Sicherheitsrisiken bei kostenlosen Diensten berücksichtigen
Sichere Web-Konferenzen abhalten
Kein Unternehmen bietet aus reiner Güte Business-Software kostenlos an. Meistens steht einer der folgenden Gründe hinter dem Angebot: Der Anbieter erhält Zugang zu personenbezogenen Daten, der Anbieter verdient durch geschaltete Werbung oder der Anbieter zielt darauf ab, zu einem späteren Zeitpunkt Premium-Dienste zu verkaufen. Zwar ist keiner dieser Gründe an sich dubios - wenn es aber um Web-Konferenzdienste geht, sollten IT- und Geschäftsanwender unbedingt auf die mit diesen Angeboten verbundenen Sicherheitsrisiken achten. Denn leider ist dies ein Punkt, der bei vielen kostenlosen Angeboten zu kurz kommt. Folgende Sicherheitsaspekte sollten auch bei kostenlosen Web-Konferenzen gegeben sein, damit dadurch keine größeren Schäden entstehen.
Authentifizierung und Verschlüsselung
Mit kostenlosen Audio-, Video- und Web-Konferenzen ist es eine große Herausforderung sicherzustellen, dass tatsächlich nur autorisierte Teilnehmer an den Konferenzen teilnehmen. Sie können zwar ein verschlüsseltes Meeting abhalten, aber jeder, der die Einwahl-Details kennt, kann trotzdem daran teilnehmen und zuhören. Nutzen die Teilnehmenden nur die Audio-Optionen, können sie sogar zuhören, ohne ihre Namen oder Identitäten preiszugeben.
Fehlende Authentifizierung ist ein ernsthafter Risikofaktor und kommt häufiger vor, als man denkt. Im vergangenen Oktober kam ein großer Flugzeughersteller zu uns, nachdem zwei Personen sich per Audio-Option in ein All-Hand-Meeting des CEOs eingewählt und zugehört hatten. Ebenso haben sich zu Beginn des Wahlkampfs 2020 eine Reihe von politisch engagierten Organisationen in den USA an uns gewandt, um zu verhindern, dass sich Gegner, Kritiker und nicht autorisierte Journalisten in ihre Web-Konferenzen einschlichen - was in der Vergangenheit wohl durchaus vorgekommen ist.
Um solche Sicherheitsverletzungen zu vermeiden, bedarf es einer Web-Konferenzlösung, die eine vollständige Sicherheitssuite mit standardbasierter Verschlüsselung, etwa AES 128, und Zwei-Faktor-Authentifizierung beinhaltet.
Mit Verschlüsselungsoptionen lässt sich sicherstellen, dass nur Teilnehmer an verschlüsselten Endpunkten am Meeting teilnehmen. Dabei sollte die Web-Konferenzlösung sowohl Verbindungen über die Client-Anwendungen als auch via WebRTC standardmäßig verschlüsseln.
Viele Unternehmen verwenden Single Sign-on (SSO), um sich für die Web-Konferenzlösung anzumelden. Mit SSO kann der Nutzer nach einer Einmalanmeldung auf verschiedene Dienste und Anwendungen, für die er autorisiert ist, zugreifen, ohne sich jedes Mal neu anmelden zu müssen. Der am weitesten verbreitete Industriestandard für die Single-Sign-on-Methode ist die Security Assertion Markup Language (SAML).
Eine Web-Konferenzlösung sollte daher sowohl SAML unterstützen als auch andere gängige E-Mail/Passwort- und SAML-basierte SSO-Identify-Provider wie zum Beispiel Okta, Onelogin oder Azure AD. Doch SSO allein ist nicht ausreichend. Der zweite Faktor wären Passcodes für das Meeting, wobei fortschrittliche Lösungen hier sowohl eine Meeting-ID als auch einen Teilnehmer-Passcode als zweite Authentifizierungsebene anbieten.
Der verwendete Dienst sollte im Idealfall unterbinden, dass ein Anwender Einladungen mit den Meeting-Einwahldaten einfach weiterleiten kann. Als Minimalanforderung sollte der Ersteller der Konferenz zumindest in der Einladung darauf aufmerksam machen, dass die Teilnehmer Meeting-Details nicht weiterleiten dürfen. Einige Web-Konferenzanbieter haben Restriktionen eingebaut, zum Beispiel, dass alle Teilnehmenden sich über die E-Mail-Adresse des Unternehmens anmelden müssen.
