Videokonferenz-Software – Informationssicherheit im Fokus
Die letzten Monate haben gezeigt, wie schnell Unternehmen fähig sind ihre Geschäftsprozesse zu digitalisieren. Dies hat meiner Meinung nach viele Vorteile mit sich gebracht. Das Arbeiten im Homeoffice wird erleichtert. Je nachdem kann dadurch effizienter gearbeitet werden (das können nicht alle zuhause, ich schon), Anfahrtswege fallen weg und nebenbei wird damit auch noch die Umwelt geschont. Der Kontakt mit den Mitarbeitenden, Kunden und Lieferanten kann dank Videokonferenz-Software trotzdem aufrechterhalten werden. Ich persönlich habe sogar die Erfahrung gemacht, dass es eben einfacher und effizienter wurde miteinander zu kommunizieren. Mittels Videokonferenz kollaboriert man fokussierter und der Smalltalk nimmt ab.
Doch Cyberkriminelle nutzen diese Situation schamlos aus. Wär hätte das erwartet?! Leider ist es oft so, dass das Business eine Entscheidung fällt und etwas rasch umgesetzt werden muss. Die Informationssicherheit bleibt leider meistens auf der Strecke.
Medienberichte über Hackerangriffe im Pandemiejahr gibt es viele:
- Hackerangriffe – 2020 war das Jahr der Hacker: In diesen Ostschweizer Firmen haben Cyberkriminelle zugeschlagen | St.Galler Tagblatt
- Cyberattacke – Nach Attacke auf Huber+Suhner: «Niemand ist vor Cyberangriffen gefeit» | St.Galler Tagblatt
Meist wird nicht öffentlich kommuniziert, welche Angriffsvektoren die Cyberkriminellen ausgenutzt haben. Betroffene haben uns jedoch mittgeteilt, dass auch kürzlich eingeführte Tools im Zusammenhang mit Kollaboration und Homeoffice ausgenutzt wurden.
Nun, da Sie diesen Blog lesen, haben Sie möglicherweise auch etwas Neues eingeführt und möchten sich nun über weitere Schritte zur Erhöhung der Informationssicherheit informieren. Im Kapitel Massnahmen habe ich einige allgemeinen Empfehlungen zusammengetragen, welche grundsätzlich angewendet werden sollten. Je nach Software müssen aber noch weitere Einstellungen vorgenommen werden. In folgender Übersicht habe ich ein paar gängige Tools mit den empfohlenen Massnahmen aufgeführt.
Beschreibung und Funktionsumfang | Client/Browser | Sicherheitsfeatures | Sicherheitsrelevante Nachteile | Schwachstellen | Speicherort der Daten | Cloud/on-prem | |
Microsoft Teams | Bestandteil von Microsoft 365
Videokonferenz- und Instant-Messaging Kollaboration |
Mit Client und Webbrowser nutzbar |
|
|
Aktuell keine bekannt. In der Vergangenheit gab es aber welche. Zeitnahes Patchen (Client Software) ist daher sehr wichtig.
Microsoft Accounts sind momentan stark im Fokus bei Phishing angriffen. Deshalb ist der Einsatz einer Mehr-Faktor-Authentifizierung unabdingbar. |
Je nachdem wann der Tenant erstell wurde. Der aktuelle Speicherort kann im M365 Admin-Portal abgefragt werden. | Cloud |
Zoom | Videokonferenzen, kommt bei Schulen oft zum Einsatz. Stark gewachsen im letzten Jahr | Mit Client und Webbrowser nutzbar
(um selber Konferenzen zu starten wird mindestens ein Browser Plugin benötigt) |
|
|
Aktuell keine bekannt. In der Vergangenheit gab es aber welche. Zeitnahes Patchen (Client Software) ist daher sehr wichtig.
|
Rechenzentrumsregionen können in den Einstellungen definiert werden | Cloud |
LogMeIn
GoToMeeting (früher Citrix) |
Videokonferenzen | Mit Client und Webbrowser nutzbar |
|
|
Aktuell sind keine Schwachstellen bekannt. | USA | Cloud |
Jitsi Meet
(OpenSource) |
Videokonferenzen | Mit Client und Webbrowser nutzbar |
|
Aktuell sind keine Schwachstellen bekannt.
