Why is sharing passwords or API keys in Slack or Teams dangerous?

Chat messages in platforms like Slack and Teams are stored in plaintext on company servers, often retained indefinitely, and searchable by anyone with workspace access. A single compromised account can search message history for terms like "password," "API key," or "credentials" and harvest every secret ever shared. Use a dedicated secrets manager like 1Password, HashiCorp Vault, or AWS Secrets Manager instead.

How can you tell if a colleague's messaging account has been compromised?

Warning signs include unusual message timing (middle of the night in their timezone), requests for credentials or sensitive files that are out of character, links to unfamiliar domains, and messages that feel off in tone or language. Compromised accounts often send urgent requests to bypass normal verification steps. If something seems unusual, verify through a different communication channel, like calling the person directly, before responding to any requests.

Sichere Messaging-Praktiken

Stop sensitive data from leaking through chat apps.

What Is Sichere Messaging-Praktiken?

Messaging-Tools am Arbeitsplatz wie Slack und Teams fühlen sich ungezwungen und privat an, und genau aus diesem Grund teilen Mitarbeiter dort Dinge, die sie niemals in eine E-Mail schreiben würden. Diese Übung beginnt mit einem Chat-Thread, in den ein Kollege ein Datenbankkennwort einfügt, um „Zeit zu sparen“. Ein weiterer Thread enthält die persönlichen Daten eines Kunden, die zur Behebung eines Support-Tickets weitergegeben wurden. Eine dritte Nachricht enthält ein Foto eines physischen Whiteboards mit Projektdetails, das in einem öffentlichen Kanal gepostet wurde. Sie beurteilen jede Situation, stellen fest, was schief gelaufen ist, und üben die richtige Art und Weise, vertrauliche Informationen weiterzugeben, wenn Nachrichten die einzige verfügbare Option sind. Die Simulation stellt außerdem ein Szenario vor, in dem ein externer Angreifer das Messaging-Konto eines Kollegen kompromittiert und es nutzt, um scheinbar routinemäßige Dateien anzufordern. Sie bewerten, ob die Anfrage im Kontext sinnvoll ist, und entscheiden, wie die Identität des Absenders überprüft wird. Die Übung verdeutlicht einen einfachen Punkt: Unternehmens-Messaging-Plattformen sind in Gerichtsverfahren auffindbar, unterliegen Richtlinien zur Datenaufbewahrung und werden auf Servern gesichert, die Sie nicht kontrollieren. Behandle sie entsprechend.

What You'll Learn in Sichere Messaging-Praktiken

Identifizieren Sie Kategorien von Informationen, die niemals über Messaging-Plattformen am Arbeitsplatz weitergegeben werden sollten
Nutzen Sie sichere Alternativen zum Teilen von Anmeldeinformationen, Token und anderen Geheimnissen, wenn die Zusammenarbeit dies erfordert
Erkennen Sie, wenn ein Messaging-Konto aufgrund ungewöhnlicher Anfragen oder Verhaltensänderungen gefährdet sein könnte
Sorgen Sie für ein Bewusstsein für die Kanalsichtbarkeit, indem Sie zwischen öffentlichen, privaten und nach außen gerichteten Kanälen unterscheiden
Machen Sie sich bewusst, dass Unternehmensnachrichteninhalte einer rechtlichen Offenlegung, Aufbewahrungsrichtlinien und einer administrativen Überprüfung unterliegen

Sichere Messaging-Praktiken — Training Steps

Ein Routine-Freitag

Es ist Freitagnachmittag. Sie schließen die Woche ab, als eine E-Mail von einem zufriedenen Kunden eintrifft.
Eine Nachricht von Marcus

Auf Alices Telefon summt eine Telegram-Benachrichtigung von Marcus Webb, einem Kollegen im Kundenservice-Team.
Nachschlagen der Kundendatei

Marcus scheint in Eile zu sein. Alice ruft den Kundendatensatz von Eleanor Patterson auf ihrem Desktop auf, um die Kontonummer zu finden, die er benötigt.
Teilen der Kontonummer

Eleanors Kontonummer und andere Details werden direkt auf dem Bildschirm angezeigt. Alice wechselt zurück zu Telegram, um Marcus die Informationen zu senden.
Nur noch ein Detail

Marcus fragt jetzt nach Eleanors Sozialversicherungsnummer. Es fühlt sich an, als würde man viel über Telegram teilen, aber das Portal ist nicht verfügbar und er muss diese Rückerstattung vor Geschäftsschluss abwickeln.
Was ist schief gelaufen?

Nehmen Sie sich einen Moment Zeit, um über das Gespräch vom Freitag nachzudenken.
Ein Schock am Montagmorgen

Alice kommt am Montagmorgen zur Arbeit und findet eine beunruhigende E-Mail von Marcus Webb.
Die Punkte verbinden

Alice verspürt eine Welle der Angst. Sie teilte Eleanor Pattersons Kontonummer UND Sozialversicherungsnummer mit jemandem, der vorgab, Marcus zu sein. Diese Daten befinden sich nun in den Händen eines Angreifers.
Aufruf zur IT-Sicherheit

Alice greift sofort zum Telefon. Sie muss melden, was passiert ist, damit das Sicherheitsteam handeln kann, bevor der Angreifer Eleanors Daten verwendet.
Zugriff auf das Sicherheitsportal

Die IT-Sicherheit bittet Alice, einen formellen Vorfallbericht über das Sicherheitsportal einzureichen, damit das Reaktionsteam sofort mit der Untersuchung beginnen kann.

What Is Sichere Messaging-Praktiken?

What You'll Learn in Sichere Messaging-Praktiken

Sichere Messaging-Praktiken — Training Steps

Ein Routine-Freitag

Eine Nachricht von Marcus

Nachschlagen der Kundendatei

Teilen der Kontonummer

Nur noch ein Detail

Was ist schief gelaufen?

Ein Schock am Montagmorgen

Die Punkte verbinden

Aufruf zur IT-Sicherheit

Zugriff auf das Sicherheitsportal