:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Die richtige und sichere Wahl treffen Security-Betrachtungen bei Videokonferenz-Tools
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Videokonferenzen sind derzeit beliebt wie noch nie. Konferenz-Tools sind aber wie jede andere Online-Plattform auch anfällig für Hacker und Datendiebe. Wer seine Webkonferenz nicht ausreichend sichert, läuft Gefahr, dass vertrauliche Informationen in die Hände Unbefugter gelangen. Die folgenden Tipps helfen dabei, die Privatsphäre der Nutzer von Videokonferenzen zu schützen.
Bei der Nutzung kostenloser Plattformen sollte man sich im Klaren darüber sein, dass das Unternehmen auf andere Weise bezahlt wird – beispielsweise durch Werbung oder den Verkauf von Nutzerdaten. Das Problem: einige Plattformen verfügen möglicherweise nicht standardmäßig über alle notwendigen Sicherheitsfunktionen, bei anderen sind einzelne Einstellungen nicht richtig konfiguriert.
Gerade der coronabedingte Boom führte dazu, dass Anbieter Funktionen ausweiteten, wichtige Sicherheitsmaßnahmen jedoch nicht schnell genug anpassen konnten. Unter Umständen gelangen Hacker so noch einfacher an Nutzerdaten. Sowohl als Host als auch Teilnehmer*in einer Videokonferenz ist es allerdings möglich, selbst aktiv darauf zu achten, die Daten gutgehend zu schützen.
1. Sind alle Teilnehmer*innen befugt?
Damit nicht jede*r beliebige Kolleg*in, sondern nur zugelassene Personen am Call teilnehmen, sollten Vorkehrungen getroffen werden:
- Neben der Aktivierung des Passwortschutzes sollte sichergestellt werden, dass die verwendete Plattform sowohl eine Sitzungs-ID-Nummer als auch ein separates Passwort oder eine PIN anbietet. Kann der Host ein eigenes Passwort erstellen, hält man sich am besten an das bewährte Modell und versucht, keine simplen Passwörter wie "123456" zu nutzen. Das Passwort sollte zudem nicht in den Meeting-Link inkludiert werden. Passwörter sollten für neue Besprechungen, Persönliche Meeting Einladungen und Telefonteilnehmer angefordert werden.
- Funktionen wie „Vor dem Gastgeber beitreten“ sollten vermieden werden, da sie dem Host keine Möglichkeit geben, teilnehmende Nutzer*innen vorab zu überprüfen. Wer die Funktion nutzt, sollte sein Meeting mit einem Passwort schützen. Alternativ bietet sich der „Warteraum“ an. Ist die Funktion aktiviert, wird standardmäßig niemand für die Besprechung zugelassen, bis er vom Host bestätigt wurde.
- Wird ein Meeting veranstaltet, ist es nützlich, benachrichtigt zu werden, wenn jemand dem virtuellen Raum beitritt. So kann schnell überprüft werden, um wen es sich handelt und ob der*die Teilnehmende wirklich dort sein soll. Einige Konferenztools nutzen dazu ein Tonsignal.
- Sind alle Teilnehmer*innen der Besprechung beigetreten, sollte diese gesperrt werden. So wird sichergestellt, dass während der Besprechung keine neuen externen Teilnehmer*innen unbemerkt hinzukommen können.
- Anwesenheitskontrolle: Damit überprüft werden kann, wer an der Konferenz teilgenommen hat, lohnt sich entweder im Voraus eine Teilnehmerliste oder ein Anrufprotokoll (Log-Datei) nach der Telefonkonferenz.
2. Wo lauern Sicherheitslücken und Schadsoftware?
Veraltete Anwendungen sind ebenso ein Sicherheitsrisiko wie unbekannte Dokumente. Wer Apps für Videokonferenzen auf dem Smartphone oder PC nutzt, sollte diese unbedingt auf dem neuesten Stand halten. Entdecken Anbieter Risiken, bringen sie Sicherheitspatches auf den Markt, mit denen die betreffende Software aktualisiert werden kann. Wer die automatische Aktualisierung seiner Apps aktiviert, erhält stetige Updates. Alternativ ist es auch möglich die Web-Version zu nutzen. Dabei sollte jedoch auch ein Browser in der jeweils aktuellen Version genutzt werden.
Wird der Dateiaustausch in der Videokonferenz deaktiviert, kann die gemeinsame Nutzung von Dateien unterbunden werden. So können schädliche Dokumente, die den eigenen oder die Computer von Kolleg*innen mit Malware infizieren, als Gefahrenquelle ausgeschlossen werden.
