In der heutigen Arbeitswelt kommen nur noch wenige Büros ohne irgendeine Art von Videokonferenz-Plattform aus. Viele Unternehmen übersehen jedoch, dass Systeme für sichere Videokonferenzen genauso wichtig sind wie die Sicherheit bei Telefonkonferenzen, E-Mails oder jeder anderen Form der Datenfernübertragung.
So zentral der Schutz Ihrer Videochats auch ist, die tatsächliche Gewährleistung der Sicherheit ist meist schwierig. Die Verlockung ist groß, Sicherheitsmaßnahmen wie Firewalls oder zusätzliche Passwörter nachträglich auf Web-Tools anzuwenden. Für Hacker sind diese Hürden in der Praxis jedoch recht einfach zu überwinden. Sind sie erst einmal genommen, sind Unternehmen ungeschützt dem unerlaubten Zugriff auf private Geschäftskommunikation und selbst Benutzerdaten ausgeliefert. Selbst für Kleinunternehmen können solche Angriffe verheerend sein und zu direkten Umsatzeinbußen und einem schweren Imageverlust führen.
Das A und O für sichere Videokonferenzen sind nicht einfach nur Add-ons oder aufgesetzte Tools. Ohne einen direkt in den Dienst integrierten Schutz gibt es keinen wirklichen Schutz bei Videoanrufen, die über das Internet geführt werden.
Doch wie sieht diese integrierte Sicherheit konkret aus? In diesem Artikel erklären wir Ihnen, welche Technologie erforderlich ist, um die Sicherheit von Videokonferenzen nachhaltig zu gewährleisten. Für zusätzlichen Schutz gehen wir auch auf einige wichtige Best Practices für die Sicherheit von Videokonferenzen ein.
Passwörter
Der direkteste Weg für einen Hacker, sich unbefugten Zugang zu Videoanrufen zu verschaffen, ist, sich wie ein regulärer Nutzer einzuloggen. Wenn die Benutzerpasswörter zu einfach oder gängig sind, ist es nur eine Frage der Zeit, bis ein Angreifer die richtigen Anmeldedaten errät.
Aus diesem Grund muss jede Plattform für sichere Videokonferenzen erzwingen, dass der Benutzer ausreichend lange und eindeutige Passwörter erstellt. Insbesondere sollten diese unterschiedlichen Buchstaben, Zahlen und Sonderzeichen enthalten. Jeder IT-Manager kann Ihnen bestätigen: Es gibt immer wieder Benutzer, die bei der Einrichtung eines Kontos zu einfache oder leicht zu erratene Passwörter verwenden. Um dem entgegenzuwirken, muss eine sichere Videokonferenz-Plattform derartige Passwörter als ungenügend ablehnen und den Nutzer auffordern, längere Passwörter zu erstellen.
Die Verwendung langer, komplexer Passwörter allein führt jedoch noch nicht zu einer sicheren Webkonferenzumgebung. Schließlich werden Passwortdatenbanken häufig gehackt und über das Darkweb geleakt, wodurch Hacker ebenso leicht Zugang erhalten.
Natürlich können Passwortdatenbanken durch die Verschlüsselung seitens des Softwareanbieters geschützt werden. Durch die Anwendung einer Verschlüsselungsmethode – insbesondere SHA512 und Salt-Kryptografie – werden die in Datenbanken gespeicherten Passwörter durch eine komplexe Codierung für alle außerhalb des Systems unlesbar gemacht. Auf diese Weise wird sichergestellt, dass die Daten selbst im Falle einer Datenpanne unlesbar und damit für Hacker unbrauchbar sind.
Single Sign-On & Zwei-Faktoren-Authentifizierung
Allerdings können auch die komplexesten Passwörter einem sicheren Videoanruf im Wege stehen. Lange Kennwörter sind naturgemäß schwer zu merken. Deshalb notieren manche Benutzer sie an unsicheren Orten, um sie sich zu merken. Selbst wenn Ihr System nur lange Passwörter für den Log-in zulässt, bleibt so das Risiko bestehen, dass ein Hacker sich der Anmeldedaten eines Benutzers ermächtigt und sich gewaltsam Zugang verschafft.
