Als wir Geoff Belknap, Chief Security Officer bei Slack, das letzte Mal trafen, fragten wir, was ihn nachts wach hält. Die Antwort kam prompt: Das Produkt mit der größten Sicherheit bereitzustellen und die Daten unserer Kundinnen und Kunden zu schützen. „Ich nehme die Dinge, die mich – oder unsere Kundinnen und Kunden – nachts wach halten, und verwandle sie dann in Pläne, Kennzahlen und Zuständigkeiten“, fügte er hinzu.
Und im Sinne unseres anhaltenden Engagements für den Schutz von Kundendaten führen wir daher Slack Enterprise Key Management (Slack EKM) ein – eine Zusatzfunktion für Enterprise Grid, mit der unsere Kundinnen und Kunden ihre eigenen Verschlüsselungs-Codes in Slack verwenden können, um vollständige Transparenz und Kontrolle über ihre Daten zu haben.
Was bedeutet das für unsere besonders sicherheitsbewussten Kundinnen und Kunden? Wir haben Belknap gebeten, uns einen Überblick zu geben.
Slack: Was ist Slack Enterprise Key Management?
Geoff Belknap: Slack verschlüsselt Daten bereits während der Übertragung und im Ruhezustand. Doch die Nutzung von Slack EKM gibt Enterprise Grid-Kundinnen und Kunden die Möglichkeit, zu kontrollieren, welche Inhalte verschlüsselt und entschlüsselt werden können. Slack EKM fügt im Grunde genommen eine zusätzliche Sicherheitsebene hinzu, sodass Kundinnen und Kunden – insbesondere solche in regulierten Branchen – Unterhaltungen, Daten und Dateien in Slack teilen können und gleichzeitig ihre eigenen Anforderungen zur Risikominderung erfüllen.
Es gibt einige Dinge, die Slack EKM einzigartig machen. Unsere Kundinnen und Kunden haben damit die Möglichkeit, ihre eigenen Verschlüsselungs-Codes mitzubringen (die dann im AWS KMS von Amazon verwaltet werden). So profitieren sie zunächst einmal von einem höheren Maß an Kontrolle und Transparenz in Bezug auf ihre vertraulichsten Daten.
Doch eine Sache ist in puncto Einzigartigkeit besonders hervorzuheben: Administratoren können den Zugriff präzise und zielgerichtet widerrufen (z. B. bei einem Vorfall) und müssen so nicht mehr den Zugriff auf das gesamte Produkt entziehen. Mit dieser detaillierten Widerrufsoption ist sichergestellt, dass Teams weiterarbeiten können, während die Administratoren eventuellen Risiken auf den Grund gehen.
Slack: Warum bieten wir Slack EKM an?
GB: In stark regulierten Märkten – wie z. B. Finanzdienstleistungen, Gesundheitswesen und Behörden – kommen Tools für die Zusammenarbeit derzeit noch nicht so häufig zum Einsatz wie in anderen Branchen. Deshalb wollten wir eine Benutzererfahrung anbieten, die auf die speziellen Sicherheitsbedürfnisse in genau diesen Bereichen zugeschnitten ist.
Slack: Was ist das Wichtigste, das unsere Kundinnen und Kunden über Slack EKM wissen müssen?
GB: Unsere Kundinnen und Kunden haben die volle Kontrolle über ihre eigenen Verschlüsselungs-Codes und darüber, wann oder ob sie diese widerrufen möchten. Und neben der Möglichkeit, den Zugriff bis ins kleinste Detail zu steuern, können sie auch sehen, wie ihre Daten genutzt werden. Detaillierten Aktivitäts-Logs kann man genau entnehmen, wann und wo auf die Daten zugegriffen wird, sodass man sofort über Risiken und Anomalien informiert ist.
Slack: Angenommen, ein Kunde oder Administrator widerruft den Zugriff. Wirkt sich das darauf aus, wie andere Leute Slack und die zugehörigen Funktionen nutzen können?
GB: Wir haben Slack EKM entwickelt, um genau dem entgegenzuwirken. Im Gegensatz zu anderen Lösungen lautet die Devise bei unserer Lösung nicht: alles oder nichts. Man kann den Zugriff bei Bedarf auf sehr präzise Weise widerrufen.
Kundinnen und Kunden können den Zugriff auf Daten beispielsweise zu bestimmten Tageszeiten und in bestimmten Channels entziehen. Wenn es also ein Problem gibt, hat man nicht nur die eine Möglichkeit, einen Knopf zu drücken und Slack komplett dicht zu machen, wodurch alle verschiedenen Teams und Abteilungen am Zugriff auf das Tool gehindert werden würden. Natürlich kann man auch diese Entscheidung treffen, aber die Grundidee besteht darin, dass diese Lösung die Sicherung von Daten viel einfacher machen soll, ohne den Zugriff auf Funktionen einzuschränken, auf die alle Mitarbeiter beim Erledigen ihrer täglichen Arbeit angewiesen sind.
Slack: Was können Slack-Kundinnen und Kunden sonst noch tun, um die Sicherheit ihrer Daten zu gewährleisten?
GB: Egal, ob es sich bei einem Unternehmen um eines der größten weltweit handelt oder ob es bloß ein paar Leute sind, die in einem kostenlosen Slack-Workspace zusammenarbeiten – ich denke, es ist wichtig, sich auf das Wesentliche zu besinnen:
- Immer zu wissen, wen man in seinen Slack-Workspace einlädt
- Intelligente Entscheidungen darüber zu treffen, welche Apps man benutzt und wer die Berechtigung hat, Apps hinzuzufügen
- Immer die Zugriffs-Logs von Slack überprüfen, um unangemessenes Verhalten zu identifizieren. So wird man zum Beispiel von Slack benachrichtigt, wenn einer der API-Schlüssel offengelegt wurde. Slack sendet außerdem Mitteilungen, wann sich Benutzer von neuen IP-Adressen aus anmelden. Anhand dieser Informationen kann man seine Benutzer schützen und in Bezug auf Sicherheit die richtigen Entscheidungen treffen.
Slack: Was ist die größte Herausforderung bei der Arbeit als Chief Security Officer von Slack?
GB: Chief Security Officer ist ein harter Job, aber ich habe großes Glück, dass ich diese Rolle bei Slack bekleiden darf. Von der Vorstandsebene abwärts sehen alle die Sicherheit als integralen Bestandteil des Erfolgs von Slack – und des Erfolgs unserer Kundinnen und Kunden.
Super!
Vielen Dank für dein Feedback!
Okay!
Vielen Dank für dein Feedback.
Hoppla! Wir haben gerade Schwierigkeiten. Bitte versuche es später noch einmal!