20 Regeln zur sicheren Videokonferenz

Die aufgrund der Corona-Pandemie eingeführten Kontaktbeschränkungen entpuppen sich als Treiber der Digitalisierung am Arbeitsplatz. Der Arbeitsplatz ist dort, wo der Rechner- bzw. der Systemzugang möglich ist. Das ist in zunehmendem Maß das Home-Office. Videokonferenzsysteme sind die wesentlichen technologischen Treiber für die flexible Wahl des Arbeitsplatzes. Ihre Nutzung stieg mit Beginn des ersten Lockdowns sprunghaft um 50% an.

Videokonferenzen haben sich nicht zuletzt auf Grund ihrer Flexibilität und Kosteneffizienz etabliert. Sie werden weiterhin fester Bestandteil einer flexibleren Arbeitswelt sein. Auf der Schattenseite dieses Wandels stehen allerdings sicherheitstechnische Risiken, die mit diesem Wandel an Bedeutung gewinnen. Die sicherheitsrelevanten Attacken auf diese Kommunikationstechnologien sind in jüngster Zeit überproportional angestiegen. Zu nennen sind z. Bsp.:

  • Meeting Bombing: Teilen ungeeigneter Medien mit bspw. pornographischem oder gewaltverherrlichenden Inhalten, die Meetings zum Abbruch führen können Schadhafte Links im Chat: Angreifer teilen im Chat schadhafte Links, um andere Teilnehmer auf eine eigene Seite umzuleiten und Browser-basierte Angriffe sowie Phishing-Angriffe zu starten.
  • Stehlen der Meeting-Links: Stehlen unzureichend gesicherter Meeting-Links. Diese können missbraucht, verkauft oder veröffentlicht werden.
  • Übertragung der Host-Privilegien: Bei dieser Art wartet der Angreifer, bis alle Teilnehmer das Meeting verlassen haben und erhält schließlich die Host-Privilegien.


Die folgenden Best Practices zum sicheren Einsatz von Videokonferenzsystemen orientieren sich an dem „CIS Videoconferencing Security Guide“, dem „CIS Benchmark Zoom“(1) sowie „CISA Guidance for Securing Video Conferencing“(2) und behandeln die wichtigsten Maßnahmen und Nutzungshinweise um sich gegen die häufigsten Angriffe zu schützen und Ihre Videokonferenzen abzusichern. Die Regeln verstehen sich als Ergänzung zu den Richtlinien in Bezug auf die Sicherheit von Arbeitsplatzsystemen und die Sicherheit für mobiles Arbeiten, um sich gegen die häufigsten Angriffe zu schützen.

Der erste Schritt, das sichere Einrichten der Videokonferenz

Sicherheit fängt wie immer bei der Vorbereitung an. Folgende Regeln sollten bei der Einrichtung Ihrer Videokonferenz beachtet werden, um einen sicheren Ablauf vorzubereiten:

  1. Software-Update: Führen Sie regelmäßige Updates der Videokonferenzsoftware durch
  2. Härtung der Videokonferenzsoftware: Härten Sie Ihre Systeme nach gängigen Standards, z. B. bei Zoom mittels des CIS Benchmarks Zoom.
  3. Nur registrierte Teilnehmer: Bei internen Meetings sollten Sie nur registrierte Teilnehmer akzeptieren. Registrierte Benutzer sollten dabei beim Login eine Multi-Faktor-Authentifizierung einsetzen. Ein Alternativ ist es Meetings mit Passwörtern abzusichern.
  4. Kein Einsatz von “Personal Rooms”: Setzen Sie keine Personal Rooms ein, diese haben eine statische URL. Ist diese einmal geleakt, kann ein Personal Room nicht mehr sicher verwendet werden.
  5. Meeting-Links gut schützen: Meeting-Links und Einwahlcodes gut schützen und nicht auf öffentlichen Plattformen teilen. Falls möglich nur über verschlüsselte Kanäle versenden.
  6. Nutzung eines Warteraums: Nutzen Sie bei Meetings mit externen einen Warteraum, in dem die externen Teilnehmer zunächst warten müssen, bis der Host den Beitritt akzeptiert und sie gezielt verifizieren kann.
  7. Akustische Signale: Sie sollten Ihr System so konfigurieren, dass es bei jedem Eintritt eines Teilnehmers ein akustisches und/ oder sichtbares Signal gibt, auf dass Sie reagieren können.
  8. Disclaimer für Datenschutz: Wenn notwendig, teilen Sie zu Beginn einen Disclaimer für Datenschutz und Sicherheit in der Konferenz.
  9. Start der Meetings: Starten Sie die Meetings stehts stets mit ausgeschalteter Audio- und Videoübertragung, um unbewusste und versehentliche Übermittlungen zu vermeiden.
  10. Screen-Sharing: Konfigurieren Sie Ihr System so, dass es Teilnehmern standardmäßig nicht erlaubt ist, Ihre Bildschirme zu teilen. Erteilen Sie diese Berechtigung bei Bedarf.
  11. Ende-zu-Ende-Verschlüsselung: Setzen Sie Verschlüsselungstechnologien bei der Übertragung ein. Falls möglich, verschlüsseln Sie Ende-zu-Ende inkl. der genutzten Medien.

