Yammer Security – sind Firmendaten bei Cloud-Services unsicher?

Anfangs sind es eine Handvoll Mitarbeiter, die sich in einem sozialen Netzwerk wie Yammer anmelden. Nach Tagen sind es bereits hundert, nach Wochen sogar über tausend Kollegen und mit zunehmender Nutzung landen immer mehr firmeninterne Informationen unkontrolliert in der Cloud.

Yammer ist weltweit Marktführer, wenn es um ein internes soziales Netzwerk in Unternehmen und Behörden geht. Im DAX nutzen nach meinen Untersuchungen bereits mindestens 50% Yammer, wobei es kritische Sicherheitsaspekte bezüglich Yammer zu beachten gibt.

Ich habe für unser Unternehmen die Security von Yammer untersucht, woraus sich für mich teils gravierende Sicherheitsbedenken ergaben. Innerhalb von wenigen Wochen hatten sich über 1.000 Mitarbeiter aus diversen Abteilungen und Tochtergesellschaften bei diesem externen Dienst angemeldet. Es reicht leider ein erfolgreicher Angriff auf nur einen einzigen Anwender im gesamten Netzwerk, um dieses zu kompromittieren. Ein Problem für die Mitarbeiter ist auch, dass es sich dem Anschein nach um ein internes Netzwerk handelt, zumal in Einladungen als Absender teils Führungskräfte ausgeweisen werden. Mit wachsender Nutzerzahl stieg so das Risiko, dass unternehmenskritische Daten im Internet laden und deshalb wurde letztlich die Nutzung von Yammer durch unseren Vorstand verboten.

Die hier angesprochenen Sicherheitsprobleme existierten im Juli 2011 und wurden eventuell mittlerweile behoben. Generell kann leider nie ausgeschlossen werden, dass in einem Softwareprodukt oder Cloud-Service keinerlei Design- oder Implementierungsfehler existieren, die ggf. die Sicherheit negativ beeinflussen (http://goo.gl/M7KkY). Daher betreffen derartige Sicherheitsprobleme nicht nur im speziellen Yammer, sondern jegliche Software und Datenspeicherung in der Cloud.

Zunächst habe ich die API von Yammer zur Erstellung detailierter Statistiken genutzt. Ergebnis war unter anderem, dass doppelt so viel Männer wie Frauen angemeldet waren und Männer mit durchschnittlich vier Nachrichten auch doppelt so viel schreiben. Rechtlich sind derartige mitarbeiterbezogene Auswertung in Deutschland meist üben den Betriebsrat verboten, dessen Erstellung aber von Yammer nicht verhindert werden kann. Aus dem Betriebsrat erfuhr ich, dass bereits ein Mitarbeiter von seiner Führungskraft mit dessen Yammer-Nutzung konfrontiert wurde. Ohne eine entsprechende Betriebsvereinbarung riskieren Mitarbeiter eine Abmahnung oder gar eine fristlose Kündigung (http://goo.gl/xb3Cz, http://goo.gl/zVRyT).

Über die Yammer-API können auch Apps von Dritten bereitgestellt werden. Unter Googles AppEngine habe ich exemplarisch eine solche Anwendung für Yammer betrieben, um darüber die Möglichkeit von Man-in-the-middle-Angriffen zu eruieren. Anfangs war zunächst die Nutzung von 3rd Party Apps für unsere Domain nicht deaktiviert, was dann später über den Support von Yammer schlussendlich noch erfolgte. Bei einer 3rd Party App erhält ein (unbekannter) Dritter von einem Anwender den Zugriff auf Yammer über ein Security-Token und kann darüber alle Mitglieder sowie Nachrichten auslesen. Man kennt solche Drittanwendungen in Form von alternativen Clients z.B. für Smartphones bei Twitter, Facebook & Co. Möglich wäre, dass Anbieter solcher Apps ausschliesslich zum Zweck des Datendiebstahls betreiben könnten oder bereits betreiben.

Der offizielle Desktop-Client von Yammer speichert ein Zugangstoken quasi im Klartext auf der Festplatte in der Datei userSettings.sol im Verzeichnis C:\Dokumente und Einstellungen\<userid>\Anwendungsdaten\Yammer\Local Store#sharedobjects\YammerDesktopApp.html\. Der Client basiert auf dem Framework Adobe AIR, welches persistente Daten lokal im Flash Local Shared Object Format (SOL) speichert. Nach kurzer Recherche bei Google existieren scheinbar bereits Trojaner, die darauf spezialisiert sind derartige SOL-Dateien und damit Sessions vom PC zu klauen. Da Unternehmen keinen Einfluss auf die Sicherheit der privaten Mitarbeiter-PC haben, kann nicht ausgeschlossen werden, dass über von Mitarbeitern gestohlene SOL-Dateien das Netzwerk kompromittiert wird. Ähnliches gilt prinzipiell auch für Smartphones, für die es in Zukunft auch Trojaner geben könnte.

