Zoom, Skype & Co.

So machen Sie Ihre Videokonferenz-Apps sicher

13.04.2020
Von 
Keith Shaw ist freier Autor bei der US-Schwesterpublikation Computerworld und schreibt seit 20 Jahren über IT-Themen.
Diese Tipps helfen Unternehmen und Endanwendern dabei, Videokonferenz-Apps richtig aufzusetzen, um virtuelle Meetings vertraulich und sicher abzuhalten.
Mit den neuen Security-Funktionen und unseren Tipps können Sie auch Zoom-Meetings sicher abhalten.
Mit den neuen Security-Funktionen und unseren Tipps können Sie auch Zoom-Meetings sicher abhalten.
Foto: Ink Drop - shutterstock.com

Immer wenn eine Technologie schnell an Popularität gewinnt, wächst auch die Zahl der Bösewichte, die neue und ungeschulte Nutzer ausnutzen. Aktuell ist dies bei Videokonferenz-Apps der Fall, beispielsweise in Form von "Zoombombing". Dabei dringen Hacker in Videokonferenzen der derzeit besonders beliebten Zoom-Plattform ein und verbreiten über die Screen-Sharing-Funktion pornographische oder rassistische Inhalte.

Eine weitaus größere Bedrohung als solche Störenfriede sind allerdings Eindringlinge, die still und heimlich an fremden Videokonferenzen teilnehmen - ein Alptraum für die Unternehmenssicherheit und die Privatsphäre des Einzelnen gleichermaßen.

So sichern Sie Videokonferenz-Apps ab

Die gute Nachricht ist, dass viele Videoconferencing-Produkte Sicherheitseinstellungen enthalten, die solche Vorfälle verhindern können. Allerdings wird es oft Benutzern ohne Sicherheitstraining überlassen, diese Einstellungen zu konfigurieren. Hier ein paar Sicherheitstipps von Security-Experten für Unternehmen, Schulen und Einzelpersonen, die Videokonferenzdienste nutzen.

  • Keine Consumer-Lösungen oder -Pläne für Business-Meetings verwenden

Für Endanwender konzipierte Videoconferencing Tools sind beliebt, verfügen aber nur selten über alle erforderlichen Verwaltungsfunktionen, die Sie benötigen, um Meetings abzusichern. Zwar kann keine Videokonferenz-App hundertprozentigen Schutz vor Bedrohungen garantieren. Mit Produkten, die von vornherein für den Einsatz in Unternehmen gedacht sind, erhalten Sie aber ein umfangreicheres Set von Security Tools. Das Beste daran: Auch viele dieser Lösungen werden für die nächsten Monate kostenlos angeboten.

  • Nutzen Sie die Wartezimmerfunktion

Funktionen, die Teilnehmer vor der Sitzung in einen separaten virtuellen Raum warten lassen, ermöglichen es dem Gastgeber, nur Personen zuzulassen, die tatsächlich an dem Meeting teilnehmen sollen.

  • Stellen Sie sicher, dass der Passwortschutz aktiviert ist

Inzwischen hat auch Zoom reagiert und erzeugt automatisch ein Kennwort zusätzlich zu einer Konferenzraum-ID. Allerdings ist dies nicht bei allen Lösungen Standard(einstellung). Stellen Sie daher sicher, dass Ihr Dienst sowohl eine Meeting-ID-Nummer als auch eine Zeichenfolge, aber zusätzlich auch ein separates Kennwort oder eine PIN verwendet. Können Sie selbst ein Passwort für die Besprechung erstellen, sollten Sie sich an die bewährten Konventionen halten und statt "123456" eine zufällige Zeichenfolge aus Zahlen, Buchstaben und Symbolen wählen.

  • Keine Einladungen über Twitter & Co.

Geben Sie Links zu Telefon- und Videokonferenzen oder digitalen Klassenzimmern nicht über Social Media Posts weiter. Laden Sie die Teilnehmer direkt über die App ein - und weisen Sie sie an, die Links nicht freizugeben oder zu teilen.

  • Bildschirmfreigabe sperren

Ihre Videoconferencing App sollte Einstellungen anbieten (siehe Punkt 1), die es dem Gastgeber erlaubt, die gemeinsame Bildschirmnutzung zu verwalten. Sobald ein Meeting begonnen hat, kann der Host dann gegebenenfalls bestimmten Teilnehmern die Freigabe erlauben.

  • Video nur, wenn unbedingt nötig

Wichtig für größere Videokonferenzen: Wenn Sie Ihre Webcam ausschalten und nur über Audio teilnehmen, verhindern Sie, dass über Objekte im Hintergrund mehr über Sie zu erfahren ist - Stichwort Social Engineering. Sich auf Audioübertragung zu beschränken reduziert außerdem die Bandbreitennutzung und kann der allgemeinen Übertragungsqualität zuträglich sein.

