ADMIN

2024

09

2024-08-29T12:00:00

Collaboration

SCHWERPUNKT

087

Kommunikation

Sicherheit

Videokonferenzen

Sichere Videokonferenzen

Ungebetene Gäste

von Otto Geissler

Veröffentlicht in Ausgabe 09/2024 - SCHWERPUNKT

Datenschutzlücken bei Videokonferenzen sollten nicht nur frühzeitig erkannt werden, sondern es sind auch proaktive Maßnahmen nötig, um diese rechtzeitig zu schließen. Zu den größten Bedrohungen gehören "Zoom-Bombing", Datenlecks und Datenschutzmängel. Was Organisationen tun sollten, um ihre Videokonferenzen - insbesondere im Hinblick auch auf ihre Geschäftspartner - sicherer zu gestalten, beleuchten wir in diesem Artikel.

Videokonferenzen bieten viele Vorteile für Projekt- und Teammitglieder, die remote an verschiedenen Standorten arbeiten und untereinander eng in Kontakt bleiben möchten. So ist es kaum verwunderlich, dass mittlerweile knapp 80 Prozent der Unternehmen Videokonferenzen nutzen, um die Zusammenarbeit im Team zu optimieren. Allerdings wirft eine zunehmende Abhängigkeit von virtuellen Meetings auch Bedenken hinsichtlich der Sicherheit und des Datenschutzes auf. Denn mit dem rasanten Wachstum von Kommunikationsplattformen sind auch die IT-Security-Bedrohungen und der Bedarf an robusten Datenschutzmaßnahmen dramatisch gestiegen.
Phishing und Spoofing
Unsichere Videokonferenzen bergen vielfältige Risiken für Konferenzteilnehmer und Organisationen. Um eine sichere Videokonferenzumgebung einzurichten, ist es wichtig, sich potenzieller Risiken bewusst zu sein. So ermöglichen unzureichende Sicherheitsmaßnahmen unbefugte Zugriffe auf Videokonferenzen und gegebenenfalls persönliche Informationen, sensible Finanzdaten, geistiges Eigentum und vertrauliche Diskussionen. Über anfällige Plattformen können Hacker die Kontrolle erlangen, Besprechungen stören oder auch Daten manipulieren. Schwache Sicherheitsvorkehrungen lassen somit Lauschangriffe zu, wodurch Hacker Gespräche abfangen, mithören oder aufzeichnen.
Die Nutzung unsicherer Plattformen konfrontiert die Teilnehmer mit Malware, Viren oder Schadsoftware, die die Geräte- und Netzwerksicherheit gefährden. Hacker nutzen Videokonferenzen für Phishing-Attacken, indem sie sich als legitime Organisatoren oder Teilnehmer ausgeben und die Teilnehmer dazu verleiten, vertrauliche Daten weiterzugeben oder Malware herunterzuladen.
Videokonferenzen bieten viele Vorteile für Projekt- und Teammitglieder, die remote an verschiedenen Standorten arbeiten und untereinander eng in Kontakt bleiben möchten. So ist es kaum verwunderlich, dass mittlerweile knapp 80 Prozent der Unternehmen Videokonferenzen nutzen, um die Zusammenarbeit im Team zu optimieren. Allerdings wirft eine zunehmende Abhängigkeit von virtuellen Meetings auch Bedenken hinsichtlich der Sicherheit und des Datenschutzes auf. Denn mit dem rasanten Wachstum von Kommunikationsplattformen sind auch die IT-Security-Bedrohungen und der Bedarf an robusten Datenschutzmaßnahmen dramatisch gestiegen.
Phishing und Spoofing
Unsichere Videokonferenzen bergen vielfältige Risiken für Konferenzteilnehmer und Organisationen. Um eine sichere Videokonferenzumgebung einzurichten, ist es wichtig, sich potenzieller Risiken bewusst zu sein. So ermöglichen unzureichende Sicherheitsmaßnahmen unbefugte Zugriffe auf Videokonferenzen und gegebenenfalls persönliche Informationen, sensible Finanzdaten, geistiges Eigentum und vertrauliche Diskussionen. Über anfällige Plattformen können Hacker die Kontrolle erlangen, Besprechungen stören oder auch Daten manipulieren. Schwache Sicherheitsvorkehrungen lassen somit Lauschangriffe zu, wodurch Hacker Gespräche abfangen, mithören oder aufzeichnen.
