr Arbeitsaufwand – jemand muss die Verwaltung der Zugriffsberechtigungen übernehmen – aber dadurch wird die Integrität der Informationen gewährleistet.
Einstellungen für sichere Zusammenarbeit
Damit Informationen nicht ungewollt an die Öffentlichkeit gelangen, ist es wichtig die Sichtbarkeit der Trello-Boards richtig einzustellen. Beachten Sie zudem auch folgende Sicherheitsmaßnahmen:
- Führen Sie sorgfältig eine Liste mit den Benutzern, die Zugriff auf die jeweiligen Workspaces und Boards in Trello haben. Verlässt jemand das Projekt, Team oder Unternehmen, dann sollten Sie umgehend die Zugangsberechtigungen der entsprechenden Person aufheben.
- Schulen Sie Mitarbeiter in Passwortsicherheit, damit die Wichtigkeit von starken Passwörtern verstanden wird und empfehlen Sie die Aktivierung der Zwei-Faktor-Authentifizierung (2FA) von Trello.
- Versichern Sie sich, dass der für die IT-Sicherheit zuständige Mitarbeiter immer über alle Online-Collaboration-Tools informiert ist, die in Ihrer Organisation verwendet werden und Bescheid weiß, welche Informationen auf diesen Tools und Services gespeichert werden. Diese Informationen sind ausschlaggebend für die Risikobeurteilung und die Erstellung des Bedrohungsmodells.
- Installieren Sie auf jedem Computer eine Sicherheitslösung und denken Sie daran, dass jedes Collaboration-Tool als Kanal für die Verbreitung von Cyberbedrohungen (bösartige Dateien und Links) verwendet werden kann.