:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Zoom-Bombing und anderer Missbrauch Risiko Zoom-Videokonferenz und die Gegenmaßnahmen
In Zeiten der Quarantäne und des Home-Office stellen Videokonferenzen einen zunehmend beliebteren Weg dar, um in Gruppen online miteinander zu kommunizieren. Doch wie jüngste Vorfälle mit Zoom-Konferenzen gezeigt haben, ist die dafür verwendete Software in manchen Fällen das Einfallstor für die Verbreitung von Malware und die Beleidigung von Konferenzteilnehmern. Es gibt aber Methoden, um Videokonferenzen sicherer zu machen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Immer mehr Unternehmen, Schulen und Universitäten nutzen während der Corona-Krise die Möglichkeit, Besprechungen und Kundenkontakte statt durch persönliches Treffen als Videokonferenz über das Internet durchzuführen. Basis-Software für Videokonferenzen ist aktuell meist kostenlos, deshalb greifen die Organisatoren gerne auf Zoom, Skype oder Teams zurück.
Missbrauch
Eine der derzeit am meisten genutzten Videokonferenz-Anwendungen ist Zoom, vor allem weil sich mit ihr Meetings mit nur wenigen Klicks aufsetzen lassen.. Doch wo viele User sind, sind Hacker und Trolle nicht weit. Am 30. März 2020 musste die US-amerikanische Bundespolizei (FBI ) öffentlich vor dem Phänomen des Zoom-Bombings warnen. Auch die Generalstaatsanwältin von New York City begann, Zooms Sicherheitsstandard unter die Lupe zu nehmen.
Zoom-Bombing
Als „Zoom-Bombing“ wird das unbefugte Betreten eines Zoom-Meetings bezeichnet, wenn es zum Ziel hat, die Teilnehmer anzugreifen, um Hass, Pornografie usw. zu verbreiten oder um fiese Streiche aufzuzeichnen, die dann auf sozialen Netzwerken weiterverbreitet werden. Das FBI erwähnte als Beispiel, dass sich jemand mit einem Hakenkreuz-Tattoo in eine virtuelle Schulstunde oder einen Gottesdienst gedrängt hatte, und woanders wurden verstörende Pornos gezeigt.
Möglich wird dieses Vorgehen, wenn der Link mit der Meeting-ID, der zum Betreten einer Zoom-Konferenz nötig ist, öffentlich bekannt wird. Dieser Link sollte also unbedingt verborgen bleiben. Die zweite Bedingung: Wenn die Teilnehmer nicht erst in einem virtuellen Warteraum landen und vom Organisator hinzugefügt werden, sondern direkt Zugang erlangen. Diese Bedingung muss u.a. erfüllt sein, wenn jemand auf Zooms Bildungsplattform an "Schulstunden" teilnehmen will.
Verschlüsselung
Auch der Verschlüsselungsstandard von Zoom-Sessions hat offenbar noch viel Luft nach oben. Daten überträgt Zoom nicht in allen Fällen mit Komplett-Verschlüsselung, bei der sie nur für die Teilnehmer zugänglich sind. Das klappt nur, solange alle Teilnehmer die Zoom-Software nutzen. Benutzt jedoch ein Teilnehmer für den Zugang das Telefon, kann die Verschlüsselung des Dienstes dort nicht genutzt werden.
Der von Zoom genutzte Standard für die Verschlüsselung ist nicht etwa AES-256, sondern schlichtes TLS 1.x, wie The Intercept herausfand. Statt der Daten wird also nur der Transportweg verschlüsselt. Einzige Ausnahme sind laut Intercept reine Text-Chats. Datenverschlüsselung von Anfang bis Ende ist aber woanders durchaus möglich, wie beispielsweise Apple Facetime und der Messenger Wire belegen.