Standardmässig nutzt Jitzi die STUN-Server von Google. Es ist empfehlenswert bei einer On-Prem-Installation einen vertrauenswürdigen Server einzutragen |
Eine Liste mit bekannten Jitsi-Instanzen wird auf Github gepflegt. Es sollte eine Schweizer Instanz mit Non-Google STUN/TURN gewählt werden (z.B. solche welche von der Schweizer Stiftung SWITCH gehostet werden).
Hinweis: Der Chaos Computer Club nutzt ebenfalls Jitsi. |
On-prem oder Cloud | |
Cisco Webex | Videokonferenzen | Mit Client und Webbrowser nutzbar |
|
Aktuell keine bekannt. In der Vergangenheit gab es aber welche. Zeitnahes Patchen (Client und Server Software) ist daher sehr wichtig. | EU / GB / USA usw. | Cloud
(Verkauf der Serverversion wurde eingestellt) |
|
TeamViewer
Meeting (früher „blizz“) |
Videokonferenzen | Nur mit Client nutzbar
|
– |
|
Aktuell für TeamViewer Meeting sind keine bekannt. Für das reguläre TeamViewer gab es aber in der Vergangenheit Schwachstellen. Zeitnahes Patchen (Client Software) ist daher sehr wichtig. | EU | Cloud |
Weiteres, was es zu beachten gilt:
- Wichtig ist, dass Sicherheitsfeatures meist nicht standardmässig aktiviert sind. Dazu zählen Mehr-Faktor-Authentifizierung, Passwort-Schutz, Warteräume usw. Einige Einstellungen müssen entweder zentral konfiguriert werden, oder jeder Benutzer muss diese beim Erstellen eines Meetings beachten. Weitere Hinweise dazu im nächsten Kapitel.
- Das ein Anbieter Metadaten (Verbindungsprotokolle, Dauer von Meetings usw.) auswertet, kann nicht ausgeschlossen werden. Sicher ist nur, dass mit einer On-Premise-Lösung wie Jitsi sichergestellt werden kann, dass keine Daten gesammelt werden..
- Einige Anbieter unterstützen keine End-to-End-Encryption. Nur mit einer E2EE kann sichergestellt werden, dass der Anbieter nicht mithört. Alle Anbieter nutzen aber eine gesicherte TLS-Verbindung, Dadurch können immerhin allfällige Man-in-the-Middle-Angriffe erkannt werden.
- Hinweise zu TeamViewer Meeting: Die Installation erfolgt ohne Admin-Rechte im Userprofile: C:\Users\%USERPROFILE%\AppData\Roaming\TeamViewerMeeting
Massnahmen zusammengefasst
Es ist wichtig, um eine allfällige „Schatten-IT“ zu verhindern, dass solche Tools überwacht werden. Wir empfehlen unseren Kunden immer eine ausgewogene Kombination aus technischen und organisatorischen Massnahmen. Folgend ein paar Beispiele.
Technische Massnahmen
Technische Massnahmen erfolgen idealerweise auf mehreren Ebenen. Auf dem Client ist es ratsam, dass mittels Application Whitelisting nur erlaubte Anwendungen ausgeführt werden dürfen. So kann beispielsweise verhindert werden, dass portable Software gestartet wird oder sich sogar selbständig installieren. Auch ist es ratsam auf der Firewall entsprechende Filter zu setzen. Diese verhindern den Download solcher Applikationen oder die Verbindung mit dem Zielserver. Dies ist bei Tools, welche ohne Client auskommen und via Browser nutzbar sind, wichtig (siehe beispielsweise MS Teams oder Jitsi Meet). Beispielsweise beim Hersteller Fortigate existiert im Application Control die Kategorie Collaboration. Damit lassen sich unerwünschte Tools (auf dem Übertragungsweg) überwachen bzw. blockieren.