Die sichere Durchführung der Videokonferenz

Nach der sicheren Einrichtung der Videokonferenz muss auch die Durchführung abgesichert werden, denn trotz aller Vorsicht können sich immer noch Gelegenheiten für Angreifer ergeben. Zur sicheren Durchführung eines Meetings sollten die folgenden Regeln beachtet und gelebt werden:

  1. Beitritte zulassen: Sie müssen Teilnehmer tatsächlich überprüfen und den Beitritt aktiv zulassen.
  2. Meeting nach Start schließen: Schließen sie das Meeting nach dem Start und schleußen Sie weitere Teilnehmer jedweder Couleur über einen Warteraum mit entsprechendem Validierungs- und Zulassungsprozedere.
  3. Entfernen von Teilnehmern: Entfernen Sie unbekannte und nicht eindeutig identifizierte und nicht gewünschte/ notwendige Teilnehmer rigoros aus Ihren Meetings.
  4. Private Chats: Deaktivieren Sie private Chats wo möglich und überwachen Sie die Chat-Verläufe z. B. auf schadhafte Links.
  5. Nur bestimmte Applikationen teilen: Teilen Sie wenn möglich nur dedizierte Applikation und nicht den gesamten Bildschirm, um versehentliche Leaks zu vermeiden.
  6. Dateiübertragung deaktivieren: Deaktivieren Sie Datenübertragungen standardmäßig, wenn eine Aktivierung notwendig ist. Nutzen Sie ein Dateityp-Whitelisting lediglich für Standard Datenformate wie z.B. *.pdf, *.txt, …
  7. Aufnahmen nicht erlauben: Erlauben Sie standardmäßig keine Aufnahmen des Meetings. Falls Aufnahmen der Meetings notwendig sind, unterrichten Sie im Vorfeld alle Teilnehmer dazu und holen Sie die entsprechenden Genehmigungen ein.
  8. Teilnehmer über das Telefon identifizieren: Identifizieren und verifizieren Sie Teilnehmer im Zweifel über das Telefon, wenn es keine andere Option gibt.

Keine Sicherheit ohne Awareness

Wenn Sie die oben aufgeführten 19 Regeln zu Absicherung Ihrer Videokonferenzen konsequent umsetzen, sind Sie auf einem guten Weg zu sicheren Onlinemeetings. Allerdings gilt auch hier wie überall die goldene Regel der IT-Sicherheit:

  1. Awareness: Schaffen Sie Bewusstsein bei Ihren Mitarbeiterinnen und Mitarbeitern nicht in Bezug auf die Regeln, sondern auch für die Notwendigkeit der Absicherung von Videokonferenzen. Überprüfen und Verstärken Sie dieses Bewusstsein auch über die freundliche Durchführung entsprechende Attacken.

Die Relevanz dieser Maßnahmen zeigt diese Meldung vom 20.11.2020. Selbst bei einem virtuellen Treffen der Verteidigungsminister der EU wurden grundlegende Regeln nicht befolgt. So ist es einem Journalisten gelungen über einen Tweet in dem 5 von 6 Ziffern einer Meeting-ID zu sehen waren gelungen in das Meeting einzutreten.(3). Hier lässt sich nicht nur mangelnde Awareness erkennen (Teilung der Inhalte über Twitter), sondern auch fehlende Umsetzung unserer weiteren Regeln (bspw. Regeln 3,4,6,12,14 gezielte Zulassung und Verifikation externen Teilnehmer, Nutzung von Warteräumen).

 

Für weitere Tipps zu Absicherung Ihrer Videokonferenzen IT-Arbeitsplätze oder der gesamten Infrastruktur, wenden Sie sich gerne jederzeit an unsere Experten!