Monitoring
Die riskantesten Dienste sind solche, die nur eine Nummer oder einen Anruf-Link bereitstellen, über den alle beitreten können, ohne dafür ein Passwort oder eine Meeting-ID einzugeben. Es gibt unzählige Geschichten über länger als geplant dauernde Meetings, bei denen sich unbefugte Personen eingewählt haben, weil sie dachten, das nächste Meeting hätte bereits begonnen.
Mit Monitoring-Funktionen lassen sich solche Szenarien verhindern. Administratoren können so Meetings überwachen, um sicherzustellen, dass alle Teilnehmenden tatsächlich eingeladen und auch identifiziert sind. Web-Konferenzlösungen sollten zudem die Möglichkeit bieten, das Meeting zu sperren, sobald alle eingeladenen Teilnehmer anwesend sind, sodass keine weitere Person an dem Meeting teilnehmen kann. Lässt sich jemand nicht eindeutig identifizieren, sollte die Lösung es erlauben, diesen einfach aus dem Meeting zu entfernen.
Wenn beispielsweise der Mitarbeiter John Smith aus Vietnam anruft, obwohl er eigentlich aus New York stammt, wird dies sofort erkannt und der Administrator kann den falschen John schnell und einfach aus dem Meeting werfen. Fortschrittliche Lösungen ermöglichen es, diesen Prozess mit Hilfe von APIs und gemäß den Sicherheitsrichtlinien eines Unternehmens zu automatisieren.
Datenschutz
Viele Cloud- oder Online-Dienste bieten freien Zugang, ohne deutlich zu machen, dass sie alle Daten, die die Lösung erfasst, auch an Dritte weiterverkaufen können. Dabei handelt es sich nicht nur um Identitätsdaten, sondern auch um Informationen darüber, mit wem die Mitarbeiter sich wie oft und wie lange treffen. Unternehmen, die einen kostenlosen Service nutzen, der die Daten an Dritte weitergibt, müssen die Mitarbeiter zumindest darauf hinweisen. Für die meisten Unternehmen und auch für die Mitarbeiter ist dies kein akzeptabler Kompromiss. Bei der Wahl des Anbieters sollte daher das Unternehmen darauf achten, dass dieser ausdrücklich angibt, die Daten nicht an Dritte weiterzugeben.
Im Allgemeinen ist es empfehlenswert, zu überprüfen, ob der Anbieter gängige Compliance-Richtlinien wie die DSGVO oder das EU-U.S. Privacy Shield Framework einhält und über entsprechende Zertifizierungen wie SOC 2 verfügt.
Klare "Bring your Own"-Richtlinien
Es kommt oft vor, dass wohlmeinende Mitarbeiter sich, ohne dass die IT-Abteilung darüber Bescheid weiß, für kostenlose Dienste anmelden, um Geld zu sparen oder um neue Technologien auszuprobieren. Das lässt sich nur vermeiden, wenn es klare BYO-Richtlinien gibt, die die IT-Abteilung unternehmensweit kommuniziert. Die meisten Mitarbeitenden sind sich der Risiken, die solche kostenlosen Dienste bergen, oft gar nicht bewusst. Daher ist es wichtig, die Gefahr, die solche Systeme fürs Unternehmen, aber auch für die personenbezogenen Mitarbeiterdaten darstellen, genau zu erläutern.
Meetings sollten "sichere Räume" sein
Kollaborationslösungen wie Web-Konferenzen werden für die Produktivität und Kultur vieler Unternehmen immer wichtiger. Je nach Sicherheitsrichtlinien der Unternehmen kann in Einzelfällen ein kostenloser Dienst durchaus Sinn machen. Unter dem Strich sollten Unternehmensbesprechungen aber sichere Räume sein, aus denen keine persönlichen Daten oder privaten Gespräche nach außen dringen. Schon ein einziges Sicherheitsleck während einer Web-Konferenz kann eine verheerende Krise verursachen. Wenn Unternehmen sich die Zeit nehmen, die Sicherheitsaspekte von Konferenzdiensten gründlich zu überprüfen, lässt sich so etwas leicht verhindern.
Lesen Sie mehr zum Thema