Die Nutzung unsicherer Plattformen konfrontiert die Teilnehmer mit Malware, Viren oder Schadsoftware, die die Geräte- und Netzwerksicherheit gefährden. Hacker nutzen Videokonferenzen für Phishing-Attacken, indem sie sich als legitime Organisatoren oder Teilnehmer ausgeben und die Teilnehmer dazu verleiten, vertrauliche Daten weiterzugeben oder Malware herunterzuladen.
Per Identitäts-Spoofing geben sich Hacker als andere Personen aus und greifen so auf vertrauliche Besprechungen zu. Und auch mit ungesichert gespeicherten Aufzeichnungen von Besprechungen oder ungesicherten Daten auf Plattformen haben Angreifer ein viel zu leichtes Spiel. Aus unzureichenden Sicherheitsmaßnahmen resultiert nicht selten auch eine Nichteinhaltung von geltenden Datenschutzbestimmungen wie beispielsweise der DSGVO, was rechtliche und finanzielle Konsequenzen nach sich ziehen kann.
Sichere Anmeldung
Die Anmeldung mithilfe von geknackten Passwörtern ist nach wie vor der direkteste Weg für unbefugte Zugriffe eines Hackers auf Videoanrufe. Wenn die Passwörter der User zu einfach oder zu gebräuchlich sind, ist es nur eine Frage der Zeit, bis ein Angreifer die Anmeldeinformationen errät. Aus diesem Grund muss jede sichere Plattform von den Usern verlangen, ausreichend lange und komplexe Passwörter zu erstellen - insbesondere solche mit unterschiedlichen Buchstaben, Zahlen und Sonderzeichen.
Zuverlässige Authentifizierungsmethoden wie die Zwei-Faktor-Authentifizierung (2FA) können Videokonferenzen eine zusätzliche Sicherheitsebene verleihen. Eine 2FA erfordert, dass der User zwei oder mehrere Formen der Authentifizierung bereitstellen muss, beispielsweise ein Passwort und einen Fingerabdruckscan oder einen an ein Telefon gesendeten Bestätigungscode. Für Angreifer wird es dadurch schwieriger, sich einzuhacken, selbst wenn sie das Passwort eines Users knacken.
Schutz durch Verschlüsselung
Der beste Weg, potenzielle Eindringlinge draußen zu halten, ist der Einsatz verschlüsselter Videokonferenzsoftware. Damit lassen sich Daten effektiv chiffrieren, sodass sie für nicht autorisierte User unlesbar sind. Je ausgefeilter die Methoden der Verschlüsselung sind, desto schwieriger ist es, die Daten zu entschlüsseln.
Eine der zuverlässigsten Methoden ist das Secure Real-Time Transport Protocol (SRTP), das sowohl einen zufälligen Verschlüsselungsschlüssel für Medien als auch ein integriertes Mittel zur Authentifizierung ausgetauschter Nachrichten verwendet. Diese Kombination von Ansätzen verhindert, dass Hacker Videos abfangen oder gegebenenfalls verfälschen. SRTP lässt sich durch den Einsatz von Datagram Transport Layer Security (DTLS) noch stärker absichern. Hierbei handelt es sich um ein Protokoll, das Nachrichten mit einer zusätzlichen Verschlüsselung überlagert, die so komplex ist, dass sie nur mit dem Original-Key des Codes zu entschlüsseln ist. Hinzu kommt, dass der Schlüssel nur mit den jeweils anderen Teilnehmern des Videoanrufs geteilt wird. Das heißt, es besteht in diesem Fall keine Verbindung zu einem zentralen Server oder einer zentralen Institution, die möglicherweise anfällig für Hackerangriffe ist.