 

 

 

Wir freuen uns auf Ihre Mitteilung
 

 

BIT's

Das wird teuer

Kosten von Cyberangriffen
Durchschnittlicher Schaden eines Datenschutzverstoßes weltweit: 4,88 Mio. USD
(IBM Cost of a Data Breach Report 2024)

Deutschland gehört zu den teuersten Ländern: 5,31 Mio. USD pro Vorfall

Durchschnittlich 204 Tage bis ein Datenschutzverstoß entdeckt wird (IBM 2024)

Gaia-X

Gaia-X – Souveräne Datenräume entdecken

Sind Ihre Wertschöpfungsketten bereits so souverän, sicher und KI-fähig aufgestellt, dass Sie in Echtzeit mit Partnern innovieren können – ohne die Kontrolle über Ihre Daten zu verlieren?
In einer zunehmend vernetzten und geopolitisch sensiblen Wirtschaftswelt entscheiden sichere, interoperable und EU-konforme Dateninfrastrukturen über…

weiter >

NACHDENKBAR

"In God we trust. All others must bring data."

(William Edwards Deming)

IT-Advisory

Moderne Drucksysteme sind vollwertige Server und als solche sicherheitsrelevanten IT-Infrastruktur

bitkom Leitfaden, 27. März 2019

Sicherheit von Drucksystemen – Leitfaden der bitkom zum Thema Sicherheit von Drucksystemen und Multifunktionsgeräten

weiter >

Business Consulting

Erfolgsfaktoren der IT-Business-Kollaboration

Warum Kooperation trotz klarer Ziele scheitert:

weiter >

HinschG

Warum Unternehmen das Hinweisgeberschutzgesetz (HinSchG) sehr ernst nehmen müssen

Das Hinweisgeberschutzgesetz (HinSchG) scheint auf den ersten Blick nur eine einfache Hinweisplattform zu sein. Näher betrachtet kann die falsche Handhabung zu einem erheblichem Imageverlust für Unternehmen führen oder mit signifikanten Strafzahlungen einher gehen. Was Sie unbedingt beachten sollten.

weiter >

BIT's

Die Schotten haben 421 Wörter für Schnee. 

Die Studie der Universität Glasgow ist Teil eines Projekts zur Erstellung des ersten historischen Thesaurus des Schottischen, der online veröffentlicht wird.
Das Forschungsteam hat zudem dazu aufgerufen, eigene Wortvorschläge einzusenden.

Zum Artikel in Englisch

weiter >

KI

Wie CIOs KI erfolgreich skalieren – Vom "Spielzeug" zum Keyplayer im Wettbewerb

Wie lassen sich KI-Initiativen erfolgreich vom Piloten in den produktiven Betrieb überführen? Viele Unternehmen unterschätzen, dass es dafür weit mehr braucht als leistungsfähige Algorithmen. Vor allem die konsequente Fokussierung auf Wirtschaftlichkeit und ROI, Datenqualität, Governance und eine zukunftsfähige Datenarchitektur ist entscheidend –…

weiter >

IT-Advisory

Mit Flexibilität, Geschwindigkeit und klaren Entscheidungen die digitale Transformation meistern!

Für einen hochbeschleunigten Markt benötigen Sie neue Lösungen in kürzeren Zyklen. Sie müssen ihre Entscheidungen schneller treffen und gleichzeitig eine enge Zusammenarbeit zwischen den Fachbereichen und der IT gewährleisten.

weiter >

Gaia-X

GAIA-X mit eigener Rechtspersönlichkeit

GAIA-X will durch den Aufbau einer eigenen Dateninfrastruktur für die Datensouveränität Europas sorgen. Dabei steht die Entwicklung eines neuen digitalen Ökosystems in Europa im Vordergrund, das Innovationen, neue datengetriebene Dienste und Anwendungen zum Nutzen aller hervorbringt.

weiter >

Nachdenkbar

Wirken Sie auf andere?

"Wer auf andere Leute
wirken will, der muss
erst einmal in ihrer
Sprache mit ihnen reden."

