Suchen

Sicherheit für Web-Konferenzen Lauschangriffe mithilfe richtiger Technik und Architektur unterbinden

Autor / Redakteur: Peer Stemmler / Stephan Augsten

Unternehmen tauschen in Web-Konferenzen sensible Daten aus. Dies setzt ein professionelles Sicherheitskonzept voraus, das bei der Architektur der Lösung beginnt und bis zur Unterstützung der Teilnehmer reicht.

Firma zum Thema

Gersicherte Zusammenarbeit: Web-Collaboration-Plattformen sollten weitestgehend vom Internet abgekoppelt sein.
Gersicherte Zusammenarbeit: Web-Collaboration-Plattformen sollten weitestgehend vom Internet abgekoppelt sein.
( Archiv: Vogel Business Media )

Die Sicherheit des Internet ist ein leidiges Dauerthema. Kein Tag vergeht ohne Neuigkeiten über Phishing-Angriffe, über Datendiebstahl, neue Trojaner, Würmer usw. Für Unternehmen kann diese Problematik schnell über die bloßen Unannehmlichkeiten hinausgehen: Wer etwa sensible Geschäftsdaten, Projektbeschreibungen, Preislisten oder die Beschreibungen von Bauteilen per Internet austauscht, kann sogar in existenzielle Schwierigkeiten kommen.

Entsprechend groß ist der Aufwand, den Unternehmen treiben (müssen), um sich gegen gezielte Angriffe, aber auch gegen die Verluste durch unabsichtlich sorglosen Umgang mit Informationen abzusichern. Diese Herausforderung stellt sich auch bei einer Nutzung des Web, die neuerdings immer mehr Zuspruch findet: der „Web-Collaboration“, also der interaktiven Zusammenarbeit via Internet.

Bildergalerie

Für Unternehmen hat diese neue Arbeitsform den Vorteil, dass sich virtuelle Arbeitsgruppen schnell und flexibel bilden lassen, insbesondere aber unabhängig vom jeweiligen Ort. Die Teilnehmer an solchen Web-Konferenzen können miteinander sprechen, Dokumente austauschen und gemeinsam bearbeiten, und sich bei Bedarf per Webcam sogar sehen. Das geht schneller und ist billiger als eine Geschäftsreise – und man ist garantiert am selben Abend wieder zurück.

Schöne alte Welt

Natürlich werden bei solchen virtuellen Meetings auch kritische Informationen ausgetauscht. Bei einem realen Meeting wird man in diesem Fall die Türe hinter sich schließen – und ab dann müsste ein nicht berechtigter Beobachter zum unbemerkten Mitlauschen einen hohen Aufwand betreiben.

Bei einer Web-Konferenz gehen die Informationen durch das Web und hier ist bekanntlich alles möglich. Wer also wichtige Informationen im Rahmen einer Web-Konferenz austauschen möchte, muss sich mit entsprechenden technischen Vorkehrungen wappnen. Nur so schließt man unerwünschte Zaungäste aus und – was nicht weniger wichtig ist – hinterlässt keine Spuren, aus denen sich die Inhalte rekonstruieren ließen.

Für Unternehmen gilt es dabei die folgenden Aspekte zu beachten:

  • Sicherheit der Architektur
  • Verschlüsselung der Daten
  • Einhaltung von Sicherheits-Standards durch den Anbieter
  • Unterstützung bei der Anwendung der Lösung

Seite 2: Sichere Architektur

Sichere Architektur

Unternehmen, die sich bei einer Web-Konferenz-Lösung für die falsche Architektur entscheiden, sind schon von vorneherein im Nachteil. So laden beispielsweise einige Lösungen die für ein Online-Meeting notwendigen Daten erst auf einen Server.

Darauf können die Teilnehmer während ihrer Konferenz und eventuell im Nachgang zugreifen. Dies gilt allerdings auch für andere – denn die Informationen liegen im öffentlichen Internet und die Gefahr von Datendiebstahl ist hier besonders groß.

Es ist daher unabdingbar, dass diese Daten in Echtzeit zwischen den PCs der Teilnehmer ausgetauscht werden. Dabei fungiert der PC des Gastgebers des Online-Meetings als virtuelle Plattform: der Gastgeber schaltet einfach seinen Arbeitsplatz frei. Nur dort befinden sich die Dokumente und Dateien. Und nur nach entsprechender Freischaltung werden sie an die Teilnehmer übermittelt, ohne dass sie dafür auf den Servern Dritter abgelegt werden.

Einige Hersteller gehen mit ihrer Architektur noch einen Schritt weiter und koppeln ihre Web-Konferenz-Lösung fast komplett vom öffentlichen Internet ab. So verfügt beispielsweise das MediaTone-Netz von Cisco WebEx über eine eigene Infrastruktur mit eigenem Backbone.

Lediglich für die „letzte Meile“ zu den Konferenz-Teilnehmern wird auf das Internet zurückgegriffen. Das reduziert die Ansatzpunkte für Angriffe ganz erheblich.

Eine solche Architektur sorgt dafür, dass vom Moderatoren-PC an die Computer der Teilnehmer adressierte Sitzungsdaten über das Netzwerk vermittelt, aber an keiner Stelle dauerhaft gespeichert werden. Entsprechende Sitzungen sind vollständig transparent und funktionieren ähnlich wie Telefongespräche im öffentlichen Netz. Neben dem hohen Maß an Sicherheit bietet diese Architektur auch eine extrem skalierbare Meetinginfrastruktur, die nicht den physischen Einschränkungen standortbasierter Serverlösungen unterliegt.

