Zoom-Boom: Einfache, aber wirkungsvolle Tipps zum Umgang mit Videokonferenz-Anwendungen

Anzeige

Illustration: Absmeier, roegger

Da Unternehmen aufgrund der Coronavirus-Pandemie obligatorische Richtlinien für die Arbeit von zu Hause aus erlassen haben, ist die Nutzung von Videokonferenzdiensten sprunghaft angestiegen. Leider somit auch der Missbrauch der Systeme. Aaron Zander, IT-Leiter bei Hackerone, teilt im Folgenden ein paar einfache, aber dennoch wichtige Tipps zum Umgang mit Videokonferenz-Anwendungen und deren Einladungen, auch unter dem aktuellen Aspekt des sogenannten Zoom-Bombing.

 

Keine Weitergabe von Online-Meeting-IDs oder Meeting-URLs in sozialen Medien

Wenn man die ID oder URL eines Meetings veröffentlicht (und sei es unbeabsichtigt, beispielsweise durch einen Screenshot und/oder nur im kleinen Kreis), erhalten möglicherweise fremde Personen als Teilnehmer eines Online-Meetings Zugang zu vertraulichen Gesprächen und können die neue, virtuelle Arbeitsumgebung infiltrieren.

Da der Zoom-Boom mittlerweile auch die sozialen Medien erfasst hat, sollte man darauf achten, wie viel Informationen man wo und wie freigibt. Der Anbieter »Zoom« hat zum Beispiel neue Funktionen hinzufügt und die Benutzeroberfläche verändert, um die Sicherheit zu erhöhen. So wird unter anderem die Besprechungs-ID nicht mehr in der Titelsymbolleiste angezeigt, und der Titel wird für alle Besprechungen einfach »Zoom« genannt. Dadurch wird verhindert, dass andere Personen aktive Besprechungs-IDs sehen.

 

Passwortschutz für Meetings

Nachdem Zoom derzeit so populär ist, ein weiterer Tipp für diese Plattform: Sie ermöglicht es Admins für ganze Organisationen einen Passwortschutz zu aktivieren, aber dieser ist auch individuell anpassbar. Normalerweise ist das Kennwort in der URL verschlüsselt und beginnt mit »?pwd=«. Diesen Teil kann man löschen und das Passwort entsprechend an die Teilnehmer individuell weitergeben.

 

Zugang einschränken

Mit Zoom können Meeting-Gastgeber verhindern, dass nicht-authentifizierte Benutzer dem Meeting beitreten können. Man kann den Zugriff einschränken, indem man die Benutzer verpflichtet sich entweder mit einem beliebigen Zoom-Konto oder noch besser mit einem Zoom-Konto, die bestimmte E-Mail-Domänen verwenden, anzumelden.

 

Aktivieren der Funktion »Warteraum«

Diese Funktion ist über das Sicherheitsmenü verfügbar und bietet eine weitere Sicherheitsstufe, bevor die Personen, die an Ihrer Besprechung teilnehmen, diese sehen oder daran teilnehmen können. Diese Funktion setzt voraus, dass neue Teilnehmer von einem Gastgeber oder Co-Gastgeber des Meetings manuell aus dem Warteraum Einlass ins Meeting gewährt wird.

 

Meetings sperren

Wenn alle Ihre Teilnehmer beim Meeting anwesend sind, kann man dieses sperren, um so den Beitritt weiterer Personen zu verhindern.

 

Präsentationsmodus nur bei Bedarf verwenden

Zoom ermöglicht zwar die gleichzeitige Präsentation von mehreren Personen, aber wenn man diese Funktion nicht benötigt, sollte diese nicht unnötig verwendet werden. Das spart zudem auch Bandbreite, die nach wie vor nicht immer und überall ausreichend vorhanden ist.

