20 Regeln zur sicheren Videokonferenz
Die aufgrund der Corona-Pandemie eingeführten Kontaktbeschränkungen entpuppen sich als Treiber der Digitalisierung am Arbeitsplatz. Der Arbeitsplatz ist dort, wo der Rechner- bzw. der Systemzugang möglich ist. Das ist in zunehmendem Maß das Home-Office. Videokonferenzsysteme sind die wesentlichen technologischen Treiber für die flexible Wahl des Arbeitsplatzes. Ihre Nutzung stieg mit Beginn des ersten Lockdowns sprunghaft um 50% an.
Videokonferenzen haben sich nicht zuletzt auf Grund ihrer Flexibilität und Kosteneffizienz etabliert. Sie werden weiterhin fester Bestandteil einer flexibleren Arbeitswelt sein. Auf der Schattenseite dieses Wandels stehen allerdings sicherheitstechnische Risiken, die mit diesem Wandel an Bedeutung gewinnen. Die sicherheitsrelevanten Attacken auf diese Kommunikationstechnologien sind in jüngster Zeit überproportional angestiegen. Zu nennen sind z. Bsp.:
- Meeting Bombing: Teilen ungeeigneter Medien mit bspw. pornographischem oder gewaltverherrlichenden Inhalten, die Meetings zum Abbruch führen können Schadhafte Links im Chat: Angreifer teilen im Chat schadhafte Links, um andere Teilnehmer auf eine eigene Seite umzuleiten und Browser-basierte Angriffe sowie Phishing-Angriffe zu starten.
- Stehlen der Meeting-Links: Stehlen unzureichend gesicherter Meeting-Links. Diese können missbraucht, verkauft oder veröffentlicht werden.
- Übertragung der Host-Privilegien: Bei dieser Art wartet der Angreifer, bis alle Teilnehmer das Meeting verlassen haben und erhält schließlich die Host-Privilegien.
Die folgenden Best Practices zum sicheren Einsatz von Videokonferenzsystemen orientieren sich an dem „CIS Videoconferencing Security Guide“, dem „CIS Benchmark Zoom“(1) sowie „CISA Guidance for Securing Video Conferencing“(2) und behandeln die wichtigsten Maßnahmen und Nutzungshinweise um sich gegen die häufigsten Angriffe zu schützen und Ihre Videokonferenzen abzusichern. Die Regeln verstehen sich als Ergänzung zu den Richtlinien in Bezug auf die Sicherheit von Arbeitsplatzsystemen und die Sicherheit für mobiles Arbeiten, um sich gegen die häufigsten Angriffe zu schützen.
Der erste Schritt, das sichere Einrichten der Videokonferenz
Sicherheit fängt wie immer bei der Vorbereitung an. Folgende Regeln sollten bei der Einrichtung Ihrer Videokonferenz beachtet werden, um einen sicheren Ablauf vorzubereiten:
- Software-Update: Führen Sie regelmäßige Updates der Videokonferenzsoftware durch
- Härtung der Videokonferenzsoftware: Härten Sie Ihre Systeme nach gängigen Standards, z. B. bei Zoom mittels des CIS Benchmarks Zoom.
- Nur registrierte Teilnehmer: Bei internen Meetings sollten Sie nur registrierte Teilnehmer akzeptieren. Registrierte Benutzer sollten dabei beim Login eine Multi-Faktor-Authentifizierung einsetzen. Ein Alternativ ist es Meetings mit Passwörtern abzusichern.
- Kein Einsatz von “Personal Rooms”: Setzen Sie keine Personal Rooms ein, diese haben eine statische URL. Ist diese einmal geleakt, kann ein Personal Room nicht mehr sicher verwendet werden.
- Meeting-Links gut schützen: Meeting-Links und Einwahlcodes gut schützen und nicht auf öffentlichen Plattformen teilen. Falls möglich nur über verschlüsselte Kanäle versenden.
- Nutzung eines Warteraums: Nutzen Sie bei Meetings mit externen einen Warteraum, in dem die externen Teilnehmer zunächst warten müssen, bis der Host den Beitritt akzeptiert und sie gezielt verifizieren kann.
- Akustische Signale: Sie sollten Ihr System so konfigurieren, dass es bei jedem Eintritt eines Teilnehmers ein akustisches und/ oder sichtbares Signal gibt, auf dass Sie reagieren können.
- Disclaimer für Datenschutz: Wenn notwendig, teilen Sie zu Beginn einen Disclaimer für Datenschutz und Sicherheit in der Konferenz.
- Start der Meetings: Starten Sie die Meetings stehts stets mit ausgeschalteter Audio- und Videoübertragung, um unbewusste und versehentliche Übermittlungen zu vermeiden.