Herstellerspezifische Einstellungen (welche zentral erfolgen) und Massnahmen:
- Erzwingen von Mehr-Faktor-Authentifizierung
- Password-Policies aktivieren
- Regelmässiges Updates*
- Betrieb in einer DMZ*
*betrifft On-Prem-Lösungen
Organisatorische Massnahmen
Früher oder später finden Mitarbeitende einen Weg, technische Massnahmen zu umgehen oder es kommen neue Tools auf dem Markt, welche noch nicht mit technischen Massnahmen blockiert werden. Deshalb ist es wichtig, dass die Mitarbeitenden über die Gefahren von nicht verwalteten Tools aufgeklärt werden. Eine transparente Kommunikation ist sehr wichtig. Besteht Bedarf für neue, businessrelevante Tools, muss die IT-Abteilung dies wissen und schnell Massnahmen ergreifen. Dies kann bedeuten, dass eben neue Tools geregelt eingeführt werden (unter Berücksichtigung der Informationssicherheit) oder den Mitarbeitenden praktikable Alternativen mit bestehenden Tools angeboten werden. Schliesslich ist der richtige Umgang mit diesen Tools zu schulen.
Herstellerspezifische Einstellungen, welche nicht zentral erfolgen und jeder Benutzer selber einstellen muss:
- Sichere Kennwörter verwenden (falls keine Password-Policies aktiviert werden können)
- Meeting-Link und Meeting-Passwort getrennt versenden (z.B. E-Mail & SMS)
- Warteraum verwenden
Fazit
Es existieren unzählige weitere Tools wie beispielsweise Google Hangouts / Meet, Discord, Mikogo, FastViewer, Adobe Connect Meetings, Whereby, Skype, Socialhub Meet usw. Leider kann ich mir nicht jedes Tool anschauen. Sie wissen aber nun, auf welche Punkte geachtet werden muss. Als IT-Verantwortlicher wurden Sie vermutlich mit dem einen oder anderen bereits konfrontiert. Wichtig ist, dass keine Schatten-IT entsteht und allfällige Beschaffungen von neuen Produkten über eine Zentrale stelle abgewickelt werden. Eine Quelle für ergänzende Informationen (und noch mehr Tools) ist auch auf der Webseite des Datenschutzbeauftragten des Kantons Zürich erhältlich. Sind Sie unsicher? Kontieren Sie uns. Unsere Experten beraten Sie gerne, falls noch Unklarheiten vorliegen.
Abgrenzung
Hierbei handelt es sich nicht um einen klassischen Lab-Blog, sondern um einen reinen Recherche-Blog. D.h. die gemachten Aussagen basieren nicht auf eigenen Erfahrungen und Tests, sondern auf Aussagen der jeweiligen Hersteller und anderen Quellen.
Quellen
Treibjagd mit Halbwissen: Zoom und der Datenschutz (thescope.com)
Datenschutzbeauftragte des Kantons Zürich
How GoToMeeting Transports and Protects your Data – GotoMeeting
End-to-End-Verschlüsselung (E2EE) für Meetings – Zoom Help Center
Application Control | FortiGuard
TeamViewer Sicherheitsinformationen
Administration – Single Sign-On Integration in Cisco Webex Control Hub
Administration – What Does End-to-End Encryption Do? (webex.com)
Video Conferencing – Where are the Webex Data Centers and iPOP Locations?
Erste Schritte mit SSO – Zoom Help Center
Set Up Enterprise Sign-In (single sign-on) – GoToMeeting Support
Update 23.08.21 (AK): Link zum DSB des Kantons Zürich korrigiert