 

Gemeinsame Bildschirmnutzung vor dem Meeting vorbereiten

Bei der Bildschirmfreigabe sollte man nur das gewählte Fenster teilen und nicht den kompletten Bildschirm. So wird verhindert, dass versehentlich zu viele Informationen freigegeben werden oder vertrauliche Benachrichtigungen die Besprechung unterbrechen. Außerdem sollte man bei der gemeinsamen Nutzung von Browser-Inhalten ein neues Fenster nur mit dem Register oder den Registern erstellen, die man freigeben möchte.

 

Meeting-ID generieren

Die Generation einer Meeting-ID über das System ist sicherer als eine persönliche ID/URL zu verwenden. Dadurch wird verhindert, dass Teilnehmer einer vergangenen Besprechung auf Teilnehmer einer bestehenden Besprechung stoßen.

 

Beachtet man diese wenigen Tipps bei der Planung und Durchführung von Online-Meetings, hat man schon einen wesentlichen Schritt bei der Verbesserung der Sicherheit dieser Konferenzen getan.

https://www.hackerone.com/de

 

So (un)sicher sind Teamwork-Apps und Video-Konferenzen von Zoom, Slack, Google, Skype, Teams & Co.

  • Video-Konferenz & Kollaborationstools sind aktuell im Home Office unverzichtbar, aber mit Vorsicht zu genießen: Alle von APPVISORY getesteten Software-Apps weisen grundsätzliche Sicherheitsrisiken auf.
  • Nicht aus allen Wolken fallen: cloudbasierter Videokonferenz- und Kollaborationsdienst Cisco WebEx Meetings laut Test am unsichersten, Zoom Cloud lässt eindeutige Identifizierung von Nutzern zu.
  • Kostenloser Guide für ein sicheres Homeoffice zur Verfügung.

 

Für Unternehmen sind sie Glück im Unglück: Videokonferenz- und Kollaborationstools – halten sie doch damit Mitarbeiter und Menschen in der aktuellen Krise zusammen. Doch wie ist es um die sensiblen Daten der Nutzer bestellt, die per Smartphone App der nächsten Videokonferenz beiwohnen? Und wie sieht es mit der Sicherheit aus, wenn Mitarbeiter über Slack oder Trello ihren Workflow mit ihren Kollegen abstimmen?

Aktuelle Tests der App Security Spezialisten von APPVISORY haben ergeben, dass Cisco WebEx Meetings, Zoom Cloud Meetings, Slack, Trello, Mattermost, Skype for Business, Microsoft Teams und Google Hangouts in puncto Sicherheit noch nachbessern müssen und zumindest auf betrieblichen Smartphones nur mit Vorsicht zu genießen sind [1].

 

Zusammenarbeit mit Augenmaß – das Ranking der Getesteten von unsicher bis sicher

 

  1. Cisco WebEx Meetings (Android)  Risk Level (CVSS Score [2]): 8,8
  2. Zoom Cloud Meetings(Android)  Risk Level:  7,5
  3. Slack (Android)   Risk Level:  7,5
  4. Trello (Android)   Risk Level:   7,5
  5. Mattermost (iOS)   Risk Level:   6.0
  6. Skype for Business (iOS)  Risk Level:  6,0
  7. Microsoft Teams (iOS)   Risk Level:  6,0
  8. Google Hangouts (iOS)   Risk Level:  6,0

 

Beim Thema Sicherheit ist Cisco WebEx Meetings trauriger Verlierer – dem mächtigen Tool, das zwar Online-Kollaboration und Kommunikation vereint, mangelt es nicht nur an ausreichender Verschlüsselung, sondern auch an einer sicheren Implementierung von Webview.

Und auch die beliebte Videokonferenz-Anwendung Zoom Cloud Meetings hat zwar jüngst nach Medienkritik nachgebessert, wie bei der unzulässigen Weiterleitung von Informationen an Facebook, doch ist auch hier die Verschlüsselung noch unzureichend für den Einsatz in Unternehmen.