Eine effektive Antwort darauf ist Single Sign-On (SSO). Statt eines individuellen Passworts zur Sicherung Ihrer Videokonferenzsoftware können sich Benutzer mit ihrem bereits bestehenden Konto z. B. auf Google oder Microsoft anmelden. Dadurch verwenden Sie das komplexe Kennwort eines Kontos weiter und haben gleichzeitig eine sichere Anmeldung für andere Anwendungen.
Das Anmeldeverfahren lässt sich durch eine Zwei-Faktor-Authentifizierung (2FA) noch zusätzlich schützen. In diesem Fall führt eine erfolgreiche Anmeldung nicht geradewegs zum Zugriff auf ein Benutzerkonto. Stattdessen muss der Nutzer einen Code eingeben, der an seine E-Mail-Adresse oder Handynummer geschickt wird. Oder es wird ein Code von einer Authentifizierungs-App generiert. Weil dieser zusätzliche Schritt den Zugriff auf ein zweites Gerät oder Konto erfordert, verringert sich die Wahrscheinlichkeit einer unbefugten Anmeldung drastisch.
Verschlüsselung
Allerdings sind sich Hacker in der Regel der Schwierigkeit bewusst, direkt auf Konten zuzugreifen. Sie lassen sich nur selten durch diese Maßnahmen aufhalten. Wenn Anmeldeversuche fehlschlagen, gehen Cyberkriminelle meist dazu über, Videokonferenzen heimlich abzuhören. Das ist ähnlich wie beim heimlichen Mithören eines Telefonanrufs.
Die praktikabelste Gegenmaßnahme ist die Verwendung einer auf Verschlüsselung basierenden Videokonferenzsoftware. Die Verschlüsselung chiffriert die Daten so, dass sie für Unbefugte unleserlich werden. Je ausgefeilter die Verschlüsselungsmethode ist, desto schwieriger ist es, die Daten wieder zu entschlüsseln.
Bei Videochats werden nicht nur Text, sondern auch Audio- und visuelle Komponenten übertragen. Dennoch ist es problemlos möglich, Videokonferenzen mit den gleichen Verschlüsselungsmethoden zu sichern. Eines der zuverlässigsten ist das Secure Real-Time Transport Protocol (SRTP), das sowohl einen zufälligen Chiffrierschlüssel für Medien als auch ein eingebautes Mittel zur Authentifizierung der ausgetauschten Nachrichten verwendet. Durch diese Kombination von Strategien wird verhindert, dass Videos abgefangen oder von Bedrohungsakteuren manipuliert werden können.
Durch den Einsatz von Datagram Transport Layer Security (DTLS) kann SRTP noch sicherer gemacht werden. Dabei handelt es sich um ein Protokoll, das Nachrichten mit einer zusätzlichen Verschlüsselung überlagert. Diese ist so komplex ist, dass sie nur mit dem ursprünglichen Schlüssel des Codes entschlüsselt werden kann. Dieser Ansatz geht noch einen Schritt weiter, indem der Schlüssel nur mit den anderen Teilnehmern des Videoanrufs geteilt wird. Er wird nicht an einen zentralen Server oder eine Behörde übermittelt, der/die wiederum gehackt werden könnte. Alle diese Maßnahmen zusammen sorgen für eine sichere Punkt-zu-Punkt-Verbindung und damit für noch mehr Datenschutz.
WebRTC
Eine häufig verkannte Komponente sicherer Videokonferenzen ist WebRTC, eine Technologie zum Austausch von Medien, die für die direkte Kommunikation in Webbrowsern entwickelt wurde. WebRTC ist nicht nur ein wichtiges Element für Medienübertragungen in Echtzeit. Dank seiner integrierten Sicherheitsprotokolle ist WebRTC auch eine wichtige Voraussetzung für eine möglichst sichere Videokonferenz-Plattform.
Eines der bedeutendsten Sicherheitsmerkmale ist gleichzeitig grundlegend für WebRTC: nämlich, dass die Technologie direkt im Browser integriert ist und keine zusätzlichen Plug-ins benötigt. Infolgedessen werden WebRTC und alle damit verbundenen Videokonferenzsoftware immer auf die neueste Version aktualisiert, sobald Sie Ihren Browser aktualisieren. Dadurch lassen sich die neuesten Sicherheitsprotokolle wesentlich schneller implementieren. Dadurch werden Hacks im Zusammenhang mit Systemschwachstellen oder Exploits verhindert.