Die Ende-zu-Ende-Verschlüsselung (E2EE) ist eine sehr robuste Sicherheitsmaßnahme, die den Datenschutz gewährleistet und unbefugte Zugriffe auf vertrauliche Informationen verhindert. Bei E2EE werden die Daten auf dem Gerät eines Absenders ver- und erst auf dem Gerät des Empfängers wieder entschlüsselt. Dies bedeutet, dass der Inhalt auch dann sicher bleibt, wenn die Kommunikationsdaten in die falschen Hände gelangen, da die Schlüssel im Besitz der Teilnehmer selbst sind. E2EE stellt sicher, dass nur autorisierte User die Informationen entschlüsseln können und bietet so einen zusätzlichen Schutz gegen Abhören und Datenschutzverletzungen.
Berechtigungen kontrollieren
Wer veraltete Technologien nutzt, macht sich natürlich ebenfalls anfällig für Hackerangriffe. Im Grunde sind immer Schwachstellen in einem System die Einstiegspunkte für Hacker. Sie tun alles, um Daten, Plattformen oder Ressourcen zu gefährden, einschließlich verschiedener Arten von Identitätsdiebstahl. Daher ist es angezeigt, immer die neuesten Versionen von Software und Videokonferenzanwendungen zu installieren.
Der Einsatz eines Domänenmodells ermöglicht es Organisationen zudem, ihren Mitarbeitern robuste Sicherheitsoptionen und Berechtigungskontrollen zur Verfügung zu stellen. Domänenbasierte Sicherheit ist für die Zugriffsverwaltung (Kontrolle über Teilnahme an Kursen und Besprechungen) entscheidend. Das bedeutet, Teilnehmer einer Onlinekonferenz benötigen die Zustimmung der organisierenden Abteilung. Dies geschieht aus Sicherheitsgründen, da es unerwünschte Anmeldungen verhindert.
WebRTC direkt im Browser
Eine oft unbeachtete Komponente sicherer Webkonferenzen ist WebRTC, ein Open-Source-Framework, das für die direkte Kommunikation in Webbrowsern entwickelt wurde. WebRTC ist nicht nur eine wichtige Komponente für Echtzeit-Medienübertragungen, sondern aufgrund seiner integrierten Sicherheitsprotokolle auch von entscheidender Bedeutung für die Schaffung einer möglichst sicheren Plattform.
Zu den wichtigsten Aspekten von WebRTC gehört die Tatsache, dass die Technologie ohne zusätzliche Plug-ins direkt im Browser ausgeführt wird. Daher wird WebRTC und jede damit verbundenen Videokonferenzsoftware auf die neueste Version aktualisiert, sobald ein User seinen Browser aktualisiert. Dies beschleunigt nicht nur die Installation der neuesten Sicherheitsprotokolle erheblich, sondern trägt auch dazu bei, Hackings im Zusammenhang mit Systemschwachstellen oder Exploits zu verhindern.
Darüber hinaus läuft WebRTC direkt im Browser ohne jedwede Installationen auf Geräten. Somit existiert es getrennt von der digitalen Architektur des jeweiligen Geräts. Das ist aus Sicherheitsgründen von entscheidender Bedeutung, da WebRTC durch dieses Setup nicht von installierten Programmen oder Schwachstellen eines Geräts beeinträchtigt werden kann. Spyware, Viren oder ähnliche Hintertürchen, die Hacker möglicherweise für unrechtmäßige Zugriffe einsetzen, bleiben damit außen vor und haben keine Auswirkungen auf eine WebRTC-basierte Plattform.
Entscheidend ist, dass WebRTC über eine vollständige Ende-zu-Ende-Verschlüsselung über DTLS und SRTP verfügt. Das heißt, dass Webchats mit WebRTC grundsätzlich über eine verschlüsselte Videokonferenzsoftware laufen. WebRTC stellt außerdem direkte Browser-zu-Browser-Verbindungen für Datenübertragungen her, anstatt eine Verbindung zu einem zentralen Server herzustellen. Dies verringert die Gefahr, dass Medien abgefangen werden können, weiter.
Teilnehmer moderieren
