Die Corona-Pandemie hat Videokonferenz-Plattformen wie Zoom, Microsoft Teams oder Skype fest in der Lebenswelt der meisten Menschen in Deutschland verankert. Kriminelle wissen das. Sie versuchen deshalb gezielt, die Plattformen als Einfallstore zu nutzen. Unternehmen sollten sich deshalb proaktiv mit den potenziellen Schwachstellen der Systeme auseinandersetzen, um eine Balance zwischen Sicherheit und Nutzerfreundlichkeit zu finden.
Ein zentraler Angriffsvektor basiert darauf, legitime Zugangsdaten in Erfahrung zu bringen und sich auf diese Weise Einlass zu Gesprächen zu verschaffen. Solche Angriffe sind so verbreitet und verlangen üblicherweise so wenig technische Expertise, dass das amerikanische FBI ausdrücklich davor warnt.
Wie Hacker Videokonferenzen kapern
In der Praxis kann dies bedeuten, dass sich unberechtigte Personen beispielsweise mittels eines weitergegebenen oder unvorsichtigerweise veröffentlichten Einladungs-Links in einen Video-Call einwählen. Sie können dann mithören, hochgeladene Dateien löschen, kopieren oder ändern, oder die Calls stören. Um solche - etwa als "Zoombombing" bekannte - Angriffe zu erschweren, sollten Zugangs-Links niemals weitergegeben werden. Außerdem sollte ein automatischer Zugang vermieden und stattdessen ein Warteraum genutzt werden, in dem der Veranstalter des Calls die Personen prüfen kann, um so ungebetene Gäste zu erkennen.
Aufgrund des technischen Anspruchs aufwändiger sind Angriffe, die Sicherheitslücken im Programmcode ausnutzen. Dennoch nutzen Kriminelle immer wieder auch hochkomplexe Attacken wie beispielsweise auf Microsoft Teams mittels schadhafter GIF-Dateien. Ob sich Angreifer diese Mühe machen, hängt meist von der Brisanz einer Veranstaltung ab. Lohnend für Kriminelle sind beispielsweise Gespräche, bei denen es um politische oder börsenrelevante Entscheidungen geht.
Sogar die Frage, welche Wege die Daten nehmen, wenn sie zwischen den Mitarbeitern ausgetauscht werden, kann sicherheitstechnisch relevant sein. Wenn beispielsweise ein Anbieter aus den USA benutzt wird, werden die Video- und Audiodaten zweier Gesprächspartner in Deutschland unter Umständen über Server in Amerika hin- und hergeleitet. Dass sie auf dem Weg irgendwo abgehört und entschlüsselt werden, ist ein Risiko. Außerdem schwingt der Schutz von personenbezogenen Daten wie Namen, Kontaktdaten und IP-Adressen mit, sodass auch die Datenschutzgrundverordnung (DSGVO) ein wichtiger Prüfstein für etwaige Systeme sein kann.
Sichere Videokonferenzen - 5 Entscheidungskriterien
Folgende fünf Fragen helfen dabei, einen ersten Überblick über die verschiedenen Aspekte der Systeme zu erlangen:
Wie ist die Performance?
Wie kann das System skaliert werden?
Wie ist der Zugang geregelt und wie können Daten miteinander geteilt werden?
Welche Datenschutzmöglichkeiten gibt es und werden die Daten in Drittländern gespeichert?
Was sind die Sicherheitseinstellungen und inwieweit können sie an die eigenen Bedürfnisse angepasst werden?
Auf dieser Basis können Unternehmen Systeme kritisch miteinander vergleichen und eine durchdachte Entscheidung treffen. Aber die Wahl der passenden Videokonferenzplattform ist nur ein Teil eines individuell stimmigen Schutzkonzepts. Denn ist ein System ausgewählt, müssen die Nutzer umfassend geschult werden. Dies könnte sie etwa dafür sensibilisieren, bei Einladungen immer die Korrektheit aller Personen und ihrer Daten zu prüfen. Ferner ist es wichtig, die Datenschutz- und Sicherheitseinstellungen an die eigenen Bedürfnisse anzupassen. Dazu gehört beispielsweise, Verschlüsselungsmechanismen einzurichten, sichere Passwörter zu generieren und die Möglichkeiten zum Dateienaustausch zu konfigurieren.
Schließlich sollte selbstverständlich auch die IT-Sicherheit der angebundenen Systeme gewährleistet sein. Ist beispielsweise ein Nutzer - etwa mittels eine Remote Access Trojaners - kompromittiert, könnten Angreifer alle Vorgänge des Rechners kontrollieren und damit eben auch Zugang zu den Inhalten von Videokonferenzen erhalten. Des Weiteren ist zu bedenken: Die perfekte Sicherheit gibt es nicht, lediglich ein individuelles Abwägen der Risiken und der Nutzerfreundlichkeit ist möglich. Die Lösung liegt darin, etwaige Softwareprodukte miteinander zu vergleichen und immer an den einzigen Prüfstein zu halten, der zählt: Die Bedürfnisse des Unternehmens und der Stakeholder, mit denen über die Plattformen kommuniziert werden soll. (hi/fm)