Suchen

Die richtige und sichere Wahl treffen Security-Betrachtungen bei Videokonferenz-Tools

Autor / Redakteur: Eve Hunter (CISSP), Bruno Marafini / Peter Schmitz

Videokonferenzen sind derzeit beliebt wie noch nie. Konferenz-Tools sind aber wie jede andere Online-Plattform auch anfällig für Hacker und Datendiebe. Wer seine Webkonferenz nicht ausreichend sichert, läuft Gefahr, dass vertrauliche Informationen in die Hände Unbefugter gelangen. Die folgenden Tipps helfen dabei, die Privatsphäre der Nutzer von Videokonferenzen zu schützen.

Firma zum Thema

Sicherheitsrisiken lauern an jeder Ecke, auch dort wo man sie nicht erwartet – zum Beispiel bei Videokonferenzen und Online Meetings.
Sicherheitsrisiken lauern an jeder Ecke, auch dort wo man sie nicht erwartet – zum Beispiel bei Videokonferenzen und Online Meetings.
(Bild: gemeinfrei / Pixabay )

Bei der Nutzung kostenloser Plattformen sollte man sich im Klaren darüber sein, dass das Unternehmen auf andere Weise bezahlt wird – beispielsweise durch Werbung oder den Verkauf von Nutzerdaten. Das Problem: einige Plattformen verfügen möglicherweise nicht standardmäßig über alle notwendigen Sicherheitsfunktionen, bei anderen sind einzelne Einstellungen nicht richtig konfiguriert.

Gerade der coronabedingte Boom führte dazu, dass Anbieter Funktionen ausweiteten, wichtige Sicherheitsmaßnahmen jedoch nicht schnell genug anpassen konnten. Unter Umständen gelangen Hacker so noch einfacher an Nutzerdaten. Sowohl als Host als auch Teilnehmer*in einer Videokonferenz ist es allerdings möglich, selbst aktiv darauf zu achten, die Daten gutgehend zu schützen.

1. Sind alle Teilnehmer*innen befugt?

Damit nicht jede*r beliebige Kolleg*in, sondern nur zugelassene Personen am Call teilnehmen, sollten Vorkehrungen getroffen werden:

  • Neben der Aktivierung des Passwortschutzes sollte sichergestellt werden, dass die verwendete Plattform sowohl eine Sitzungs-ID-Nummer als auch ein separates Passwort oder eine PIN anbietet. Kann der Host ein eigenes Passwort erstellen, hält man sich am besten an das bewährte Modell und versucht, keine simplen Passwörter wie "123456" zu nutzen. Das Passwort sollte zudem nicht in den Meeting-Link inkludiert werden. Passwörter sollten für neue Besprechungen, Persönliche Meeting Einladungen und Telefonteilnehmer angefordert werden.
  • Funktionen wie „Vor dem Gastgeber beitreten“ sollten vermieden werden, da sie dem Host keine Möglichkeit geben, teilnehmende Nutzer*innen vorab zu überprüfen. Wer die Funktion nutzt, sollte sein Meeting mit einem Passwort schützen. Alternativ bietet sich der „Warteraum“ an. Ist die Funktion aktiviert, wird standardmäßig niemand für die Besprechung zugelassen, bis er vom Host bestätigt wurde.
  • Wird ein Meeting veranstaltet, ist es nützlich, benachrichtigt zu werden, wenn jemand dem virtuellen Raum beitritt. So kann schnell überprüft werden, um wen es sich handelt und ob der*die Teilnehmende wirklich dort sein soll. Einige Konferenztools nutzen dazu ein Tonsignal.
  • Sind alle Teilnehmer*innen der Besprechung beigetreten, sollte diese gesperrt werden. So wird sichergestellt, dass während der Besprechung keine neuen externen Teilnehmer*innen unbemerkt hinzukommen können.
  • Anwesenheitskontrolle: Damit überprüft werden kann, wer an der Konferenz teilgenommen hat, lohnt sich entweder im Voraus eine Teilnehmerliste oder ein Anrufprotokoll (Log-Datei) nach der Telefonkonferenz.

2. Wo lauern Sicherheitslücken und Schadsoftware?

Veraltete Anwendungen sind ebenso ein Sicherheitsrisiko wie unbekannte Dokumente. Wer Apps für Videokonferenzen auf dem Smartphone oder PC nutzt, sollte diese unbedingt auf dem neuesten Stand halten. Entdecken Anbieter Risiken, bringen sie Sicherheitspatches auf den Markt, mit denen die betreffende Software aktualisiert werden kann. Wer die automatische Aktualisierung seiner Apps aktiviert, erhält stetige Updates. Alternativ ist es auch möglich die Web-Version zu nutzen. Dabei sollte jedoch auch ein Browser in der jeweils aktuellen Version genutzt werden.

Wird der Dateiaustausch in der Videokonferenz deaktiviert, kann die gemeinsame Nutzung von Dateien unterbunden werden. So können schädliche Dokumente, die den eigenen oder die Computer von Kolleg*innen mit Malware infizieren, als Gefahrenquelle ausgeschlossen werden.