Nicht selten kommt es vor, dass Hacker einfach in Webanrufe einbrechen und den Ablauf des Calls stören. Diese Praxis wird gemeinhin als "Zoom-Bombing" bezeichnet. Um solche unliebsamen Zwischenfälle zu verhindern, muss eine sichere Plattform auch über Tools zur Steuerung der Anrufe beziehungsweise zur Beschränkung von Zugriffen auf Konferenzgespräche verfügen.
Eine gängige Sicherheitsmaßnahme besteht darin, für Konferenzen ein Passwort festzulegen, das theoretisch unerwünschte Gäste ausschließt. Aber auch diese Maßnahme kann scheitern: Durch Passwort-Hacks, Systemschwachstellen und unvorhergesehene Sicherheitslücken können ungebetene Gäste an Videoanrufen teilnehmen. Aus diesem Grunde benötigt jedes sichere Videoanrufsystem auch die ultimative Möglichkeit zur Moderation während des Anrufs, um Ordnung und Privatsphäre innerhalb der Konferenz aufrechtzuerhalten. Zu den wichtigsten dieser Moderationsinstrumente gehören:
- Stummschalten der Mikrofone von Nutzern (insbesondere Stummschalten aller oder aller bis auf einen User).
- Deaktivieren des Nutzer-Videos (einschließlich aller für alle oder aller bis auf einen User).
- Blockieren von Bildschirm-Freigabeversuchen.
- Entfernen bestimmter User aus dem Call.
Aufnahmen sicher speichern
Eine Möglichkeit, Aufzeichnungen von Videokonferenzen vor unbefugtem Zugriff und Diebstahl zu bewahren, ist das sichere Speichern der Aufzeichnungen. Plattformen können Verschlüsselungen und andere Sicherheitsmaßnahmen nutzen, um auf ihren Servern gespeicherte Informationen zu schützen. Beispielsweise sichert Zoom seine Cloud-Aufzeichnungen mithilfe einer AES-Verschlüsselung.
Systeme schützen
Die genannten Sicherheitsmaßnahmen müssen jedoch damit einhergehen, potenzielle und tatsächliche Bedrohungen zu erkennen. Andernfalls besteht keine Möglichkeit, etwaige Systemschwachstellen auszumachen. Dies lässt sich recht einfach bestätigen: Das System muss im Grunde über ein Tool oder eine API zum Protokollieren von Instanzen verfügen, für den Fall, dass darauf zugegriffen wird, was für lokale Techniker leicht zugänglich sein muss. Noch besser wäre es natürlich, wenn das System über ein Instrumentarium verfügt, das die IT-Abteilung automatisch benachrichtigt, wenn einer dieser Einträge unzulässig erscheint oder umfassende Eingriffe erkannt werden.
Ein sicheres Videokonferenz-System sollte außedem in der Lage sein, DDoS-Angriffe (Distributed Denial-of-Service) von vornherein zu verhindern, indem es übermäßigen Datenverkehr von IP-Adressen blockiert. Trotzdem ist es für Admins wichtig, sofort zu erkennen, dass sich ein solcher Angriff gerade ereignet. Denn eine Verzögerung bei der Anzeige oder Meldung dieser Bedrohungen gibt Hackern nur die Möglichkeit, ihren Angriffsplan zu überdenken und mit effektiveren Methoden "zurückzuschlagen".
Integrierte Tools zur Überwachung sind daher unerlässlich. Für eine maximale Effektivität sollten diese Datensätze und statistischen Aufschlüsselungen auch die Art der verschiedenen Zugriffsversuche umfassen. Noch besser ist es, wenn das System durch die Integration von externen Überwachungstools (zum Beispiel Zabbix) unterstützt wird. Es bleibt festzuhalten, dass es ohne Maßnahmen zur Überprüfung von Zugriffsversuchen und erfolgreichen Einbrüchen unmöglich sein wird, die aktuellen Sicherheitsmaßnahmen zu ändern oder zu verbessern.
Tipps für sichere Anrufe