WebRTC läuft direkt im Browser und ohne zusätzliche Installation auf dem Gerät. Dadurch existiert es unabhängig von der digitalen Architektur des Geräts. Dies ist entscheidend für die Sicherheit, da diese Vorgehensweise bedeutet, dass WebRTC nicht von installierten Programmen oder Schwachstellen auf dem Gerät beeinflusst wird. Spyware, Viren oder ähnliche Hintertüren, die Hacker für einen illegalen Zugriff erstellen könnten, können die Browsertechnologie nicht beeinflussen und somit auch nicht eine WebRTC-basierte Plattform.
Das gilt zusätzlich zu den Sicherheitsmaßnahmen, die WebRTC von Haus aus bietet. Entscheidend ist: Es gibt eine vollständige End-to-End-Verschlüsselung über DTLS und SRTP. Damit laufen Web-Chats, die WebRTC verwenden, von vornherein sicher über verschlüsselte Videokonferenzsoftware. WebRTC stellt auch direkte Browser-zu-Browser-Verbindungen für die Datenübertragung her, anstatt sich mit einem zentralen Server zu verbinden. Das verringert weiter das Risiko, dass Medien abgehört werden können.
Systemüberwachung
All diese Sicherheitsmaßnahmen müssen jedoch mit einer Möglichkeit einhergehen, potenzielle oder tatsächliche Bedrohungen anzuzeigen. Andernfalls haben die Betreiber keine Möglichkeit, mögliche Systemschwachstellen zu erkennen.
Diese Anforderung ist in einer Software eigentlich recht einfach zu erfüllen. Das System benötigt lediglich ein Tool oder eine API für die Protokollierung von Zugriffen auf das System, das für die Techniker vor Ort leicht zugänglich sein muss. Noch besser ist es natürlich, wenn das System eine Möglichkeit hat, Sicherheitsbeauftragte zu alarmieren, wenn einer dieser Einträge unrechtmäßig zu sein scheint. Besser ist sogar, dass dieses Tool automatische Warnungen an die Systemadministratoren ausgibt, wenn es ein tatsächliches Eindringen entdeckt.
Der Grund dafür ist, dass die technischen Mitarbeiter umgehend über Hacks informiert werden müssen, wenn diese auftreten. Nur so können sie das System erneut sichern und Sicherheitslücken schließen. Ebenso wichtig ist eine ständige Systemüberwachung, um vor Massenangriffen auf das System, sogenannten Distributed-Denial-of-Service-(DDoS)-Attacken, gewappnet zu sein. Ein sicheres Videokonferenzsystem sollte in der Lage sein, diese Angriffe von vornherein zu verhindern, indem es einfach den überschüssigen Datenverkehr von den IP-Adressen blockiert, die den Angriff begangen haben. Dennoch ist es für die Administratoren wichtig, diese Angriffe frühzeitig zu erkennen. Eine Verzögerung bei der Anzeige oder Meldung dieser Bedrohungen lässt den Hackern unnötigen Handlungsspielraum, um ihren Angriffsplan neu zu überdenken und mit effektiveren Methoden zurückzukehren.
Integrierte Tools für diese Form der Überwachung sind daher unerlässlich. Für maximale Effektivität sollten diese Tools, Datensätze und statistische Analysen über die Art der Zugriffsversuche enthalten. Noch besser ist es, wenn das System die Integration mit externen Überwachungstools (z. B. Zabbix) unterstützt. Letztlich bedeutet dies, dass es ohne Maßnahmen zur Überprüfung von Zugriffsversuchen und erfolgreichen Eindringversuchen unmöglich ist, die vorhandenen Sicherheitsvorkehrungen zu ändern und zu verbessern.
Moderationstools
Bis jetzt haben wir uns mit Tools beschäftigt, die Hacks und Datenleaks verhindern sollen. All dies ist für Unternehmen von unschätzbarem Wert. Aber es sind bei Weitem nicht die einzigen Tools, die für sichere Videokonferenzen erforderlich sind. Schließlich ist es nicht nur denkbar, sondern auch durchaus normal, dass Cyberangreifer einfach in Webaufrufe eindringen und den Ablauf stören (eine Praxis, die auch als „Zoombombing“ bezeichnet wird).
Um solche Störungen zu vermeiden, muss eine sichere Videokonferenz-Plattform auch über Werkzeuge verfügen, mit denen Sie den Zugang zu Telefonkonferenzen einschränken und die Teilnahme selbst kontrollieren können.