Bei Yammer und viele andere Internetdienste können u.U. Logins über Suchmaschinen-Hacking gefunden werden (http://goo.gl/hRDkN). So hat Google z.B. Freischaltlinks (http://goo.gl/a9Zwb) für Accounts aus fremden Yammer-Netzwerken indeziert. Vermutlich funktionieren einige dieser Links noch, obwohl sie laut Google bereits mehrere Monate alt sind. Im Freischaltprozess von Yammer gibt es keinerlei Legitimation per Passwort / Freischaltcode, weshalb Angreifer möglicherweise unbemerkt dem Netzwerk einer fremden Domain beitreten könnten. Derartige Sicherheitsprobleme gäbe es nicht, wenn das Caching über den HTTP Header sowie über die Meta-Tags deaktiviert würde und zudem die Links einen Timeout von ein paar Stunden sowie ein Freischaltcode hätten. Prinzipiell sollten Nutzer sich nie über Freischaltlinks einloggen können, sondern immer separat zum Login mit UserID und Passwort auffordert werden. Vermutlich werden Freischaltlinks durch Toolbars bzw. Analytics indeziert, welches jede besuchte Webseite an die Suchmaschine meldet.

Die Passbilder in Yammer sind öffentlich zugänglich, d.h. die Bilder der Mitarbeiter sind auch ohne einen Yammeraccount im Internet abrufbar. Beim Upload der Fotos wird der original Dateiname verwendet, welcher teilweise weitere Informationen (z.B. den Vornamen, Nachnamen, Email, Personalnummer,…) enthält. Das Bild kann dann über Suchmaschinen gefunden werden, wenn diese die Datei indeziert hat. Laut AGB und Policy von Yammer sollten Profildaten – wozu imho auch das persönliche Passbild gehört – eigentlich nicht öffentlich sein. Abhilfe würde ein zufälliger Dateiname sowie eine gültige Session für den Abruf schaffen.

In puncto Privacy ist der Einsatz von Google Analytics bei Yammer in Deutschland sehr umstritten (LG Berlin, AZ 23 S 3/07, http://goo.gl/A0sKW). Nach Ansicht von Datenschutzbeauftragten verstößt der Einsatz von derartigen Analysetools gegen deutsches Recht, weil personenbezogene Daten erhoben werden (http://goo.gl/2EpdB, http://goo.gl/6D2Hd). Außerdem kann nicht ausgeschlossen werden, dass über eine derartige Schnittstelle die Inhalt aus Yammer mittels Javascript zwecks Indezierung von Google ausgelesen und gespeichert werden.

Im Zuge des Patriot Act haben die USA offensichtlich Zugriff auf Daten in der Cloud. So berichtet Gordon Frazer (http://goo.gl/C7tdx), der Direktor von Microsoft UK, dass Microsoft als US-Unternehmen bei Bedarf sogar die Daten von europäischen Servern an amerikanische Behörden herausgeben müsse! Hochgeladenen Dateien landen übrigens ohnehin bei Dritten. Yammer nutzt als Dokumentenviewer den externen Dienst Crocodoc. Bei Verwendung der Upload-Funktion hatte ich zufällig Zugriff auf fremde Dokumente, die scheinbar nicht aus unserer Unternehmensdomain stammten! Das Problem bei externen Diensten für Yammer ist, dass sie dabei kaum Einfluss auf dessen Security haben und sich daraus potenziell Schwachstellen ergeben könnten.

Inhalte aus geschlossenen Gruppen könnten über hochgeladene Dateien kompromitiert werden, in die gezielt Scriptprogramme von Mitarbeitern des eigenen Netzwerkes eingebaut wurden. Würden hingegen hochgeladene Dateien unter einer anderen Domainadresse geöffnet, dann könnte kein Cross-site request mit der aktiven Session des Benutzer stattfinden. Derartige Angriffe könnten auch über externe Links und URL-Kürzer getarnt sein, die nur als Zwischenschritt die Session des Kollegen übernehmen und dann im Ergebnis auf eine unbedenkliche Seite umlenken.

