Videokonferenz-Apps: Wie sicher sind sie wirklich?

Wie sicher sind bekannte Videokonferenz-Apps wirklich?

#wirbleibenzuhause ist nicht nur ein beliebter Hashtag in sozialen Netzwerken, sondern auch eine harte Realität für Unternehmen, die durch die Coronavirus-Pandemie gezwungen sind, einen Großteil ihrer Mitarbeiter nach Hause zu schicken, um dort aus dem Homeoffice zu arbeiten. Persönliche Meetings und Besprechungen wurden durch Videoanrufe ersetzt, weshalb es bei der Wahl einer Videokonferenz-App besonders wichtig ist, auf ihre Datenschutzmechanismen zu achten. Bevor Sie weiterlesen, möchten wir klarstellen, dass wir keine der unten aufgeführten Apps im Labor getestet haben. Wir haben lediglich nach öffentlich zugänglichen Informationen über bekannte Probleme in der am häufigsten verwendeten Software gesucht.

Google Meet und Google Duo

Google bietet zwei Videokonferenzdienste an: Google Meet und Google Duo. Die erste Anwendung ist in die anderen Dienste von Google (die G Suite) integriert. Wenn Ihr Unternehmen also diese Reihe von Software-Werkzeugen verwendet, ist Hangout Meets eine passende Möglichkeit.

Sicherheit — Google Meet

Zu den Vorteilen von Meet zählt der Anbieter eine zuverlässige Datenverarbeitungsinfrastruktur, Verschlüsselung (allerdings keine Ende-zu-Ende-Verschlüsselung) und eine Reihe von Schutztools, die standardmäßig aktiviert sind. Wie viele andere Geschäftsprodukte entspricht die G Suite, inklusive Google Meet, erweiterten Sicherheitsstandards und bietet unter anderem Konfigurations- und Zugriffsrechtsverwaltungsoptionen.

Sicherheit — Google Duo

Die mobile App Duo hingegen schützt Ihre Daten sehr wohl durch die Ende-zu-Ende-Verschlüsselung. Es handelt sich jedoch um eine Anwendung, die für private Benutzer und nicht für Unternehmen entwickelt wurde; daher können an Konferenzen nur bis zu 12 Nutzer teilnehmen.

Schwachstellen und Nachteile

Abgesehen von einigen Nachrichten, die uns alle daran erinnern, dass Google Nutzerdaten sammelt und daher eine Bedrohung für Geschäftsgeheimnisse darstellen kann, konnten wir keine konkreten Informationen über die Sicherheit dieser Apps finden. Das bedeutet nicht, dass Google-Dienste fehlerfrei sind, aber sie werden von einem sehr starken Sicherheitsteam unterstützt, das dazu neigt, Probleme zu beheben, bevor sie überhaupt Schaden anrichten können.

Slack

In Slack haben Sie die Möglichkeit mehrere Chat-Workspaces für Teams zu erstellen, die bequem in einem Fenster angezeigt werden. Darüber hinaus können im Workspace selbst verschiedene Kanäle kreiert werden, die verschiedenen Projekten gewidmet sind. Konferenzen sind auf 15 Mitglieder begrenzt.

Sicherheit

Slack erfüllt eine Reihe internationaler Sicherheitsstandards; dazu gehört auch der Standard SOC 2. Der Dienst kann für die Arbeit mit medizinischen und finanziellen Daten konfiguriert werden und ermöglicht es Unternehmen, eine Region für die Datenspeicherung auszuwählen. Um einem Slack-Workspace beitreten zu können, ist entweder eine Einladung oder eine E-Mail-Adresse mit der Domain des Unternehmens erforderlich.

Zudem bietet Slack seinen Kunden flexible Risikomanagementinstrumente, die Integration in DLP-Lösungen (Data Loss Prevention) und Tools zur Kontrolle des Datenzugriffs. Beispielsweise können Administratoren die Verwendung von Slack mit persönlichen Geräten und das Kopieren von Informationen aus ihren Kanälen einschränken.

Schwachstellen und Nachteile

Den Entwicklern von Slack zufolge benötigt nur eine begrenzte Anzahl von Unternehmen tatsächlich eine Ende-zu-Ende-Verschlüsselung, deren Implementierung übrigens die Funktionalität des Tools einschränken kann. Daher hat Slack offenbar keine zeitnahen Pläne, seinen Nutzern die Option der Ende-zu-Ende-Verschlüsselung zu geben.

Slack lässt Sie zudem Apps von Drittanbietern integrieren, deren Sicherheit offensichtlich nicht in der Verantwortung von Slack liegt.