Infolge dieser Kritik von Seiten der Strafverfolger in den USA hat sich Zoom veranlasst gesehen, zahlreiche Verbesserungen an seinen Sicherheitseinstellungen vorzunehmen. In einem Blogbeitrag verlautete das Unternehmen unter anderem, dass Inhalte von Chats und Konferenzen nicht zu Werbezwecken analysiert oder Daten über Zoom-Nutzer an Dritte weiterverkauft würden. Auch die automatische Meldung an Facebook ist passé. Zoom-Bombing soll vereitelt werden, indem Meeting-Organisatoren ihre Einladung nur noch mit einem automatisch vom Zoom-System erzeugten Passwort verschicken können. Es gibt noch zahlreiche weitere Absicherungsmöglichkeiten, die von der US-amerikanischen Webseite Bleeping Computer zusammengefasst worden sind. Die Zoom-Entwickler haben sich außerdem zur wahren Natur der Zoom-Verschlüsselung geäußert.
Der deutlichste Schritt in Richtung mehr Sicherheit bei Zoom ist allerdings ein am 1. April 2020 verkündeter, 90-tägiger „Feature-Freeze“ bei dem die Entwicklung neuer Funktionen komplett eingestellt wird und das gesamte Entwicklerteam nur daran arbeiten soll, die Sicherheit der Anwendung zu erhöhen. Zudem soll es ein externes Security-Audit geben, einen Transparenzbericht und das Bug-Bounty-Programm soll ebenfalls erweitert werdenm.
Allgemeine Vorsichtsmaßnahmen
Auch wenn Videokonferenz-Anwendungen Sicherheitslücken und Schwachstellen haben, sind doch primär die Organisatoren solcher Meetings dafür verantwortlich, dass die Belange der Datensicherheit und des Datenschutzes beachtet werden.
- Richtlinien: Jeder Organisator muss vorher Richtlinien für Sicherheit und Privacy festlegen.
- Zugangs-Links und Meeting-IDs: Würden sie öffentlich verfügbar, etwa durch Wiederverwendung, öffnen sie Trollen Tür und Tor. Obersten Vorrang hat daher die Geheimhaltung dieser Zugangscodes. Neulinge wie der britische Premier Boris Johnson posteten Fotos, auf denen die Meeting-ID zu sehen war.
- Konferenznummern müssen dynamisch angelegt werden, um die Konferenzen zu verbergen. Statische Nummern laden Trolle zum Missbrauch ein.
- Die Audio- und Videodaten der Konferenz werden von Zoom automatisch aufgezeichnet, wenn diese Option nicht abgestellt wird. (Siehe Bleeping-Computer.) Wer also vertrauliche Daten in jeglicher Videokonferenz austauschen möchte, sollte sich durch PINs und Passwörter, die das System generiert und verteilt, schützen. Eine Mehrfaktor-Authentisierung bietet zusätzlichen Schutz, weil sie den Nutzer zweimal beglaubigt.
- Über ein Monitoring-Dashboard kann der Organisator herausfinden, ob sich im Meeting jemand befindet, der nicht eingeladen war. Je größer die Teilnehmerzahl, desto schwieriger wird diese Aufgabe.
- Sobald der Organisator feststellt, dass alle Eingeladenen vollzählig "anwesend" sind, sollte er den Zugang zur Konferenz schließen.
- Potentiell riskante Funktionen wie etwa die automatische Aufzeichnung, Chats und File-Sharing sollten vor Beginn abgestellt werden.
- Eine Videokonferenz ist nur so sicher wie ihre IT-Umgebung. Das heißt, dass sowohl die benutzten Endgeräte als auch die Leitung zur Konferenz selbst durch geeignete abgesichert sein müssen. Das kann durch Daten-Verschlüsselung, TLS-Transportverschlüsselung, VPN und natürlich Schutzsoftware erfolgen.
(ID:46500032)
:quality(80)/p7i.vogel.de/wcms/6e/65/6e656ea349a527dfbcc14641259388d6/0114330988.jpeg "Künstliche Intelligenz verspricht viele Verbesserungen bei Arbeitsprozessen, die damit einhergehenden Risiken darf man aber nicht aus den Augen verlieren. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")