Eine gängige Schutzmaßnahme ist die Einrichtung eines Kennworts für die Konferenz, wodurch theoretisch unerwünschte Gäste ausgesperrt werden. Bei kleineren Konferenzen oder internen Veranstaltungen kann dies ein wichtiger Beitrag zur Wahrung der Privatsphäre sein.
Bei größeren Veranstaltungen werden die Kennwörter jedoch fast immer zusammen mit den Einladungen zu den Sitzungen verteilt. Daher sollten zusätzliche Sicherheitsmaßnahmen getroffen werden. Beispielsweise können Sie Videoanrufe absichern, indem Sie nur eingeladene Teilnehmer zulassen. Das heißt also solche, die über ein bestimmtes Log-in für die Videoanrufsoftware verfügen. Auf diese Weise wird verhindert, dass jemand ohne ausdrückliche Zugriffserlaubnis Ihr Gespräch mithört.
Aber auch diese Vorkehrung hat seine Schwächen. Passwort-Hacks, Systemschwachstellen und unvorhergesehene Sicherheitslücken können ungebetene Gäste immer noch in Videokonferenzen hineinlassen. Demzufolge benötigt jedes sichere Videotelefoniesystem als letztes Mittel auch Moderationswerkzeuge für die Aufrechterhaltung von Ordnung und Privatsphäre innerhalb einer laufenden Konferenz.
Die wichtigsten dieser Moderationsfunktionen sind:
- Stummschalten der Mikrofone der Benutzer (insbesondere das Stummschalten aller Benutzer oder aller Benutzer außer einem)
- Ausschalten der Videos von Benutzern (einschließlich alle-für-alle- bzw. alle-außer-einem-Benutzer)
- Blockieren von Screensharing-Versuchen
- Entfernen von bestimmten Benutzern aus dem Gespräch
Um die Sicherheit aufrechtzuerhalten, müssen alle diese Funktionen zur Verfügung stehen. Auch wenn sie – wie jeder andere letzte Ausweg – nur das letzte Mittel sein sollten.
Bedenken Sie, dass es ohne diese Funktionen sehr viel schwieriger wird, eine sichere Webkonferenz durchzuführen, sollten eine oder mehrere externe Schutzmaßnahmen ausfallen.
Best Practices für die Sicherheit von Videokonferenzen
Selbst mit solchen Sicherheitsmaßnahmen können Sicherheitslücken durch menschliches Versagen entstehen. Deshalb ist es nicht nur wichtig, dass Sie Ihre Webkonferenzen mit einer effektiven Technologie absichern, sondern auch, dass Ihre Mitarbeiter die bewährten Sicherheitspraktiken für Videokonferenzen stets im Auge behalten.
Zwar ist die Technik in der Regel so konzipiert, dass die Sicherheitsmechanismen standardmäßig aktiviert sind, doch haben Mitarbeiter stets die Möglichkeit, diese Sicherheitsvorkehrungen zu umgehen, sei es aus Unwissenheit oder in böser Absicht. Wie bereits angesprochen, stehen dabei Passwörter und der Zugang zu Konten im Vordergrund: Wenn ein Hacker die Anmeldedaten für ein Mitarbeiterkonto auf Ihrer Videogesprächsplattform erlangt, hat er Zugriff auf ungeahnte Informationsmengen.
Daher ist die oberste Regel für die Sicherheit von Videokonferenzen, dass Passwörter stets vertraulich zu behandeln sind. Mitarbeiter sollten niemals Passwörter über Chats, E-Mails oder gar in Telefonaten weitergeben, da Hacker häufig versuchen, Benutzer zur Herausgabe dieser Informationen zu verleiten, indem sie sich als legitime Mitarbeiter des Unternehmens ausgeben (eine als „Phishing“ bekannte Praxis). Solange die Anmeldedaten absolut geheim gehalten werden, haben Sie schon sehr viel für die Sicherheit Ihrer Videokonferenzen erreicht.
Bei Videoanrufen gibt es natürlich noch weitere Regeln zu beachten. Die wichtigsten davon sind:
Werfen Sie verdächtige Anrufer sofort raus:
Wenn Sie nicht gerade ein offenes Forum veranstalten, sollten Benutzer, die Sie nicht kennen, einfach nicht an Videoanrufen teilnehmen. Um zu verhindern, dass sie das Gespräch stören oder vertrauliche Informationen mitbekommen, entfernen Sie sie sofort.