Dazu kommt, dass Forscher einige schwerwiegende Schwachstellen in Slack gefunden haben. Der Instant-Messaging-Dienst hat lediglich zwei Bugs gepatcht, durch die Angreifer Daten stehlen und die Sitzung von Nutzern abfangen konnten.

Teams

Microsoft Teams ist in Office 365 Suite integriert – ein ungemeiner Vorteil für Unternehmensbenutzer. Als Reaktion auf die gestiegene Nachfrage nach Tools, die Nutzern die Arbeit aus dem Homeoffice erleichtern, bietet Microsoft jetzt eine kostenlose sechsmonatige Testversion von Microsoft Teams an. In der kostenlosen Testversion können Nutzer jedoch keine Benutzereinstellungen und -richtlinien konfigurieren – eine potenzielle Sicherheitsgefährdung.

Sicherheit

Teams erfüllt eine Reihe internationaler Standards, kann für die Arbeit mit vertraulichen medizinischen Daten eingerichtet werden und bietet flexible Optionen für das Sicherheitsmanagement. Bei einigen der angebotenen Pläne des Dienstes können zusätzliche Tools wie DLP oder das Scannen ausgehender Dateien in Teams integriert werden. Unsere Lösung zum Schutz von MS Office 365 scannt die über Teams ausgetauschten Daten, um zu verhindern, dass sich Malware im Unternehmensnetzwerk verbreitet.

An den Server gesendete Daten, ob Chats oder Videoanrufe, werden verschlüsselt; wir sprechen jedoch nicht von einer Ende-zu-Ende-Verschlüsselung. Apropos Datenspeicherung und -verarbeitung: Die Informationen verlassen niemals die Region, in der Ihr Unternehmen tätig ist.

Schwachstellen

Es ist eine gute Idee, Schwachstellen in Teams zu überwachen. Microsoft behebt Sicherheitslücken normalerweise schnell, sie treten jedoch von Zeit zu Zeit auf. Beispielsweise haben Forscher kürzlich eine Sicherheitslücke gefunden, die die Übernahme von Konten ermöglichte. Die Schwachstelle wurde selbstverständlich bereits gepatcht.

Skype for Business

Die Cloud-Version von Skype for Business – dem Vorgänger von Teams in Office 365 – gehört allmählich der Vergangenheit an. Trotzdem kann die Anwendung weiterhin lokal installiert werden. Einige Benutzer finden die App bequemer als Teams, weshalb Microsoft die Server-Version von Skype auch in den nächsten Jahren unterstützen wird.

Sicherheit

Skype for Business verschlüsselt Informationen (keine Ende-zu-Ende-Verschlüsselung) und der Schutz des Dienstes ist konfigurierbar. Skype verwendet darüber hinaus lokale Serversoftware, sodass Videoanrufe und andere Daten das Unternehmensnetzwerk nie verlassen – ein offensichtlicher Vorteil.

Schwachstellen und Vorteile

Das Produkt wird offensichtlich nicht für immer unterstützt. Sofern Microsoft seine Pläne nicht ändert, endet der Support für die App im Juli 2021, während Skype for Business Server 2019 bis zum 14. Oktober 2025 unterstützt wird.

WebEx Meetings und WebEx Teams

Cisco WebEx Meetings ist ein Dienst, der sich vor allem auf Videokonferenzen konzentriert. Cisco WebEx Teams ist ein umfassender Coworking-Service, der unter anderem Videoanrufe unterstützt. Die Unterschiede beider Dienste liegen im Verschlüsselungsansatz.

Sicherheit

Cisco WebEx Meetings umfasst Business-Class-Dienste und Ende-zu-Ende-Verschlüsselung. (Die Option ist standardmäßig deaktiviert, kann jedoch vom Anbieter auf Anfrage aktiviert werden. Dadurch wird die Funktionalität des Dienstprogramms etwas eingeschränkt. Wenn Ihre Mitarbeiter in Online-Meetings jedoch vertrauliche Informationen behandeln, ist dies sicherlich eine gute Option.) Cisco WebEx Teams bietet die Ende-zu-Ende-Verschlüsselung nur für Korrespondenzen und Dokumente an; Video- und Audioanrufe werden auf den Servern von Cisco entschlüsselt.

Schwachstellen und Nachteile

Erst im März dieses Jahres hat der Anbieter zwei Sicherheitslücken in WebEx Meetings behoben, die die Code-Remote-Ausführung gefährden. Anfang letzten Jahres wurde im Client von WebEx Teams ein schwerwiegender Bug gefunden. Er ermöglichte die Ausführung von Befehlen mit den Berechtigungen des aktuellen Benutzers. Cisco nimmt die Sicherheit seiner Dienste allerdings sehr ernst und aktualisiert diese schnell.