3. Wie kann ich Dokumente unkenntlich machen?
Oft wird parallel an verschiedenen Aufgaben gearbeitet – doch nicht jede Arbeit ist für alle Kolleg*innen gedacht. Vertrauliche Dokumente können in Videokonferenzen leicht vor neugierigen Augen geschützt werden. Generell gilt: immer nur das Fenster, die Registerkarte oder die App mit dem Inhalt freigeben, der von Relevanz für die Kollegen ist. Wird der gesamte Bildschirm geteilt, kann es passieren, dass ungewollt zu viele Informationen geteilt werden. Ist die eigene Kamera eingeschaltet, lohnt sich ein Check der Umgebung. Gibt es sensible Informationen in Sichtweite, wie zum Beispiel Dokumente auf dem Schreibtisch oder ein Whiteboard an der Wand? Zusätzlich bietet iOS Entwicklern die Möglichkeit über die Funktion „blur snapshot“ den Vorschaubildschirm im iOS-Task-Switcher zu verwischen. Die Einstellung schützt potenziell sensible Informationen, wenn mehrere Apps gleichzeitig geöffnet sind. Einige Konferenz-Apps haben diese Funktion integriert und aktivieren diese standardmäßig.
Plattform ist nicht gleich Plattform
So ähnlich die Anwendungen auf den ersten Blick scheinen – nicht alle eignen sich für die jeweiligen individuellen Anforderungen. Bei der Entscheidung, welche Plattform für das eigene Unternehmen geeignet ist, sollte zunächst ein genauer Blick auf die Nutzungsanforderungen geworfen werden: Wie stark wird die Plattform frequentiert sein? Wie viele Personen werden in der Regel an einem Meeting teilnehmen und wie viele Personen müssen die Möglichkeit haben, eigene Anrufe durchzuführen? Welche Dauer haben die Meetings? Was sind die Anforderungen der Kolleg*innen - sprechen sie über vertrauliche Geschäftsangelegenheiten, müssen sie die Gespräche aufzeichnen? Gibt es Kolleg*innen, die aufgrund von Verständnisschwierigkeiten Untertitel benötigen? Basierend auf diesen Anforderungen kann eine bessere Auswahl getroffen werden.
Neben den Anforderungen des Teams spielt auch die Sicherheit eine essenzielle Rolle. Denn immer häufiger findet der Austausch sensibler Informationen online statt. Die Datenschutzrichtlinie des betreffenden Tools gibt Auskunft darüber, ob und welche Daten bei der Nutzung gesammelt werden. Es versteht sich von selbst, dass die erfassten Daten nicht sensibler Natur sein sollten und bestmöglich geschützt werden.
Auch der Faktor der Kompatibilität ist von Bedeutung bei der Auswahl des richtigen Tools. Die Konferenzplattform sollte verschiedene Endpunkte wie Desktops, mobile Geräte etc. unterstützen. So wird sichergestellt, dass sich auch Kunden nahtlos mit dem Videokonferenzsystem verbinden können.
Die verschiedenen Preismodelle schließlich sollten ebenfalls im Auge behalten werden. Einige Plattformen bieten Kunden, die Paid Modelle nutzen, zum Beispiel mehr Sicherheit als bei kostenfreien Versionen. Hier gilt es abzuwägen, was genau welche Plattform anbietet, was davon für das eigene Unternehmen wichtig ist und welchen Kosten dafür anfallen.
Deutlich wird: Sicherheitsrisiken lauern an jeder Ecke – auch dort, wo man sie nicht erwartet. Neben dem falschen geteilten Screen und sichtbar herumliegenden Dokumenten sind es auch die unsichtbaren Daten, die es zu schützen gilt. Man sollte also unbedingt die Datenschutzbestimmungen der verwendeten Plattform genauestens prüfen. Durch den Einsatz dieser Sicherheitsverfahren kann ein gewisses Level an Sicherheit erreicht und persönliche sowie organisatorische Daten besser geschützt werden.
Über die Autoren:
Eve Hunter (CISSP) ist Cyber Security Consultant bei Detecon International. Sie verfügt über mehr als sechs Jahre Erfahrung auf dem Gebiet der Cyber Security, u.a. als Mitarbeiterin des Center for a New American Security und als Mitarbeiterin des Managing the Atom Projekt der Harvard Kennedy School. Sie hat einen Master-Abschluss in Cybersicherheit von der TU Tallinn und einen Bachelor-Abschluss vom Smith College.
Bruno Marafini ist bei der Detecon im Bereich IoT-Security tätig, mit Fokus auf der Sicherheit von IT-Überwachungskameras. Herr Marafini steht kurz vor dem Abschluss seines Doppel-Masters in Cyber Security, den er an der Universität Trient (Italien) und Eurecom (Frankreich) absolviert hat, zudem hat er einen Bachelor-Abschluss in Informationswissenschaft für Management.
(ID:46956061)
:quality(80)/images.vogel.de/vogelonline/bdb/1915700/1915734/original.jpg "Zoom ist während der Pandemie quasi über Nacht zu einem der wichtigsten Business-Tools deutscher Unternehmen geworden. Die Sicherheit und der Datenschutz kamen dabei manchmal zu kurz. (Rido – adobe.stock.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1952100/1952121/original.jpg "BMC Software modernisiert seine Mainframe-Tools und ermöglicht den IT-Teams damit einen mehr als deutlichen Produktivitätsgewinn. (gemeinfrei: stux)")