Cyberbedrohungen
Best Practices: Virtuelle Meetings
Unser Security Evangelist gibt Sicherheitsempfehlungen zum Schutz von Videokonferenzen
von Udo Schneider, Security Evangelist bei Trend Micro
Zusammenkünfte und physischen Kontakt vermeiden, so genanntes „Social Distancing“, ist das Gebot der Stunde in Zeiten der Coronavirus-Pandemie. Eine Vielzahl von Firmen hat ihren Mitarbeitern mittlerweile Home Office verordnet. Aber für etliche Unternehmen ist diese Regelung ungewohnt und sie stehen gleichzeitig unter dem Zwang, ihre Geschäftsabläufe möglichst schnell dieser neuartigen digitalen Situation anzupassen. Das betrifft unter anderem natürlich auch die Art, wie geschäftliche Kommunikation stattfindet. Virtuelle Meetings sind jetzt eine der besten und viel genutzten Möglichkeiten, mit Kollegen, Teams, vielleicht sogar Kunden und Partnern geschäftliche Abläufe zu besprechen, zu planen oder Informationen auszutauschen. Während Nutzern mittlerweile die Notwendigkeit von Sicherheitsmaßnahmen für ihre Online-Interaktionen größtenteils bewusst ist, wird der Schutz von virtuellen Meetings häufig noch außer Acht gelassen. Best Practices beim Umgang mit Videokonferenzen sollten aber neben den technischen Sicherheitsmaßnahmen stets beachtet werden.
Der prominenteste Fall einer Sicherheitspanne dieser Art war die Videokonferenz des Bayerischen Innenministeriums zur Ausbreitung des Coronavirus, die fast öffentlich mitverfolgt werden konnte und für entsprechende Schlagzeilen sorgte.
Die Gefahr, die von der Nutzung eines Online-Kommunikationstools ausgeht, ist im privaten Bereich wahrscheinlich nicht sehr hoch. Im geschäftlichen Umfeld jedoch müssen Kommunikationstools in puncto Sicherheit ganz andere Anforderungen erfüllen, geht es doch um Vertraulichkeit und den Austausch von Geschäftsdaten bzw. -infos. Für viele Unternehmen und Anwender ist diese Art der Kommunikation ungewohnt, und sie sind darauf nicht vorbereitet. Umso wichtiger ist es, das Bewusstsein für die Sicherheit bei Videokonferenzen zu schärfen und auch Best Practices beim Umgang damit zu beachten.
Datenschutz bei Videokonferenzen
In erster Linie müssen sich Unternehmen darüber bewusst sein, dass sie die Verantwortung für die Integrität und Vertraulichkeit der geschäftlichen Daten auch beim Video-Conferencing tragen. Das bedeutet, dass ein virtuelles Meeting mithilfe eines Tools erfolgen sollte, das auf den professionellen Einsatz zugeschnitten ist und Möglichkeiten für die Absicherung der Konferenzen bietet. Dies ist bei Tools, wie Google Hangout oder Facetime für den privaten Gebrauch nicht gegeben. Auch ist es gut möglich, dass es etwa versteckte Nutzungsbedingungen einiger Hersteller gibt, die das Weiterleiten von Daten erlaubt.
Erste Voraussetzung für die Sicherheit von virtuellen Meetings im geschäftlichen Bereich ist es also, dafür zu sorgen, einen entsprechenden Dienst für die Meetings aus dem Home Office zur Verfügung zu stellen. Die meisten dieser Dienste sind mit eingebauten Sicherheitsfunktionen ausgestattet, und viele Provider liefern Sicherheitsempfehlungen für ihre Plattformen und erklären auch ausdrücklich, keine Daten weiter zu geben.
Dennoch finden Böswillige Mittel und Wege, auch diese Plattformen zu missbrauchen, sei es durch infizierte Domänen oder Dateien, sei es, um die Meetings durch Trolle zu stören oder ihre Botschaften zu verbreiten. Jüngstes Beispiel für derartigen Missbrauch ist die Plattform Zoom als Ziel dieser Akteure.
Sicherheitsempfehlungen
Umso wichtiger ist es, dass gerade diejenigen, die eine Videokonferenz aufsetzen, bestimmte Regeln und Richtlinien beachten und durchsetzen:
- Sicherheits-Policies: Unternehmen müssen genau festlegen, welche Sicherheitsregeln bei einem virtuellen Meeting befolgt werden müssen.
- Wiederverwendung von Zugangscodes limitieren: Wird immer derselbe Code für eine Videokonferenz verwendet, so kennen wahrscheinlich mehr Leute den Code als dem Host lieb ist.
- Keine statischen Konferenznummern: Das Ändern dieser Nummern erschwert das Auffinden der Konferenzräume.
- Schutz über PINs oder Passwörter: Ist das Thema einer Konferenz besonders vertraulich oder werden dabei kritische Daten ausgetauscht, lassen sich die Meetings mit der Vergabe von PINS oder Passwörtern zusätzlich schützen, oder gar eine Mehrfaktor-Authentifizierung aufsetzen
- Dashboard für das Monitoring der Teilnehmer: Über ein Dashboard kann der Host überprüfen, ob sich jemand einwählt, der nicht eingeladen ist.
- Konferenz abschließen: Das bedeutet, dass der Host überprüft, ob alle Teilnehmer sich eingewählt haben, um dann den Zugang zu schließen.
- Nicht benötigte Funktionen deaktivieren: Dazu gehören unter Umständen Chats oder das Teilen bestimmter Arten von Dateien oder auch die Recording-Funktion.
Doch nicht nur die virtuelle Konferenz selbst muss abgesichert sein, sondern auch die Geräte im Home Office und die Verbindung zur Konferenz müssen entsprechend geschützt sein. Dazu gehört eine sichere WLAN-Verbindung, Systeme, die auf aktuellem Stand sind und das Vorhandensein einer Antivirus-Lösung sowie regelmäßige Backups der Daten. Empfehlungen für einen adäquaten Schutz vor Bedrohungen sowohl für die bei der Heimarbeit eingesetzten Geräte als auch für das Heimnetzwerk und die genutzten Lösungen gibt Trend Micro im Blogbeitrag „Umfassend geschützt im Home Office“.