- Screen-Sharing: Konfigurieren Sie Ihr System so, dass es Teilnehmern standardmäßig nicht erlaubt ist, Ihre Bildschirme zu teilen. Erteilen Sie diese Berechtigung bei Bedarf.
- Ende-zu-Ende-Verschlüsselung: Setzen Sie Verschlüsselungstechnologien bei der Übertragung ein. Falls möglich, verschlüsseln Sie Ende-zu-Ende inkl. der genutzten Medien.
Die sichere Durchführung der Videokonferenz
Nach der sicheren Einrichtung der Videokonferenz muss auch die Durchführung abgesichert werden, denn trotz aller Vorsicht können sich immer noch Gelegenheiten für Angreifer ergeben. Zur sicheren Durchführung eines Meetings sollten die folgenden Regeln beachtet und gelebt werden:
- Beitritte zulassen: Sie müssen Teilnehmer tatsächlich überprüfen und den Beitritt aktiv zulassen.
- Meeting nach Start schließen: Schließen sie das Meeting nach dem Start und schleußen Sie weitere Teilnehmer jedweder Couleur über einen Warteraum mit entsprechendem Validierungs- und Zulassungsprozedere.
- Entfernen von Teilnehmern: Entfernen Sie unbekannte und nicht eindeutig identifizierte und nicht gewünschte/ notwendige Teilnehmer rigoros aus Ihren Meetings.
- Private Chats: Deaktivieren Sie private Chats wo möglich und überwachen Sie die Chat-Verläufe z. B. auf schadhafte Links.
- Nur bestimmte Applikationen teilen: Teilen Sie wenn möglich nur dedizierte Applikation und nicht den gesamten Bildschirm, um versehentliche Leaks zu vermeiden.
- Dateiübertragung deaktivieren: Deaktivieren Sie Datenübertragungen standardmäßig, wenn eine Aktivierung notwendig ist. Nutzen Sie ein Dateityp-Whitelisting lediglich für Standard Datenformate wie z.B. *.pdf, *.txt, …
- Aufnahmen nicht erlauben: Erlauben Sie standardmäßig keine Aufnahmen des Meetings. Falls Aufnahmen der Meetings notwendig sind, unterrichten Sie im Vorfeld alle Teilnehmer dazu und holen Sie die entsprechenden Genehmigungen ein.
- Teilnehmer über das Telefon identifizieren: Identifizieren und verifizieren Sie Teilnehmer im Zweifel über das Telefon, wenn es keine andere Option gibt.
Keine Sicherheit ohne Awareness
Wenn Sie die oben aufgeführten 19 Regeln zu Absicherung Ihrer Videokonferenzen konsequent umsetzen, sind Sie auf einem guten Weg zu sicheren Onlinemeetings. Allerdings gilt auch hier wie überall die goldene Regel der IT-Sicherheit:
- Awareness: Schaffen Sie Bewusstsein bei Ihren Mitarbeiterinnen und Mitarbeitern nicht in Bezug auf die Regeln, sondern auch für die Notwendigkeit der Absicherung von Videokonferenzen. Überprüfen und Verstärken Sie dieses Bewusstsein auch über die freundliche Durchführung entsprechende Attacken.
Die Relevanz dieser Maßnahmen zeigt diese Meldung vom 20.11.2020. Selbst bei einem virtuellen Treffen der Verteidigungsminister der EU wurden grundlegende Regeln nicht befolgt. So ist es einem Journalisten gelungen über einen Tweet in dem 5 von 6 Ziffern einer Meeting-ID zu sehen waren gelungen in das Meeting einzutreten.(3). Hier lässt sich nicht nur mangelnde Awareness erkennen (Teilung der Inhalte über Twitter), sondern auch fehlende Umsetzung unserer weiteren Regeln (bspw. Regeln 3,4,6,12,14 gezielte Zulassung und Verifikation externen Teilnehmer, Nutzung von Warteräumen).
Für weitere Tipps zu Absicherung Ihrer Videokonferenzen IT-Arbeitsplätze oder der gesamten Infrastruktur, wenden Sie sich gerne jederzeit an unsere Experten!
(1) https://www.cisecurity.org/blog/top-videoconferencing-attacks-and-security-best-practices/?utm_source=Pardot&utm_medium=Email&utm_campaign=2020FallPromo
(2) https://www.cisa.gov/sites/default/files/publications/CISA_Guidance_for_Securing_Video_Conferencing_S508C.pdf.
(3) https://www.spiegel.de/politik/ausland/eu-video-treffen-der-verteidigungsminister-gehackt-a-7b028270-fcbc-442d-854f-e08fce234943?sara_ecid=soci_upd_KsBF0AFjflf0DZCxpPYDCQgO1dEMph