Nach Abschluss des Meetings befinden sich in Ciscos Fall weder auf den MediaTone-Meeting-Switches, noch auf den Computern der Teilnehmer Sitzungsinformationen. Falls ein Gastgeber sich für eine Aufzeichnung der Sitzung entschieden hat, ist die Aufzeichnung entweder auf einem Client-Computer oder in einem gesicherten Bereich, der vom geteilten WebEx-Kommunikations-Framework getrennt ist.

Professionelle Webkonferenz-Lösungen sollteb alle Standard-Unternehmens-Firewalls unterstützen und keinerlei spezielle Konfiguration benötigen. Für den Verbindungsaufbau empfiehlt sich eine Lösung, die mehrere Ports nutzt und mit verschiedenen Protokollen arbeitet.

Im Falle von Cisco WebEx wären das der TCP- (Port 1270) oder HTTP-/HTTPS-Standard (Port 80/443). Wenn eine Firewall beispielsweise Port 1270 blockiert, wird die Kommunikation über Port 80 beziehungsweise Port 443 durchgeführt. Eine Verbindung ist also immer gewährleistet, und Firewalls müssen nicht speziell für ein Online-Meeting um- oder eingestellt werden.

Verschlüsselung

Damit beim Datenverkehr während eines Meetings im Web für absolute Sicherheit gesorgt ist, kommen verschiedene Verschlüsselungstechniken zum Einsatz. Für die Verschlüsselung der Präsentationsinhalte bietet sich der Advanced Encryption Standard (AES) an.

Diese symmetrische Verschlüsselungstechnik besitzt eine variable Blockgröße von 128, 192 oder 256 Bit und eine variable Schlüssellänge von 128, 192 oder 256 Bit. Jede Verschlüsselungsfolge verursacht eine gewisse Veränderung des Verhaltens des AES-Algorithmus, so dass die Komplexität der Verschlüsselung erhöht wird.

In den USA ist AES für staatliche Dokumente mit höchster Geheimhaltungsstufe zugelassen. Zusätzlich werden alle Daten mit 128 Bit und SSL (Secure Socket Layer) verschlüsselt. Dieses Verfahren wird auch von Finanzinstituten beim Online-Banking verwendet und gilt als sehr sicher.

Seite 3: Wichtige Sicherheits-Standards einhalten

Wichtige Sicherheits-Standards einhalten

Grundsätzlich ist es für Unternehmen wichtig, dass die von ihnen eingesetzten Lösungen für Web-Konferenzen die aktuellen Sicherheits-Standards einhalten. Allerdings gibt es hier unterschiedliche Standards. Cisco WebEx folgt seit Sommer 2008 nicht mehr der amerikanisch orientierten WebTrust Certification.

Mittlerweile folgt der Hersteller der international weiter verbreiteten Norm ISO-17799 und lässt sich nach ISO-27001 zertifizieren, da ISO-17799 selbst nicht zertifiziert werden kann. Zugleich erfüllt das Unternehmen die Vorgaben von DIACAP (Department of Defense Information Assurance Certification and Accreditation Process) und FISMA (Federal Information Security Management Act), damit seine Services auch weiterhin den strengen Anforderungen der US-Regierung entsprechen. Zur Prüfung stellt Cisco WebEx seine Source-Codes unabhängigen Prüfern zur Verfügung, die ihre Ergebnisse in einem Independent Security Report darlegen.

Sicherheit bei der Benutzung

Neben den technischen Voraussetzungen und Sicherheitssiegeln versprechen auch organisatorische Maßnahmen vor und während einer Webkonferenz Schutz vor unbefugter Teilnahme und Datendiebstahl. So können Gastgeber für ein WebEx-Meeting Passwörter vergeben, mit denen sich Teilnehmer einloggen müssen.

Sind alle Beteiligten anwesend, hat der Gastgeber die Möglichkeit, die Konferenz per Knopfdruck „abzuschließen“ und so den Zugriff auf ein Meeting zu verhindern, das gerade läuft. Damit bleiben unerwünschte Gäste draußen. Durch die Benutzeridentifikation - vergleichbar der Rufnummererkennung bei Telefonen - weiß der Gastgeber zudem jederzeit genau Bescheid, wer an seinem Meeting teilnimmt.

Sicherheitsexperten sind sich meist in einem einig: Die größte Schwachstelle ist der Benutzer. Dabei geht es eher selten um absichtliche oder gar kriminelle Handlungen, sondern meist um Bequemlichkeit, Unwissenheit oder einfach falsche Bedienung. Beispielsweise werden unternehmenskritische Daten auf USB-Sticks gespeichert, die dann im Taxi aus der Hosentasche rutschen.

Auch dieses Problem kann schon im Entstehen bekämpft werden. So können Konferenz-Leiter unterbinden, dass Teilnehmer die Online-Sitzungen aufzeichnen und gemeinsam genutzte Präsentationen und Dokumente ausdrucken oder speichern. Die Daten bleiben damit in einer „Vertrauenszone“ und kommen gar nicht erst auf den USB-Stick.

Peer Stemmler ist Country Manager Germany bei Cisco WebEx in Düsseldorf.

(ID:2017992)