3. Wie kann ich Dokumente unkenntlich machen?

Oft wird parallel an verschiedenen Aufgaben gearbeitet – doch nicht jede Arbeit ist für alle Kolleg*innen gedacht. Vertrauliche Dokumente können in Videokonferenzen leicht vor neugierigen Augen geschützt werden. Generell gilt: immer nur das Fenster, die Registerkarte oder die App mit dem Inhalt freigeben, der von Relevanz für die Kollegen ist. Wird der gesamte Bildschirm geteilt, kann es passieren, dass ungewollt zu viele Informationen geteilt werden. Ist die eigene Kamera eingeschaltet, lohnt sich ein Check der Umgebung. Gibt es sensible Informationen in Sichtweite, wie zum Beispiel Dokumente auf dem Schreibtisch oder ein Whiteboard an der Wand? Zusätzlich bietet iOS Entwicklern die Möglichkeit über die Funktion „blur snapshot“ den Vorschaubildschirm im iOS-Task-Switcher zu verwischen. Die Einstellung schützt potenziell sensible Informationen, wenn mehrere Apps gleichzeitig geöffnet sind. Einige Konferenz-Apps haben diese Funktion integriert und aktivieren diese standardmäßig.

Plattform ist nicht gleich Plattform

So ähnlich die Anwendungen auf den ersten Blick scheinen – nicht alle eignen sich für die jeweiligen individuellen Anforderungen. Bei der Entscheidung, welche Plattform für das eigene Unternehmen geeignet ist, sollte zunächst ein genauer Blick auf die Nutzungsanforderungen geworfen werden: Wie stark wird die Plattform frequentiert sein? Wie viele Personen werden in der Regel an einem Meeting teilnehmen und wie viele Personen müssen die Möglichkeit haben, eigene Anrufe durchzuführen? Welche Dauer haben die Meetings? Was sind die Anforderungen der Kolleg*innen - sprechen sie über vertrauliche Geschäftsangelegenheiten, müssen sie die Gespräche aufzeichnen? Gibt es Kolleg*innen, die aufgrund von Verständnisschwierigkeiten Untertitel benötigen? Basierend auf diesen Anforderungen kann eine bessere Auswahl getroffen werden.

Neben den Anforderungen des Teams spielt auch die Sicherheit eine essenzielle Rolle. Denn immer häufiger findet der Austausch sensibler Informationen online statt. Die Datenschutzrichtlinie des betreffenden Tools gibt Auskunft darüber, ob und welche Daten bei der Nutzung gesammelt werden. Es versteht sich von selbst, dass die erfassten Daten nicht sensibler Natur sein sollten und bestmöglich geschützt werden.

Auch der Faktor der Kompatibilität ist von Bedeutung bei der Auswahl des richtigen Tools. Die Konferenzplattform sollte verschiedene Endpunkte wie Desktops, mobile Geräte etc. unterstützen. So wird sichergestellt, dass sich auch Kunden nahtlos mit dem Videokonferenzsystem verbinden können.

Die verschiedenen Preismodelle schließlich sollten ebenfalls im Auge behalten werden. Einige Plattformen bieten Kunden, die Paid Modelle nutzen, zum Beispiel mehr Sicherheit als bei kostenfreien Versionen. Hier gilt es abzuwägen, was genau welche Plattform anbietet, was davon für das eigene Unternehmen wichtig ist und welchen Kosten dafür anfallen.

Deutlich wird: Sicherheitsrisiken lauern an jeder Ecke – auch dort, wo man sie nicht erwartet. Neben dem falschen geteilten Screen und sichtbar herumliegenden Dokumenten sind es auch die unsichtbaren Daten, die es zu schützen gilt. Man sollte also unbedingt die Datenschutzbestimmungen der verwendeten Plattform genauestens prüfen. Durch den Einsatz dieser Sicherheitsverfahren kann ein gewisses Level an Sicherheit erreicht und persönliche sowie organisatorische Daten besser geschützt werden.

Über die Autoren:

Eve Hunter (CISSP) ist Cyber Security Consultant bei Detecon International. Sie verfügt über mehr als sechs Jahre Erfahrung auf dem Gebiet der Cyber Security, u.a. als Mitarbeiterin des Center for a New American Security und als Mitarbeiterin des Managing the Atom Projekt der Harvard Kennedy School. Sie hat einen Master-Abschluss in Cybersicherheit von der TU Tallinn und einen Bachelor-Abschluss vom Smith College.

Bruno Marafini ist bei der Detecon im Bereich IoT-Security tätig, mit Fokus auf der Sicherheit von IT-Überwachungskameras. Herr Marafini steht kurz vor dem Abschluss seines Doppel-Masters in Cyber Security, den er an der Universität Trient (Italien) und Eurecom (Frankreich) absolviert hat, zudem hat er einen Bachelor-Abschluss in Informationswissenschaft für Management.

(ID:46956061)