 

Cisco WebEx Meetings, Zoom Cloud Meetings – Hausaufgaben nicht gemacht

Beide Anwendungen haben keine durchgehende und ausreichende Verschlüsselung. Zwar verhindert Zoom mittlerweile das Mitlesen verschlüsselter Verbindungen. Verbessern muss Zoom die Sicherung von Daten auf externen Speichern, da es anderen Apps auf dem Gerät ermöglicht die Inhalte mitzulesen. Die unsichere Verwendung von Webview ist eine kritische Sicherheitslücke bei Cisco WebEx Meetings. Im Test zeigte sich auch, dass die Weitergabe von Daten an Drittanbieter leider nicht ausgeschlossen werden kann. Für Zoom ist der zusätzliche Einsatz einer MTD (Mobile Threat Defense) -Lösung empfehlenswert.

Fazit: Aus dem Haus, aus dem Sinn. Eine interessant open-source-basierte Alternative bietet sich mit Jitsi Meet, hierzu folgt ein Testbericht in Kürze.

 

Slack und Trello – durch die Hintertür

Die beiden bekannten Kollaborationstools Slack und Trello haben das gleiche Problem. Sie erstellen und schreiben sensible Daten in temporäre Dateien, was ein erhöhtes Sicherheitsrisiko darstellt. Slack erlaubt zwar ein kurzzeitiges Mitschneiden des Datenverkehrs für statistische Analysen, aber das Mitlesen einer verschlüsselten Verbindung ist nicht möglich. Trello hingegen überträgt Metadaten an mehrere Tracking-Dienste inklusive Gerätemodell, Betriebssystem, Netzbetreiber und Werbe-Id. Für Slack ist der zusätzliche Einsatz einer MTD (Mobile Threat Defense) -Lösung ratsam.

Fazit: Kein Heimspiel.

 

Skype for Business und Google Hangouts haben ordentlich nachgebessert

Gerade bei Verstößen gegen Datenschutz und Datensicherheit haben beide Tools deutlich nachgebessert. Jedoch verwenden die Videokonferenz-Anwendungen Skype for Business und Google Hangouts unsichere Schnittstellen (APIs). Im aktuellen Test sind sie leider auch anfällig für sogenannte Man-In-The-Middle-Attacken (MITM). Dazu kommt, dass Skype Metadaten an Microsoft überträgt und Hangouts den Gerätenamen (häufig der Vorname des Besitzers) an Google sendet.

Fazit: Wer im Glashaus sitzt, sollte nicht mit Daten werfen.

 

Mattermost und Microsoft Teams – klein vs. groß

Das datenschutzkonforme open-source-basierte Kollaborationstool Mattermost baut nur eine Verbindung zur selbst-gehosteten Instanz auf. Wenn die Ressourcen und Kenntnisse zum Erstellen und Betreuen von Mattermost auf einem eigenen Server vorhanden sind, ist der Kommunikationsservice klar Alternativen vorzuziehen. Im Gegensatz zu Microsoft Teams, das Metadaten an Dritte überträgt und auch bei der Verschlüsselung noch Schwächen zeigt.

Für beide Anwendungen ist der zusätzliche Einsatz einer MTD-Lösung (Mobile Threat Defense) empfehlenswert.

Fazit: Mattermost bei vorhandener Expertise.

 

APPVISORY stellt kostenlosen Guide für das sichere Home Office zur Verfügung

Die im Test aufgedeckten Sicherheitsrisiken müssen Unternehmen jedoch nicht einfach so hinnehmen. Um Firmen bei ihrer rasanten Umstellung auf Homeoffice in Zeiten von Corona sicher zu begleiten, hat das Team von APPVISORY in Zusammenarbeit mit der BFI, der Beratungsgesellschaft für Informationstechnologie, eine Anleitung für Unternehmen erstellt. Der Ratgeber hilft dabei, eine sichere und ortsunabhängige Arbeitsumgebung für eigene Mitarbeiter einzurichten.

Da aber die im Test vorgestellten Anwendungen bei weitem nicht alle auf dem Markt abdecken, möchte APPVISORY in der Krisenzeit auch einen Beitrag leisten Unternehmen dabei zu unterstützen schneller und vor allem sicherer zu digitalisieren. Deshalb bietet APPVISORY seinen Dienst für 90 Tage unverbindlich und kostenlos an.