(Kurt Tucholsky)

IT-Advisory

Output-Management

In vielen Unternehmen ist die Kommunikation mit den Kunden nicht nur mit hohen Kosten verbunden, sondern häufig auch zu langsam, zu umständlich oder zu unflexibel. Gleichzeitig machen immer mehr Unternehmen vor, wie man aus der Vielzahl der von Kunden gespeicherten Informationen höchst personalisierte Botschaften formt.

weiter >

IT-Advisory

Digitalisierung

Die Digitalisierung konfrontiert Unternehmen mit immer schnelleren Veränderungszyklen in nahezu allen Bereichen. Um dennoch eine nachhaltige Wettbewerbsfähigkeit sicherzustellen, ist eine ganzheitliche digitale Transformation von fundamentaler Bedeutung. Dabei geht es um die Identifikation und Umsetzung von Maßnahmen, die Einführung neuer…

weiter >

BIT's

Nutzer vertrauen Online-Banking Plattformen in Bezug auf Datensicherheit am meisten. (59,4 %) 

Insgesamt haben Deutsche wenig Vertrauen in die Datensicherheit auf Online-Plattformen. Trotzdem übernehmen die Nutzerinnen und Nutzer auch immer noch zu wenig Eigenverantwortung durch eigene Sicherheitsmaßnahmen.

Zum Artikel auf eco

weiter >

IT-Advisory

Architektur & Infrastruktur

Mit dem zunehmenden Einsatz agiler Entwicklungsmethoden und der Verfügbarkeit von Cloud-Technologien verkürzen sich die Entwicklungs- und Bereitstellungszyklen dramatisch. Diese neue Dynamik wird von den Anwendern von IT-Systemen gerne und gut angenommen. Dem stehen jedoch deutlich höhere Anforderungen an Service Provider entgegen, da deren…

weiter >

IT-Advisory

IT-Infrastruktur & Cloud

Von einem etwas diffusen Schlagwort in den 2000er-Jahren bis zu einem der gängigsten IT-Begriffe: Cloud-Computing hat eine rasante Entwicklung genommen, die sich auch zukünftig weiter fortsetzen wird.

weiter >

Nachdenkbar

"Es gibt nichts Nutzloseres, als etwas sehr effizient zu tun, was gar nicht getan werden sollte."

(Peter Drucker)

IT-Advisory

Prozessoptimierung

Die stetige Optimierung und Gestaltung Prozessen ist für den Erfolg von Unternehmen von entscheidender Bedeutung, für die Steigerung ihrer Wettbewerbsfähigkeit. Wesentliche Zielsetzungen sind dabei: 1. Effizienzsteigerung: Durch die Rationalisierung und Optimierung von Geschäftsprozessen können Unternehmen den Zeit-, Arbeits- und Ressourcenaufwand…

weiter >

IT-Advisory

Cloud-Transformation

Von einem etwas diffusen Schlagwort in den 2000er-Jahren bis zu einem der gängigsten IT-Begriffe: Cloud-Computing hat eine rasante Entwicklung genommen, die sich auch zukünftig weiter fortsetzen wird. Der Digitalverband Bitkom definiert Cloud-Computing als „eine Form der bedarfsgerechten und flexiblen Nutzung von IT-Leistungen. Diese werden in…

weiter >

IT-Advisory

Datenarchitektur & KI

KI ist mittlerweile als Thema selbst in kleinere Unternehmen vorgedrungen. Dabei ist die Definition durchaus nicht so eindeutig wie die Diskussion vermuten läßt. Wo fängt KI an und wie hängt sie mit „einfacher“ Prozessautomation, neuronalen Netzen, Machine oder Deep Learning zusammen? Wo sind die Zusammenhänge zu anderen Schlagworten wie Big Data…

weiter >

BIT´s

Braucht Deutschland mehr digitale Souveränität?

100% der Unternehmen sind der Meinung, dass Deutschland mehr digitale Souveränität erlangen muss.

Zum Artikel auf Bitkom

weiter >

IT-Advisory

Migration und M&A

Neben organisatorischen und kulturellen Heraus-forderungen ist die Integration der IT der entscheidende Faktor für den Erfolg von Fusionen. Grund dafür sind nicht nur die Abhängigkeiten zahlreicher Unternehmensprozesse von einer jederzeit funktionierenden IT, sondern auch die oft unterschätzten Potenziale einer reibungslosen IT-Integration mit…

weiter >

Nachdenkbar

"Krise ist ein produktiver Zustand. Man muss ihm nur den Beigeschmack der Katastrophe nehmen."