Scheuen Sie sich nicht davor, „alle stumm zu schalten“:
Sollte eine Gruppe von Trollen in Ihr Gespräch eindringen, ist es wichtig, dass Sie sie zunächst zum Schweigen bringen und dann überlegen, wie Sie sie entfernen können. Die Verwendung der Funktion „Alle stummschalten“ hilft dabei, die Ordnung aufrechtzuerhalten.
Halten Sie sich von verdächtigen Links im Chat fern:
Viele Hacker platzieren URLs im Chat, um auch dann noch Schaden anzurichten, wenn Sie sie schon rausgeworfen haben. Da derartige Links regelmäßig zu Spam oder schädlichen Seiten führen, raten Sie Ihren Nutzern, nicht darauf zu klicken, oder löschen Sie diese Nachrichten am besten gleich ganz.
Denken Sie daran, Videos und Bildschirmfreigaben zu deaktivieren:
Viele Trolle stören Anrufe mit obszönem Bildmaterial und exzessivem Lärm. Daher sollten Moderatoren und Gastgeber immer daran denken, dass sie auch Videos deaktivieren oder Screensharing für unerwünschte Gäste blockieren können.
Fügen Sie bei Bedarf Konferenzbeschränkungen hinzu:
Passwörter oder Benutzerbeschränkungen helfen Ihnen, Trolle daran zu hindern, in Ihren Videoanrufen aufzutauchen. Wenn ein weitreichender Zutritt kein Problem darstellt, können Sie diese als zusätzliche Sicherheitsmaßnahme verwenden.
Nutzen Sie die Einstellung „Start mit ausgeschaltetem Mikrofon und Video“:
Bei Konferenzen, die für ein breiteres Publikum geöffnet sind, kann es sinnvoll sein, die Konferenz so einzustellen, dass die Teilnehmer zunächst stummgeschaltet sind und kein Video läuft.
Lernen Sie, wann Sie besser Webinare verwenden sollten:
Für Veranstaltungen mit zahlreichen Teilnehmern, aber nur wenigen Rednern sind Webinare besser geeignet als Videokonferenzen, da die Beteiligung des Publikums bei Webinaren begrenzt ist. Dies hilft, Störungen auch ohne große Moderation auf ein Minimum zu beschränken.
Wenn Sie eine oder alle dieser Best Practices für die Sicherheit von Videokonferenzen berücksichtigen, erhöht sich die Schutzwirkung einer effektiven Technologie.
Abschließende Überlegungen
Mit der wachsenden Verbreitung von Remote-Arbeit und Smart Working war es nie wichtiger als heute, bei Telefonkonferenzen und Videochats ausreichend geschützt zu sein. Aber diese Sicherheit beschränkt sich keineswegs auf die Anrufe selbst. Genauso wichtig ist es, das System und die damit verbundenen Daten einschließlich ausgetauschter Dateien und Anrufaufzeichnungen vor unbefugtem Zugriff zu schützen.
Bewährte Praktiken sind in dieser Hinsicht sehr hilfreich, aber sie allein reichen nicht aus. Dank integrierter Protokolle wie Anmeldeschutz, Verschlüsselung und direkter Browser-zu-Browser-Verbindungen bleiben alle Ihre Geschäftsmeetings vertraulich, auch wenn sie über das Internet stattfinden.
Entscheidend jedoch ist, dass diese Vorkehrungen ein fester Bestandteil der Plattform sind und nicht als Zusatzfunktionen deaktiviert werden können. Um bei Videoanrufen wirklich sicher zu sein, müssen Schutzmechanismen ein fester Bestandteil des Systems sein und fest in dessen Design integriert werden.
Um sich ein Beispiel für eine vollständig sichere Telefonkonferenz-App anzusehen, werfen Sie einen Blick auf die Sicherheitsfunktionen von Wildix, dem ersten In-Browser-Tool für Videokonferenzen, das speziell für den Vertrieb entwickelt wurde.
Wenn Sie weitere Tipps zur Cybersicherheit und sichereren Unternehmenstechnologie erhalten möchten, abonnieren Sie unser kostenloses Magazin!