 

Fazit: Videokonferenz- und Kollaborationstools sind zwar aktuell unverzichtbar, aber mit Vorsicht anzuwenden

APPVISORY zieht Bilanz. Zwar sind die Themen Datensicherheit und Datenschutz zu Recht allgegenwärtig, aber sie werden nach wie vor synonym verwendet, ohne zu differenzieren. Grundsätzlich garantiert Datenschutz jedem Bürger Schutz vor missbräuchlicher Datenverarbeitung, das Recht auf informationelle Selbstbestimmung und den Schutz der Privatsphäre. Datensicherheit muss dafür Sorge tragen, dass Daten jedweder Art ausreichend gegen Manipulation, Verlust und unberechtigte Kenntnisnahme durch Dritte oder andere Bedrohungen geschützt sind. Da sich die Bewertung für den Laien schwierig gestaltet, kann man sich am CVSS-Score orientieren. Der CVSS-Score gibt in einer Skala von 0 bis 10 aufsteigend Auskunft über die Gefährlichkeit einer App (und anderer IT-Systeme) hinsichtlich Datenschutz und Datensicherheit.

»Wenn man sich die Ergebnisse anschaut, sieht man, dass alle getesteten Videokonferenz- und Kollaborationstools unbedingt nachbessern müssen. Die App-Anbieter haben trotz Kenntnis die relevanten Sicherheitslücken und Datenschutzprobleme in ihren Apps bisher nicht behoben. Privatanwender dürfen zwar selbst entscheiden, wie wichtig ihnen ihre persönlichen Daten sind, aber bei der Zusammenarbeit mit Kollegen müssen andere Richtlinien gelten. Unternehmen raten wir aktuell dringend dazu, Videokonferenz- und Kollaborationstools für das Firmentelefon genau anzuschauen beziehungsweise prüfen zu lassen oder im Zweifelsfall zumindest als lokale Instanz selbst zu hosten (wie etwa bei Mattermost möglich). Nicht zuletzt deshalb haben wir uns entschlossen, APPVISORY neuen Interessenten für drei Monate kostenlos zur Verfügung zu stellen, um in dieser hochdynamischen Zeit die nötige Sicherheit nicht vernachlässigen zu müssen und die bitter nötige Digitalisierung der Arbeitsplätze und Workflows schnell und unkompliziert zu unterstützen«, erklärt Sebastian Wolters, Gründer und Geschäftsführer von APPVISORY.

[1] Untersucht wurden die iOS beziehungsweise Android Apps der Anbieter Cisco WebEx Meetings, Zoom Cloud Meetings, Slack, Trello, Mattermost, Skype for Business, Microsoft Teams und Google Hangouts im Zeitraum der KW 14 2020.
[2] Die CVSS Score zeigt die Gefährlichkeit einer App auf einer Skala von 0 (ungefährlich) bis 10 (sehr gefährlich). Siehe auch: https://www.first.org/cvss/calculator/3.0

 

 

 

186 Artikel zu „Videokonferenz“

Einsparpotenzial in Milliardenhöhe durch Videokonferenzen

Die deutsche Wirtschaft könnte jährlich mehr als 1 Milliarde Euro an Reisekosten einsparen, wenn sie die Hälfte ihrer Geschäftsreisen durch Videokonferenzen ersetzen würde. Diese Einschätzung ist das Resultat einer Umfrage des Kommunikationsanbieters Toplink GmbH unter 1.340 vorwiegend mittelständischen Unternehmen. Demnach schätzt über ein Drittel (35 Prozent) der Firmen das gesamtwirtschaftliche Einsparpotenzial auf mindestens 1 Milliarde…

Tipps zu Videokonferenzen

Für einen erfolgreichen Vertrieb ist der persönliche Kontakt sehr wichtig. Doch wie erreicht man viele Kunden in kurzer Zeit, ohne dass man auf unpersönliche E-Mails zurückgreifen muss? Videokonferenzen eignen sich hervorragend dazu, große Distanzen zu überbrücken und dennoch persönlich für seine Kunden da zu sein. Beim Aufsetzen einer Videokonferenz sind einige Dinge zu beachten: Wie…