Während Videoanrufen gilt es eine Reihe von Gefahrenquellen zu meiden:Verdächtige Anrufer sofort entfernenSofern Sie kein breites und offenes Forum betreiben, sollten unbekannte User nicht an Videoanrufen teilnehmen. Um zu verhindern, dass sie das Gespräch stören oder vertrauliche Informationen mithören, müssen Sie diese sofort entfernen.Verdächtige Links im Chat vermeidenViele Hacker platzieren URLs im Chat, um dort Chaos anzurichten, selbst nachdem sie bereits entfernt wurden. Da solche Links User immer zu Spam- oder infizierten Websites weiterleiten, sollten Sie die User anweisen, nicht daraufzuklicken, oder diese Nachrichten gleich ganz zu löschen.Video- und Bildschirmfreigaben deaktivierenViele Trolle stören Anrufe zusätzlich durch unpassende beziehungsweise obszöne Bilder. Daher sollten Moderatoren und Gastgeber immer bedenken, dass sie auch Video- oder Bildschirmfreigaben für unerwünschte Gäste deaktivieren können.Konferenzlimits hinzufügenPasswörter oder Benutzerlimits sind eine wirkungsvolle Möglichkeit, um zu verhindern, dass Angreifer überhaupt in Videoanrufen auftauchen. Wenn ein breiter Zugang kein Problem darstellt, sollten Sie dies als zusätzliche Sicherheitsmaßnahme in Betracht ziehen.Einstellungen zu "Mikrofon und Video ausschalten"Bei Konferenzen, die für ein breiteres Publikum geöffnet sind, kann die Einstellung der Konferenz, bei der die User zunächst stummgeschaltet und ohne Video verharren, als Notlösung gegen Störungen dienen.Alle stummschaltenSollte sich eine Gruppe von Trollen an einem Call beteiligen, ist es wichtig, sie zum Schweigen zu bringen. Der großzügige Einsatz von "Alles stummschalten"-Funktionen unterstützt Moderatoren dabei, die Ordnung aufrechtzuerhalten.Alternative WebinareVeranstaltungen mit zahlreichen Teilnehmern, aber nur wenigen Rednern lassen sich im Allgemeinen besser als Webinare präsentieren als durch Videokonferenzen. Da in den Webinar-Einstellungen die Beteiligung des Publikums begrenzt ist, trägt dies dazu bei, Störungen auch ohne große Moderation auf ein Minimum zu beschränken.
Mitarbeiter schulen
Obwohl die Technologien standardmäßig mit aktivierter Sicherheit ausgestattet sein sollten, haben gerade Mitarbeiter immer die Möglichkeit, diese Sicherheit zu umgehen. So kann es zu Verstößen durch menschliches Versagen kommen. Aus diesem Grunde ist es neben dem Einsatz effektiver Aktivitäten zur Sicherung von Webkonferenzen von entscheidender Bedeutung, dass die Mitarbeiter jederzeit die wichtigsten und aktuellsten Best Practices für die Sicherheit von Videokonferenzen im Auge behalten. Schulungen sind immer unerlässlich, wenn es um die Sicherheit für Videokonferenzen geht.
Fazit
Im Hinblick auf die zunehmende Bedeutung von Online-Meetings und Remote-Kooperationen sind der Schutz vertraulicher Informationen und die Wahrung der Privatsphäre wichtiger denn je. Die rasanten Weiterentwicklungen der Technologien rund um Kommunikationsplattformen haben zwar zu einem Mehr an Komfort geführt, aber auch berechtigte Bedenken angesichts der IT-Security und des Datenschutzes geweckt.
Eine der wichtigsten Maßnahmen für sichere Videokonferenzen ist das Implementieren robuster Verschlüsselungsprotokolle. Verschlüsselungen stellen sicher, dass die bei Online-Meetings übertragenen Daten sicher und für Unbefugte unzugänglich bleiben.
Durch das Einhalten von Best Practices und Ergreifen proaktiver Maßnahmen gegen Hackerangriffe können Unternehmen die Vorteile sicherer Videokonferenzen nutzen. Die Implementierung sicherer Videokonferenz-Software, die Konfiguration von Datenschutz-Einstellungen und die Befolgung von IT-Security-Tipps tragen zu einer sicheren und geschützten virtuellen Besprechungsumgebung bei.
(dr)