Home‑Office: sichere Videokonferenzen | WeLiveSecurity

Home‑Office: sichere Videokonferenzen

Trotz Kontakteinschränkungen müssen Gespräche im Kollegium stattfinden. Wir erläutern die Sicherheitsrisiken der Videotelefonie.

Trotz Kontakteinschränkungen müssen Gespräche im Kollegium stattfinden. Wir erläutern die Sicherheitsrisiken der Videotelefonie.

Mittlerweile ist rund ein Drittel der Weltbevölkerung mit einer Ausgangsbeschränkung konfrontiert, um die COVID-19-Pandemie einzudämmen. Dieser Umstand hat große Teile der arbeitenden Bevölkerung ins Home-Office getrieben – für viele davon ist es das erste Mal. Der plötzliche Anstieg von Angestellten, Studenten, Lehrern und Schülern, die plötzlich alle von zu Hause aus arbeiten müssen, führt zur enormen Nachfrage von sogenannten Online Collaboration Tools – z.B. für Video-Telefonie, gemeinsame Chat- und Cloudsysteme.

Trotz Kontakteinschränkungen müssen Gespräche beispielsweise zwischen Arbeitskollegen oder auch im Freundeskreis stattfinden. Die Betreiber des DE-CIX-Internetknotens in Frankfurt verzeichneten binnen einer Woche einen Anstieg des Datenverkehrs durch Videokonferenzen um 50 Prozent. Die Nutzung der Social-Media-Plattformen sei ebenfalls gestiegen.

Die Staats- und Regierungschefs der Europäischen Union machten beim EU-Gipfel zur Corona-Krise Gebrauch von der Videotelefonie-Technik.


Zuletzt sorgte ein vom bayerischen Innenministerium genutztes Videokonferenzsystem, dass frei für jeden zugänglich war, für Schlagzeilen. Die virtuellen Konferenzräume des Ministeriums sind nach dem Schema video.bayern.de/Pfad/Raumnummer aufgebaut, wobei der „Pfad“ aus wenigen Buchstaben und die „Raumnummer“ aus sechs Ziffern bestehen. Durch die wenigen Stellen, kann ein Skript die verfügbaren Räume schnell ermitteln. Da diese bis vor kurzem noch nicht gesichert waren, konnte also jeder an der internen Sitzung zum Coronavirus mit Bayerns Innenminister Joachim Herrmann teilnehmen.

Die britische Regierung griff vor Kurzem auf das frei verfügbare Videokonferenz-Tool Zoom zurück. Wenn Regierungen ohne Bedenken auf solche Software setzen, warum dann nicht auch Unternehmen?

Wir möchten Ihnen zeigen, warum die Notwendigkeit besteht, die auf dem Markt verfügbaren Tools genau auf deren „eingebaute“ Sicherheit zu überprüfen.

Im Folgenden werden einige wichtige Überlegungen dazu skizziert.

Arbeitsumgebung

Überprüfen Sie zunächst Ihre unmittelbare Umgebung und stellen Sie sicher, dass keine sensiblen Informationen unwillkürlich über den Video-Stream geteilt werden. Auf einem Whiteboard hinter dem Rücken könnten noch vertrauliche Informationen vom vorhergehenden Meeting zu sehen sein. Und obwohl wir wahrscheinlich alle schon einmal über die lustigen Videos von Haustieren oder Kleinkindern gelacht haben, die in eine Videokonferenz platzten, sind solche Unterbrechungen nicht optimal und sollte mit den geeigneten Maßnahmen verhindert werden.

Zugriffskontrolle

Die meisten Videokonferenz-Tools ermöglichen die Einrichtung von Benutzergruppen oder erlauben den Zugang nur mit entsprechend richtiger Domain. Nutzer können sich beispielsweise mit ihrer E-Mail-Adresse anmelden, um an einer virtuellen Konferenz teilzunehmen. Alternativ kann man den Zugriff so steuern, dass nur eingeladene Personen imstande sind, beizutreten.

Das Beispiel des bayrischen Innenministeriums zeigt es: virtuelle Meetingräume sollten mit einem Passwort geschützt werden. Teilnehmer müssen dieses vor dem Betreten eingeben – es dient also zur (weiteren) Authentifizierung. Natürlich müssen Sie darauf achten, dass Kennwort nicht mit dem Meeting-Link zu verteilen.

Beitretende Teilnehmer können zunächst in einer Art „Wartezimmer“ festgehalten werden. Auf diese Weis besitzt der Meeting-Gastgeber die endgültige Kontrolle darüber, wer tatsächlich an der Sitzung teilnehmen darf. Bei größeren Videokonferenzen bestimmen Sie am besten im Vornherein mehrere vertrauenswürdige Meeting-Administratoren. Als nützlich erweist sich die Vergabe von Organisatoren- und Moderatorenrollen.

Kommunikation und Datei-Transfers

Bei der Übertragung von Daten sollten Sie unbedingt auf Verschlüsselung achten. Man kann nicht davon ausgehen, dass Videokonferenzen standardmäßig verschlüsselt sind, wie beispielsweise viele Chat-Kommunikationen.

Ist im Unternehmen Endpoint-Client-Software von Drittanbietern zugelassen, sollte diese die Anforderungen einer End-to-End-Verschlüsselung erfüllen.

Außerdem ist man gut beraten, bestimmt Dateien (wie z.B. .exe) von Datei-Transfers auszuschließen.

Engagement und Aufmerksamkeit fördern

Nicht nur das neue Arbeitsumfeld des Home-Offices lädt zur Ablenkung ein, auch E-Mail, Pop-Up-Fenster und Co. führen schnell zur Unkonzentriertheit. Je nach Plattform besteht die Möglichkeit, von den Anwesenden eine Benachrichtigung anzufordern, ob sie online sind. Diese Funktion dürfte vor allem für Lehrende interessant sein.

Den Bildschirm freigeben

Der Admin eines virtuellen Meetings sollte darüber nachdenken, wer seinen Bildschirm freigeben darf. Auf diese Weise verhindert man versehentliche Bildschirmfreigaben.

Eine Bildschirmfreigabe kann auch ganz explizit für nur eine Anwendung erfolgen. Schon Symbole oder Dateinamen auf dem Desktop könnten vertrauliche Unternehmensinformationen preisgeben.

Vorgewarnt und gewappnet

Nehmen Sie sich die Zeit, alle Einstellmöglichkeiten Ihres Videokonferenzsystems zu überblicken und anzupassen. Der Artikel zeigt, dass es viele Dinge zu berücksichtigen gibt. Die richtige Konfiguration ist eine wichtige Aufgabe, um die sichere Unternehmenskommunikation zu gewährleisten.

Bei „kostenfreien“ Diensten sollte man ganz genau in die Datenschutzbestimmungen schauen. Oftmals zahlen die User hier mit ihren Daten. Das kann nicht im Sinne von Unternehmen sein.

Weitere Sicherheitsrisiken der sogenannten Telearbeit haben wir in folgenden Artikeln skizziert:

Coronavirus: Produktives und sicheres Home‑Office

Home‑Office: VPN sicher einrichten

Sicheres Home-Office mit MFA

Newsletter-Anmeldung

Hier können Sie mitdiskutieren