(Max Frisch)

IT Advisory

Next Generation Dateninfrastruktur für Europa. Insentis: “Day 1”-Mitglied der GAIA-X Foundation

Mit GAIA-X entwickeln Vertreter aus Politik, Wirtschaft und Wissenschaft aus Frankreich und Deutschland gemeinsam mit weiteren europäischen Partnern einen Vorschlag zur Gestaltung der nächsten Generation einer Dateninfrastruktur für Europa. Ziel ist eine sichere und vernetzte Dateninfrastruktur, die den höchsten Ansprüchen an digitale Souveränität…

weiter >

Cyber

Zero Trust – Der Perimeter wankt

Das Perimeter Modell ist die etablierte Architektur, um Daten und Systeme vor externen Bedrohungen zu schützen. Allerdings wird diese nun schon sehr lange in einem Spannungsfeld aus raffinierteren Cyber-Angriffen, neuartigen IT-Diensten, Regulatorik, Usability-Aspekten und insbesondere der Einsatz von Cloud-Services, unter Druck gesetzt.

weiter >

IT-Advisory

Fragen an Robert Duisberg zum Druck aus dem Homeoffice

Die Verlagerung vieler Druckprozesse ins Homeoffice wurde fast ohne jede Vorbereitung umgesetzt. Fast alle sicherheitsrelevanten Fragen zu diesem Bereich beziehen sich auf die Absicherung in Unternehmen. Robert Duisburg, stellvertretender Vorsitzender im Bitkom-Arbeitskreis „Printing Solutions Service” brennt das Thema unter den Nägeln.

weiter >

BIT's

Die Kosten für Cyber-Security-Vorfälle haben sich letztes Jahr im europäischen Schnitt versechsfacht.

Wchtigsten Erkenntnisse:
- Rückläufige Angriffszahlen, aber stark gestiegene Kosten im Schadenfall
- Deutsche Unternehmen mit höchster durchschnittlicher Schadenhöhe
- 41% erlebten mindestens eine Cyber-Attacke

Zum Report auf hiscox.

weiter >

IT-Advisory

Sicheres-drucken-aus-dem-home-office – jetzt starten!

Sicheres Drucken aus dem Home-Office ist am sichersten, wenn man auf Drucken aus dem Home-Office ganz verzichtet, ohne auf sicheres Drucken zu verzichten. Was paradox klingt, erläutert Robert Duisberg.

weiter >

IT-Advisory

Insentis engagiert sich im AK Printing Solutions der Bitkom

Die Insentis bringt sich mit Robert Duisberg an führender Position in der AK Printing Solutions der Bitkom ein und stellt die reiche Projekt- und Kundenerfahrung so in den Dienst der Verbandsarbeit zur Erarbeitung zukunftsfähiger Ansätze im Bereich Outputmanagement.

Artikel auf Bitcom lesen.

weiter >

IT-Advisory

Digitalisierung von Kundenservices - Zwischen der Renaissance der Emotionalität und High-Performance-Computing

In den letzten Jahren sind die Themen Kundenzentrierung und Kundenkommunikation vor allem digital angegangen worden. Dabei zeigen zahlreiche Untersuchungen auch die Relevanz haptisch-analoger Kommunikation mit den Kunden. Die Kombination digitaler und analoger Kanäle beinhaltet durchaus Vorteile.

weiter >

IT-Advisory

Analog ist das neue Digital

Energieversorger bewegen sich in einem besonderen Marktumfeld, denn sie haben kein echtes Alleinstellungsmerkmal. Um Kunden zu gewinnen und zu halten, gilt es, die Kommunikation emotionaler zu gestalten und positiv zu besetzen.

Zum Artikel auf Stadt+Werk

weiter >

NACHDENKBAR

"Das ganze Leben ist ein ewiges Wiederanfangen."

(Hugo von Hofmannsthal)

BIT's

9 / 10 Unternehmen in Deutschland wurden im letzten Jahr Opfer einer Hackerattacke

Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jährlich ein Gesamtschaden von 223 Milliarden Euro. Damit haben kriminelle Attacken erneut für Rekordschäden gesorgt.

weiter >

IT-Advisory

Digitale Transformation

Die Digitalisierung konfrontiert Unternehmen mit immer schnelleren Veränderungszyklen in nahezu allen Bereichen. Um dennoch eine nachhaltige Wettbewerbsfähigkeit sicherzustellen, ist eine ganzheitliche digitale Transformation von fundamentaler Bedeutung. Dabei geht es um…

weiter >

IT-Advisory

Digital-Gipfel 2018 – Gedruckte Medien sind integraler Bestandteil der Marketingstrategie

Interview, 25. November 2018

weiter >
scroll to top

 

Partner & Netzwerke
bdu Logo
Bitkom Logo
IT Security Logo
gaja-x Zertifizierungs-Logo
Logo
ecovadis Logo
great-place-to-work-Logo
Logo Strategyframe-ai
certVision Logo
Cambrion-Logo
Logo Defenderbox