Leider gibt es in Yammer die Möglichkeit dauerhaft eingeloggt zu bleiben. Dies ist zwar für den Anwender bequem, aber z.B. im Internetkaffee extrem gefährlich. Wenn Mitarbeiter Yammer an einem fremden PC oder Smartphone mit dauerhaftem Login nutzen, dann müssen sie am Ende die Cookies explizit löschen oder sich ausloggen. Die Wahrscheinlichkeit ist imho eher hoch, dass dies einer von hunderten Anwender im Laufe der Zeit vergißt und dadurch das gesamte Netzwerk kompromittiert könnte.

Beim Cross-Site-Scripting (XSS) könnten Daten von einer fremden Webseite (z.B. einem Blog, einem Shop, einer Videoseite, …) ausgelesen werden, obwohl der Dienst im Browser bereits geschlossen wurde, aber der Login noch gültig ist. Da Unternehmen keinen Einfluss auf die Konfiguration und Aktualität der privaten Mitarbeiter-Browser sowie dessen Trustzones haben, kann nicht ausgeschlossen werden, dass eine XSS-Anfälligkeit bestehen könnte. Auf meinem Notebook mit Internetexplorer 7.0 konnte ich z.B. aus dem Intranet heraus erfolgreich die Daten bei Yammer auslesen, obwohl ich Yammer im Browser nicht mehr geöffnet hatte, weil die Session noch gültig war. Da regelmäßig neue Schwachstellen bei Browsern gemeldet werden, kann ein erfolgreicher XSS-Angriff vermutlich dauerhaft nicht ausgeschlossen werden.

Zu guter Letzt gibt es bei Yammer noch einen Proxy, der Phishing unter einer Yammer-Domain inklusive SSL-Zertifikat ermöglicht. Der unbedarfte Besucher denkt, dass er sich auf einer offiziellen Webseite von Yammer befindet, was sogar ein Zertifikat bestätigt und gibt wohlmöglich seine Logindaten ein. Wenn überhaupt, dann sollte ein derartiger Proxy nur über eine andere Domainadresse betrieben werden.

Fazit: Der Einsatz von unternehmensinternen sozialen Netzwerken ist sinnvoll (siehe u.a. Fallstudie von Capgemini – http://goo.gl/fohfy), sollte aber meiner Meinung nach wegen möglicher Sicherheitsprobleme nicht bei einem externen Cloud-Dienst (siehe u.a. Erfahrungen von Siemens – http://goo.gl/q7NCX), sondern inhouse gehostet werden. Da ein Unternehmen keinen Einfluss auf die Sicherheit von privaten Computern und Smartphones der Mitarbeiter hat, sollten interne Webseiten / Dienste nicht extern erreichbar sein oder zumindest nur per Cisco VPN Client. Deutsche Unternehmen und Behörden sollten sich generell sehr gut überlegen, ob sie ihre internen Daten und Kommunikation einem amerikanischen Hoster bzw. der Cloud anvertrauen möchten (http://goo.gl/a3Yq7), unabhängig von einer etwaigen Selbst-Zertifizierung des Anbieters nach dem Safe Harbor-Abkommen (http://goo.gl/2SesE).

2 Responses to Yammer Security – sind Firmendaten bei Cloud-Services unsicher?

  1. Max sagt:

    Yammer muss bestimmt auch die Daten von europäischen und asiatischen Firmen an US-Geheimdienste rausgeben. Da können die Firmen ja gleich der Konkurrenz alle Geschäftsgeheimnisse auf CD schicken. Mich wundert bald nichts mehr.

  2. Norbert Zach sagt:

    Yammer, so wie ich es verstehe, baut externe Netzwerke zu Unternehmen auf oder laesst diese ueber einzelne Mitarbeiter entstehen welche sich unabhaengig bei yammer mit ihrer Firmenadresse registrieren. Diese Netzwerke welche jeweils durch deren Domaene gekennzeichnet sind und diese Netzwerke als solche, selbst wenn von den jeweiligen Netzwerkadministrierenden Unternehmen betrieben, stehen in keinem rechtlichen Zusammenhang in Bezug auf das Arbeitsverhaeltnis zwischen Mitarbeiter und Unternehmen und der damit einhergehenden Gesetzlichen Umgebung zu den Mitarbeitern (usern) welche in welcher Form auch immer auf dem Netzwerk (privat) agieren. Yammer sammelt (woertlich ohne jegliche Limitierung) die Daten der Mitarbeiter um diese im Anschluss an das jeweilige netzwerkbetreibende Unternehmen bzw. die autorisierten Netzwerkadministratoren des jeweiligen Unternehms oder an Dritte zu verkaufen. Hierbei ist keine separate Einwilligung des Users noetig. Ebenso ist zu bedenken ist, das die Daten welche Yammer sammelt in den USA (Kalifornien) gespeichert werden, und daher deren Prozessierung nach US amerikanischem Recht erfolgt.
    Die Urheber dieser Daten (Die Mitarbeiter\ User) treten freiwillig bei der registrierung jegliche Copyright Rechte ab und willigen auch dazu ein das saemtliche Daten welche aus ihrem
    Useraccount „entstehen“ verkauft, verarbeitet oder in sonstiger Form nach U.S. Recht weiter gegeben werden koennen und selbst nach kuendigung des jeweiligen User accounts die Daten gespeichert bleiben und auch dann noch auf unbestimmte Zeit verkauft, verarbeitet oder in sonstiger Form weitergegeben werden koennen.