Fünf Tipps für mobile Videokonferenzen

Von Bandbreite bis Verschlüsselung: Was Unternehmen und Endanwender beim Einsatz mobiler Videolösungen beachten sollten. Mit Smartphones und Tablets steigt auch die Nachfrage nach Videokommunikationslösungen für mobile Endgeräte. Besonders für Mitarbeiter, die viel außerhalb des Büros arbeiten, ist der visuelle Austausch mit Kollegen, Kunden und Partnern sehr gewinnbringend. Die Videoexperten von Lifesize erklären, was Anwender und…

Die Zukunft der Arbeit ist mobil – In kleinen Schritten zu einer großen Remote-Kultur

Vor einigen Wochen mussten schlagartig ganze Heerscharen von Mitarbeitern von zu Hause aus arbeiten. Es ist zwar zu erwarten, dass nach der Lockerung der aktuellen Einschränkungen, Unternehmen auch wieder froh sein werden, ihre Mitarbeiter am Arbeitsplatz zu sehen. Das wird jedoch noch einige Zeit dauern. Viele Führungskräfte und Teamleiter befassen sich aktuell verstärkt mit dem…

Stay at Home: Wie Screen-Sharing Familie, Freunde und Kollegen virtuell zusammenbringt

Screen-Sharing macht Nachhilfe und den Austausch mit Freunden und Familie auch in Zeiten von #BleibtZuhause möglich. Wie das geht? Über Screen-Sharing mit Remote-Desktop-Software. Sechs Ideen, mit denen man trotz Quarantäne, Home Office und Co. näher zusammenrückt.   Familie, Freunde und Kollegen müssen in diesen Tagen aufgrund des Coronavirus auf Abstand gehen. Shopping-Trips mit der Freundin…

Whitepaper: Rechtliche Risiken bei Nutzung internationaler Cloudanbieter

Das Kölner Cloud-Technologieunternehmen gridscale und die Wirtschaftskanzlei Heuking Kühn Lüer Wojtek veröffentlichen kostenfrei ein umfassendes Kompendium zu rechtlichen Fallstricken beim Cloud Computing. Der praxisnahe Ratgeber geht dabei über die gängigen Schlagworte zu Datenschutz und Datensicherheit weit hinaus und liefert Business- und IT-Entscheidern Hintergrundinformationen und konkrete Hilfestellungen bei der Auswahl des für sie passenden Cloudanbieters. Viele…

Mitarbeiter verlieren durch IT-Ausfälle jährlich zwei Wochen an Arbeitszeit

Der massive Anstieg von Home-Office-Arbeitsplätzen aufgrund der aktuellen Krise wird dazu führen, dass IT-Teams noch weniger Einblick in die IT-Herausforderungen haben, mit denen Mitarbeiter konfrontiert sind. Für ein Unternehmen mit 10.000 Mitarbeitern können IT-Ausfälle jährlich rund 25 Millionen US-Dollar kosten [1].   IT-Probleme und Mängel in der digitalen Arbeitsumgebung können Unternehmen Millionen Euro durch verlorene…

Covid-19: Die größten Bedrohungen für Remote Work

Welche Auswirkungen hat der nahezu flächendeckende Umstieg auf Home Office für die IT-Sicherheit? Was sind die größten Risiken und welche Bedrohungen lassen sich tatsächlich feststellen? Nicht erst seit Beginn der Pandemie untersucht das Incident Response Team von Varonis Systems aktuelle Bedrohungen und Trends in der Cybersecurity. In den letzten Wochen haben die Sicherheitsexperten festgestellt, dass…

Schul-Cloud-Projekt: Schulen benötigen dringend eine sichere und datenschutzkonforme digitale Infrastruktur