  • Verwenden Sie die neueste Version der Software

Ältere Softwareversionen enthalten häufig Sicherheitslücken, die von Hackern ausgenutzt werden können. So hat beispielsweise Zoom erst vor kurzem seine Software aktualisiert und sicherheitsrelevante Funktionen für Videokonferenzen wie Passwort-Pflicht eingeführt. Vergewissern Sie sich außerdem, dass auch alle Teilnehmer die aktuellste Version verwenden.

  • Störenfriede rauswerfen

Hat sich tatsächlich ein unerwünschter Gast in die Videokonferenz eingeschlichen, sollten Sie ihn sofort aktiv entfernen.

  • Meeting-Räume absperren

Eine weitere Möglichkeit, unerwünschten Gästen den Zugang zu einer Videokonferenz zu verwehren, ist, diese zu sperren, wenn alle geladenen Teilnehmer eingetroffen sind. Damit erhalten keine weiteren Gäste Zutritt, selbst wenn sie Meeting-ID und Passwort kennen.

  • Unnötige Aufzeichnungen vermeiden

Zeichnen Sie Besprechungen nur dann auf, wenn Sie das unbedingt benötigen. Außerdem sollten Sie alle Teilnehmer darüber informieren, beziehungsweise im Vorfeld um Erlaubnis bitten. Geben Sie der Aufzeichnung anschließend beim Speichern einen eindeutigen Namen.

Sicherheitseinstellungen für Zoom

Soweit die Theorie. Gabriel Friedlander, CEO der auf IT Security Awareness Training spezialisierten Firma Wizer, hat in einem Beitrag auf LinkedIn eine Liste empfohlener Sicherheitseinstellungen für Zoom gepostet. Hier eine Zusammenfassung seiner Empfehlungen:

Deaktivieren:

[Teilnehmer-Video] Sie können es wieder einschalten, sobald Sie Gästen die Teilnahme gestatten.

[Vor dem Gastgeber beitreten]

[Persönliche Meeting-ID (PMI) bei der Planung einer Besprechung verwenden]

[Persönliche Meeting-ID (PMI) beim Starten einer Sofortbesprechung verwenden]

Aktivieren:

[Für die Planung neuer Sitzungen ist ein Passwort erforderlich]

[Teilnehmer bei Eintritt stumm schalten]

[Ton abspielen, wenn Teilnehmer ein- oder austreten]

[Bildschirmfreigabe] nur Host

[Breakout-Raum] Dies ermöglicht dem Gastgeber, Teilnehmer für die Planung des Breakout-Raums zuzuweisen.

In den erweiterten Einstellungen sollten Gastgeber außerdem die Funktion [Warteraum] einschalten.

Während diese Einstellungen spezifisch für Zoom sind, sollte jede Videokonferenz-App ähnliche Einstellungen bieten. Ist dies bei Ihrer Lösung nicht der Fall, sollten Sie lieber zu einem sichereren Produkt wechseln.

Videoconferencing Apps zwischen Security und Usability

Einer der Gründe dafür, dass Zoom und andere Videokonferenzdienste an Popularität gewonnen haben, ist ihre Benutzerfreundlichkeit. Dies gilt insbesondere für Endanwender, die diese Technologie unter normalen Umständen nicht regelmäßig nutzen.

"Die Menschen sehnen sich nach Einfachheit, wenn es um Technologie geht, besonders in angespannten Zeiten wie einer globalen Pandemie", erklärt Reza Zaheri, Gründer der Firma 1:M Cyber Security, die Cybersecurity-Schulungen anbietet. Wenn es um technische Produkte geht, sei dabei immer ein Balanceakt zwischen Sicherheit und Benutzerfreundlichkeit zu absolvieren.

"Um es etwas zu verallgemeinern: Die Mehrheit der Laien zieht es vor, nicht über die Sicherheits- und Datenschutzaspekte eines Produkts nachzudenken", so Zaheri. "Und selbst wenn diese Funktionen in ein Produkt eingebaut werden und als verfügbar angekündigt werden, konfigurieren die meisten Leute diese Einstellungen in der Regel immer noch nicht und nehmen an, dass jemand anderes diese Dinge in ihrem Namen im Backend übernimmt."

Auch Zoom informiert inzwischen in Form von Blog-Beiträgen und Video-Anleitungen wie Meetings abgesichert werden können. Dennoch liegt die Verantwortung, sich zu schützen, weiterhin bei den Nutzern. Nach Ansicht von Zaheri sollten Softwareprodukte daher standardmäßig mit aktivierten Sicherheitseinstellungen ausgeliefert werden - mit der Möglichkeit für die Nutzer zum Opt-out. Dabei erhielten sie zudem eine Warnmeldung, die erklärt, warum es ein Risiko wäre, sie abzuschalten. "Ich denke, die Mehrheit der Leute, die nun zu Hause arbeiten, will das Programm einfach nur starten und benutzen - diese Einstellungen sollten bereits vom Hersteller für sie konfiguriert worden sein".

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Computerworld.