Security Awareness Newsletter der LANline
Security Awareness: Spitzelalarm in der Telekonferenz
Der folgende Text entstammt dem Security Awareness Newsletter der LANline, den der Experte Dr. Johannes Wiele regelmäßig für die LANline verfasst. Er richtet sich an Security-Fachleute und Nutzer und enthält in jeder Ausgabe einen praktischen Tipp. Wenn Sie den Newsletter regelmäßig und frühzeitig per E-Mail lesen möchten, sollten Sie sich kostenlos bei uns registrieren: www.lanline.de/newsletter/.
Unser Experte schreibt diesmal:
Die "Sicherheitslücke", um die es heute geht, ist sicher nicht die schlimmste der Welt. Dass sie überhaupt existiert, ist uns erst nach und nach aufgefallen. Zunächst erzählte ein Bekannter, dass sein Unternehmen mit einem neuen externen Telekonferenz-Unternehmen zusammenarbeite, und dies "sei sehr praktisch, um auch einmal etwas über echte Interna zu erfahren".
Wie das?
Beim fraglichen System hat offenbar jeder Mitarbeiter, der Telekonferenzen abhalten will, eine "virtuelle Raumnummer". Für diese gibt es eine Konferenzleiter-PIN und eine Teilnehmer-PIN, die über die Tonwahltasten eingegeben werden. Die Teilnehmer-PIN ist nicht individuell, sondern für alle Teilnehmer gleicht.
Der Erzähler nun hat sich angewöhnt, beim Ende einer Konferenz manchmal einfach nicht aufzulegen. Startet die nächste Konferenz, fällt seine Anwesenheit gar nicht auf.
Sehr praktisch, in der Tat…
Es gibt viele ähnliche Systeme, aber bei der Mehrzahl kann der Konferenzleiter parallel zum Telefon oder im Browser seines Telefons ein Web-gestütztes "Dashboard" aufrufen, das die Zahl der Eingewählten und ihre Telefonnummern zeigt. Findet er darin eine Diskrepanz zur Liste der Zuhörer, die sich bei Konferenzbeginn explizit zu Wort gemeldet haben, kann er dem Problem auf den Grund gehen. Auch dann, wenn hier und da einer der Teilnehmer mit dem üblichen Signal-Beep entweder aus der Konferenz verschwindet oder mittendrin hinzukommt, zeigt das Dashboard, was geschieht und um wen es sich handelt.
Wann immer es also Heikles zu besprechen gibt, kann eine Konferenz mit solch einen System mit der notwendigen Vertraulichkeit veranstaltet werden. Welches Chaos und welche Unsicherheit entstehen, wenn die Web-Steuerung einmal nicht funktioniert ("Also wer war jetzt nochmal da? Ist jetzt einer `rausgefallen oder dazugekommen? Könnt Ihr irgendwie sehen, wie viele Teilnehmer heute drin sind???"), haben wir erst vor Kurzem direkt miterlebt - das war der zweite "Wink", über dieses Thema nachzudenken.
— Cut & Paste - Tipp - Anfang
Spitzelalarm in der Telekonferenz
Wenn Sie von Zeit ein unternehmensinternes oder outgesourctes Telekonferenz-System für virtuelle Meetings nutzen, sollten Sie sicher sein, dass sich immer nur die zugelassenen und eingeladenen Teilnehmer einwählen oder anwesend sind. Die meisten Systeme melden zwar duch charakteristische Tonsignale, wenn sich jeamnd einklinkt oder aus der Konferenz herausfällt, und viele melden zu Beginn auch die Zahl der bereits anwesenden Zuhörer. Eine Situation, bei der man nicht mehr ganz genau weiß, ob tatsächlich nur der erwartete Kreis im "Call" ist oder ob jemand stillschweigend "U-Boot" spielt, etwa weil er nach einer vorangegangenen Konferenz einfach nicht aufgelegt hat, entsteht dennoch schnell. Überprüfen Sie als Leiter des Calls deshalb, ob eine Anzeigemöglichkeit der aktuell eingewählten Telefonnummern besteht, und prüfen sie diese gegebenenfalls. Gibt es keine entsprechende Funktion, ist die Konferenztechnik für wirklich vertrauliche Meetings nicht geeignet.
— Cut & Paste - Tipp - Ende
Lesen Sie mehr zum Thema