WhatsApp

WhatsApp wurde nicht für Unternehmen entwickelt. Dennoch kann die kostenlose App die Anforderungen kleiner Unternehmen oder Teams abdecken. Das Programm ist nicht für große Unternehmen geeignet. Videokonferenzen sind nur für bis zu vier Teilnehmer gleichzeitig verfügbar.

Sicherheit

WhatsApp hat den unbestreitbaren Vorteil einer echten Ende-zu-Ende-Verschlüsselung. Das bedeutet, dass weder Dritte noch WhatsApp-Mitarbeiter keinen Blick auf Ihre Videoanrufe werfen können. Im Gegensatz zu Geschäftsanwendungen bietet WhatsApp jedoch fast keine Optionen für die Verwaltung der Sicherheit von Chats und Anrufen.

Schwachstellen und Nachteile

Erst letztes Jahr haben Angreifer Pegasus-Spyware über WhatsApp-Videoanrufe verbreitet. Der Bug wurde zwar behoben, bedenken Sie jedoch, dass die App keinen Business-Class-Schutz bietet. Daher sollten Nutzer die neuesten Cybersicherheitsnachrichten aufmerksam verfolgen.

Zoom

Die Cloud-basierte Videokonferenzplattform Zoom ist seit Beginn der Epidemie besonders beliebt. Die flexible Preisgestaltung (mit kostenlosen 40-minütigen Konferenzen mit bis zu 100 Teilnehmern) und die Benutzerfreundlichkeit haben zahlreiche Nutzer auf die Plattform aufmerksam gemacht – genauso wie ihre Schwachstellen.

Sicherheit

Der Service entspricht dem internationalen Sicherheitsstandard SOC 2, bietet einen separaten HIPAA-konformen Serviceplan für Gesundheitsdienstleister und ist flexibel konfiguriert. Konferenzorganisatoren können Teilnehmer blockieren, selbst wenn sie über den richtigen Hyperlink und das richtige Passwort verfügen, die Aufzeichnung des Meetings verbieten und vieles mehr. Zoom hat sich aktiv mit gemeldeten Schwachstellen befasst und plant, der Produktsicherheit Vorrang einzuräumen.

Schwachstellen und Nachteile

Obwohl Zoom behauptet, eine Ende-zu-Ende-Verschlüsselung implementiert zu haben, ist diese Aussage nicht ganz gerechtfertigt. Denn bei einer Ende-zu-Ende-Verschlüsselung hat niemand außer dem Absender und dem Empfänger Zugriff auf bestimmte Daten, während Zoom Videodaten auf seinen Servern entschlüsselt – und das nicht immer im Ursprungsland Ihres Unternehmens.

In Zoom-Anwendungen wurden Sicherheitslücken unterschiedlichen Schweregrads entdeckt. Die Windows– und MacOS-Clients von Zoom wiesen einen (bereits behobenen) Bug auf, über den Hacker die Account-Informationen des Computers stehlen konnten. Zwei weitere Bugs in der macOS-App ermöglichen es Angreifern möglicherweise, das Gerät vollständig zu übernehmen.

Darüber hinaus stießen wir auf viele Berichte über Internet-Trolle, die sich in nicht passwortgeschützte Videokonferenzen einklinkten, um zweifelhafte Kommentare zu veröffentlichen und ihre Bildschirme mit obszönem Inhalt zu teilen. Das Problem kann behoben werden, indem Sie Ihre Konferenz ordnungsgemäß konfigurieren. Zoom hat jedoch aus Sicherheitsgründen standardmäßig den Schutz per Passwort eingerichtet.

  • Wählen Sie die App, die am besten zu Ihnen passt
    Es gibt keine Apps, die zu 100% sicher sind. Wählen Sie daher einen Dienst, dessen Nachteile keine Probleme für Ihr Unternehmen darstellen. Und denken Sie daran:
    Nehmen Sie sich die Zeit, den Dienst angemessen einzurichten. Freizügige Berechtigungen können zu Datenlecks führen.
  • Aktualisieren Sie Ihre Apps regelmäßig, um Schwachstellen schnellstmöglich zu beheben.
  • Stellen Sie sicher, dass Ihre Mitarbeiter wenigstens über grundlegende und vor allem sichere Verhaltensstrukturen im Netz verfügen. Sollte das nicht der Fall sein, organisieren Sie ein Remote-Training über unsere Plattform.
Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.