    Um Mitarbeiter\ User dazu zu bewegen moeglichst wertvolle Daten von sich preiszugeben (dies muss auf freiwilliger Basis passieren) bietet Yammer den Usern den „service“ einer Userfreundlichen Plattform welche getrost als Facebook Clone bezeichnet werden darf, hier wird regelrecht dazu eingeladen moeglichst viele persoenliche Daten freiwillig anzugeben, beginnend bei den Persoenlichen Interessen des Users, ueber dessen Vergangenheit oder aber parallel gefuehrte social network IDs, Telefonnummer oder verbindungen zu anderen Usern.
    Yammer agiert hierbei als „passiver Aufbewahrer“ der Daten und bietet dem Unternehmen fuer welches die Mitarbeiter arbeiten die entsprechnden Daten plus entsprechender Tools fuer deren Kontrolle zum Kauf an.
    Yammer bietet den Usern auch an, deren Daten ueber verschiedenste Apps fuer Mobilfunkgeraete und auch private Computer (Desktop Apps) preiszugeben. Dies halte ich persoenlich fuer besondern bedenklich.

    Yammer uebernimmt weder gegenueber dem User, als auch gegenueber dem netzwerkbetreibendem Unternehmen irgendeine Garantie auf die Sicherheit der Daten.

    Meiner persoenlichen Meinung nach, laesst die Art und Weise wie Mitarbeitern eine Anmeldung an diesem Netzwerk nahegelegt wird, nur den Schluss zu das Mitarbeitern ganz bewusst ein Gefuehl von Sicherheit uebermittelt werden soll, mit dem Ziel an deren persoenliche Daten zu kommen. Jeder Mitarbeiter gibt alle Daten freiwilig von sich preis, aber sind sich die Mitarbeiter darueber wirklich bewusst ? Wird hier vielleicht bewusst die Notwendigkeit eines Unternehmensuebergreifenden „social private network“ diskutiert damit das Unternehmen ueber einen legalen Weg quasi eine Art Hintertuer zu Informationen kommt, welche das Unternehmen auf direktem legalem Wege nicht bekommen koennte ?

    Aus einer rationellen Sichtweise ist die Verwendung von Yammer als „Unternehmensplattform“ nicht nachvollziehbar.

    Hier meine Argumente:

    – Die Daten befinden sich auf U.S. Servern und unterliegem der U.S. Gesetzgebung
    – Private und Firmendaten werden vermengt
    – Die Verarbeitung ist undurchsichtig
    – Yammer uebernimmt keine Garantie fuer deren Verfuegbarkeit
    – Bzw. keine Garantie fuer Missbrauch und dem daraus entstehendem Schaden
    – Daten eines Mitarbeiters bleiben auch nach der Arbeit beim Unternehmen gespeichert und koennen nicht geloescht werden.
    – Bei etwaigem Missbrauch des Netzwerkes durch User hat das Unternehmen keine Rechtliche Grundlage Mitarbeiter direkt zu belangen, da der Mitarbeiter nur mit Yammer in einem Verhaeltnis steht.
    – Das Unternehmen kann nicht 100% der MItarbeiter zwingen\ bzw. ueberreden an dem Netzwerk freiwillig teilzunehmen (welchen sinn hat ein Unternehmensuebergreifendes Netzwerk, wenn nicht alle Mitarbeiter integriert sind)
    – Die User Accounts und die Accounts der Netzwerkadministratoren werden nicht vom Unternehmen kontrolliert ueber welches Informationen in diesem Netzwerk verbreitet sind.

    Unter Einbeziehung all dieser Umstaende kann ich persoenlich alleine den Versuch dieses Netzwerk innerhalb eines Unternehmens zu integrieren bei vereinzelten Mitarbeitern, bereits nicht nur als Bedenklich, sondern als akut alarmierend bezeichnen.

    Norbert Zach
    Hiermit aeusserte ich meine Meinung als Privatperson.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: