Videokonferenz-Software – Informationssicherheit im Fokus

Die letzten Monate haben gezeigt, wie schnell Unternehmen fähig sind ihre Geschäftsprozesse zu digitalisieren. Dies hat meiner Meinung nach viele Vorteile mit sich gebracht. Das Arbeiten im Homeoffice wird erleichtert. Je nachdem kann dadurch effizienter gearbeitet werden (das können nicht alle zuhause, ich schon), Anfahrtswege fallen weg und nebenbei wird damit auch noch die Umwelt geschont. Der Kontakt mit den Mitarbeitenden, Kunden und Lieferanten kann dank Videokonferenz-Software trotzdem aufrechterhalten werden. Ich persönlich habe sogar die Erfahrung gemacht, dass es eben einfacher und effizienter wurde miteinander zu kommunizieren. Mittels Videokonferenz kollaboriert man fokussierter und der Smalltalk nimmt ab.

Doch Cyberkriminelle nutzen diese Situation schamlos aus. Wär hätte das erwartet?! Leider ist es oft so, dass das Business eine Entscheidung fällt und etwas rasch umgesetzt werden muss. Die Informationssicherheit bleibt leider meistens auf der Strecke.

Medienberichte über Hackerangriffe im Pandemiejahr gibt es viele:

Meist wird nicht öffentlich kommuniziert, welche Angriffsvektoren die Cyberkriminellen ausgenutzt haben. Betroffene haben uns jedoch mittgeteilt, dass auch kürzlich eingeführte Tools im Zusammenhang mit Kollaboration und Homeoffice ausgenutzt wurden.

Nun, da Sie diesen Blog lesen, haben Sie möglicherweise auch etwas Neues eingeführt und möchten sich nun über weitere Schritte zur Erhöhung der Informationssicherheit informieren. Im Kapitel Massnahmen habe ich einige allgemeinen Empfehlungen zusammengetragen, welche grundsätzlich angewendet werden sollten. Je nach Software müssen aber noch weitere Einstellungen vorgenommen werden. In folgender Übersicht habe ich ein paar gängige Tools mit den empfohlenen Massnahmen aufgeführt.

Beschreibung und FunktionsumfangClient/BrowserSicherheitsfeaturesSicherheitsrelevante NachteileSchwachstellenSpeicherort der DatenCloud/on-prem
Microsoft TeamsBestandteil von Microsoft 365

Videokonferenz- und Instant-Messaging

Kollaboration

Mit Client und Webbrowser nutzbar
  • Mehr-Faktor-Authentifizierung für Benutzer-Login
  • Einschränkung von Gastzugriffen möglich
  • Wartebereich

 

  • Meetings können nicht zusätzlich mit einem Passwort geschützt werden.
  • Kein E2EE
Aktuell keine bekannt. In der Vergangenheit gab es aber welche. Zeitnahes Patchen (Client Software) ist daher sehr wichtig.

Microsoft Accounts sind momentan stark im Fokus bei Phishing angriffen. Deshalb ist der Einsatz einer Mehr-Faktor-Authentifizierung unabdingbar.

Je nachdem wann der Tenant erstell wurde. Der aktuelle Speicherort kann im M365 Admin-Portal abgefragt werden.Cloud
ZoomVideokonferenzen, kommt bei Schulen oft zum Einsatz. Stark gewachsen im letzten JahrMit Client und Webbrowser nutzbar

(um selber Konferenzen zu starten wird mindestens ein Browser Plugin benötigt)

  • Mehr-Faktor-Authentifizierung für Benutzer-Login
  • Meetings können mit einem Passwort geschützt werden.
  • Einschränkung von Gastzugriffen möglich (Nur berechtigte Benutzer)
  • Warteraum
  • E2EE
  • SSO mit SAML
  • Mehrere Datenlecks in der Vergangenheit (wurden inzwischen bereinigt)
  • Zoom Bombing (eine Art Brute-Force auf die Meeting-ID, kann aber mit einem Passwort einfach verhindert werden)
Aktuell keine bekannt. In der Vergangenheit gab es aber welche. Zeitnahes Patchen (Client Software) ist daher sehr wichtig.

 

 

Rechenzentrumsregionen können in den Einstellungen definiert werdenCloud
LogMeIn

GoToMeeting

(früher Citrix)

VideokonferenzenMit Client und Webbrowser nutzbar
  • Mehr-Faktor-Authentifizierung für Benutzer-Login
  • Meetings können mit einem Passwort geschützt werden.
  • SSO mit SAML
  • Kein E2EE
Aktuell sind keine Schwachstellen bekannt.USACloud
Jitsi Meet

(OpenSource)

VideokonferenzenMit Client und Webbrowser nutzbar
  • Source Code einsehbar
  • SSO mit SAML
  • E2EE (experimental)
Aktuell sind keine Schwachstellen bekannt.

Standardmässig nutzt Jitzi die STUN-Server von Google. Es ist empfehlenswert bei einer On-Prem-Installation einen vertrauenswürdigen Server einzutragen

Eine Liste mit bekannten Jitsi-Instanzen wird auf Github gepflegt. Es sollte eine Schweizer Instanz mit Non-Google STUN/TURN gewählt werden (z.B. solche welche von der Schweizer Stiftung SWITCH gehostet werden).

Hinweis: Der Chaos Computer Club nutzt ebenfalls Jitsi.

On-prem oder Cloud
Cisco WebexVideokonferenzenMit Client und Webbrowser nutzbar
  • SSO (diverse)
  • E2EE nur mit Einschränkungen
Aktuell keine bekannt. In der Vergangenheit gab es aber welche. Zeitnahes Patchen (Client und Server Software) ist daher sehr wichtig.EU / GB / USA usw.Cloud

(Verkauf der Serverversion wurde eingestellt)

TeamViewer

Meeting

(früher “blizz”)

VideokonferenzenNur mit Client nutzbar

 

 

  • Kein SSO
  • Kein E2EE
Aktuell für TeamViewer Meeting sind keine bekannt. Für das reguläre TeamViewer gab es aber in der Vergangenheit Schwachstellen.  Zeitnahes Patchen (Client Software) ist daher sehr wichtig.EUCloud

Weiteres, was es zu beachten gilt:

  • Wichtig ist, dass Sicherheitsfeatures meist nicht standardmässig aktiviert sind. Dazu zählen Mehr-Faktor-Authentifizierung, Passwort-Schutz, Warteräume usw. Einige Einstellungen müssen entweder zentral konfiguriert werden, oder jeder Benutzer muss diese beim Erstellen eines Meetings beachten. Weitere Hinweise dazu im nächsten Kapitel.
  • Das ein Anbieter Metadaten (Verbindungsprotokolle, Dauer von Meetings usw.) auswertet, kann nicht ausgeschlossen werden. Sicher ist nur, dass mit einer On-Premise-Lösung wie Jitsi sichergestellt werden kann, dass keine Daten gesammelt werden..
  • Einige Anbieter unterstützen keine End-to-End-Encryption. Nur mit einer E2EE kann sichergestellt werden, dass der Anbieter nicht mithört. Alle Anbieter nutzen aber eine gesicherte TLS-Verbindung, Dadurch können immerhin allfällige Man-in-the-Middle-Angriffe erkannt werden.
  • Hinweise zu TeamViewer Meeting: Die Installation erfolgt ohne Admin-Rechte im Userprofile: C:\Users\%USERPROFILE%\AppData\Roaming\TeamViewerMeeting

Massnahmen zusammengefasst

Es ist wichtig, um eine allfällige “Schatten-IT” zu verhindern, dass solche Tools überwacht werden. Wir empfehlen unseren Kunden immer eine ausgewogene Kombination aus technischen und organisatorischen Massnahmen. Folgend ein paar Beispiele.

Technische Massnahmen

Technische Massnahmen erfolgen idealerweise auf mehreren Ebenen. Auf dem Client ist es ratsam, dass mittels Application Whitelisting nur erlaubte Anwendungen ausgeführt werden dürfen. So kann beispielsweise verhindert werden, dass portable Software gestartet wird oder sich sogar selbständig installieren. Auch ist es ratsam auf der Firewall entsprechende Filter zu setzen. Diese verhindern den Download solcher Applikationen oder die Verbindung mit dem Zielserver. Dies ist bei Tools, welche ohne Client auskommen und via Browser nutzbar sind, wichtig (siehe beispielsweise MS Teams oder Jitsi Meet). Beispielsweise beim Hersteller Fortigate existiert im Application Control die Kategorie Collaboration. Damit lassen sich unerwünschte Tools (auf dem Übertragungsweg) überwachen bzw. blockieren.

Herstellerspezifische Einstellungen (welche zentral erfolgen) und Massnahmen:

  • Erzwingen von Mehr-Faktor-Authentifizierung
  • Password-Policies aktivieren
  • Regelmässiges Updates*
  • Betrieb in einer DMZ*

*betrifft On-Prem-Lösungen

Organisatorische Massnahmen

Früher oder später finden Mitarbeitende einen Weg, technische Massnahmen zu umgehen oder es kommen neue Tools auf dem Markt, welche noch nicht mit technischen Massnahmen blockiert werden. Deshalb ist es wichtig, dass die Mitarbeitenden über die Gefahren von nicht verwalteten Tools aufgeklärt werden. Eine transparente Kommunikation ist sehr wichtig. Besteht Bedarf für neue, businessrelevante Tools, muss die IT-Abteilung dies wissen und schnell Massnahmen ergreifen. Dies kann bedeuten, dass eben neue Tools geregelt eingeführt werden (unter Berücksichtigung der Informationssicherheit) oder den Mitarbeitenden praktikable Alternativen mit bestehenden Tools angeboten werden. Schliesslich ist der richtige Umgang mit diesen Tools zu schulen.

Herstellerspezifische Einstellungen, welche nicht zentral erfolgen und jeder Benutzer selber einstellen muss:

  • Sichere Kennwörter verwenden (falls keine Password-Policies aktiviert werden können)
  • Meeting-Link und Meeting-Passwort getrennt versenden (z.B. E-Mail & SMS)
  • Warteraum verwenden

Fazit

Es existieren unzählige weitere Tools wie beispielsweise Google Hangouts / Meet, Discord, Mikogo, FastViewer, Adobe Connect Meetings, Whereby, Skype, Socialhub Meet usw. Leider kann ich mir nicht jedes Tool anschauen. Sie wissen aber nun, auf welche Punkte geachtet werden muss. Als IT-Verantwortlicher wurden Sie vermutlich mit dem einen oder anderen bereits konfrontiert. Wichtig ist, dass keine Schatten-IT entsteht und allfällige Beschaffungen von neuen Produkten über eine Zentrale stelle abgewickelt werden. Eine Quelle für ergänzende Informationen (und noch mehr Tools) ist auch auf der Webseite des Datenschutzbeauftragten des Kantons Zürich erhältlich. Sind Sie unsicher? Kontieren Sie uns. Unsere Experten beraten Sie gerne, falls noch Unklarheiten vorliegen.

Abgrenzung

Hierbei handelt es sich nicht um einen klassischen Lab-Blog, sondern um einen reinen Recherche-Blog. D.h. die gemachten Aussagen basieren nicht auf eigenen Erfahrungen und Tests, sondern auf Aussagen der jeweiligen Hersteller und anderen Quellen.

Quellen

Treibjagd mit Halbwissen: Zoom und der Datenschutz (thescope.com)

Datenschutzbeauftragte des Kantons Zürich

How GoToMeeting Transports and Protects your Data – GotoMeeting

End-to-End-Verschlüsselung (E2EE) für Meetings – Zoom Help Center

https://jitsi.org/

Application Control | FortiGuard

TeamViewer Sicherheitsinformationen

Administration – Single Sign-On Integration in Cisco Webex Control Hub

Administration – What Does End-to-End Encryption Do? (webex.com)

Video Conferencing – Where are the Webex Data Centers and iPOP Locations?

Erste Schritte mit SSO – Zoom Help Center

Set Up Enterprise Sign-In (single sign-on) – GoToMeeting Support

Ende-zu-Ende Verschlüsselung von Videokonferenzen – datenschutz-notizen | News-Blog der datenschutz nord Gruppe

Update 23.08.21 (AK): Link zum DSB des Kantons Zürich korrigiert

Informationen zum Autor: Antonio Kulhanek