Plötzlich wird digital unterrichtet: Lehrkräfte stellen Unterrichtsmaterialien und Aufgaben ins Netz und kommunizieren mit Schülerinnen und Schülern über Messenger- oder Videokonferenzdienste. Doch mangels landesweit einheitlicher Angebote und digitaler Infrastrukturen mussten in den letzten Wochen viele Schulen und Lehrkräfte in der Not sehr schnell eigene Lösungen finden. Oft nutzen Lehrkräfte innerhalb einer Klasse verschiedene Anwendungen –…

Fünf Mythen zum Home Office

  Die aktuelle Situation zwingt viele Unternehmen dazu, ihren Mitarbeitern das Arbeiten von zu Hause zu ermöglichen. Aber sind sie wirklich überzeugt davon, und werden sie ihren Mitarbeitern diese Möglichkeit auch noch nach der Krise einräumen? Vielleicht ist jetzt die Chance, tradierte Denkmuster langfristig über Bord zu werfen. Die OTRS AG hat die fünf gängigsten…

So (un)sicher sind Teamwork-Apps und Video-Konferenzen von Zoom, Slack, Google, Skype, Teams & Co.

Video-Konferenz & Kollaborationstools sind aktuell im Home Office unverzichtbar, aber mit Vorsicht zu genießen: Alle von APPVISORY getesteten Software-Apps weisen grundsätzliche Sicherheitsrisiken auf. Nicht aus allen Wolken fallen: cloudbasierter Videokonferenz- und Kollaborationsdienst Cisco WebEx Meetings laut Test am unsichersten, Zoom Cloud lässt eindeutige Identifizierung von Nutzern zu. Kostenloser Guide für ein sicheres Homeoffice zur Verfügung.…

Robotik-Industrie in Deutschland sagt COVID-19 den Kampf an

Roboter schulen auf Corona-Testverfahren um. Automatisierer starten Atemschutzmasken-Produktion. Roboter holen Familienmitglieder virtuell ins Pflegeheim.   Universitätsklinikum Aalborg setzt für COVID-19-Testverfahren auf Roboter. Foto VDMA   Roboter-, Montage- und Fertigungs-Experten rüsten aktuell im Eilverfahren industrielle Produktionslinien um. Ziel ist, dabei zu helfen, die Corona-Pandemie erfolgreich zu bewältigen. Neue Ideen kommen dabei in Rekordzeit zum Einsatz: So…

Die Schwächen konventioneller VPN-Verbindungen für die Anbindung von Home Offices

Auch, aber nicht nur, im Zuge der Corona-Verbreitung haben Unternehmen einen Teil ihrer Mitarbeiter, soweit möglich, ins Home Office verlagert. Trotz der gebotenen Eile haben sie sich dabei meist auch um eine sichere Anbindung der nun extern stationierten Mitarbeiter Gedanken gemacht. Die naheliegende Lösung war in vielen Fällen ein VPN (Virtual Private Network) sein. »Doch…

Cybergefahren im Home Office: Wie Hacker die Corona-Krise für sich nutzen

Home Office statt Büroarbeit: Immer mehr Mitarbeitende ziehen angesichts der Corona-Pandemie aktuell ins Home Office – und das zunächst auf unbestimmte Zeit. Doch gerade die vermehrte Tätigkeit vom heimischen Arbeitsplatz aus birgt viele Sicherheitsrisiken. So öffnet eine mangelhafte Absicherung potenziellen Hackern Tür und Tor für einen erfolgreichen Angriff. Aber auch Phishing-Mails, die speziell auf die…

»Business Avenger« unterstützen die Ziele für nachhaltige Entwicklung der UN für 2030

NTT Ltd., ein, weltweit tätiges IT-Dienstleistungsunternehmen, gibt sein Engagement als »Business Avenger« bekannt. Damit unterstreicht das Unternehmen sein Engagement zur Erreichung der 17 globalen Ziele für nachhaltige Entwicklung der Vereinten Nationen bis 2030. Zusammen mit 16 weiteren globalen Konzernen wie Coca-Cola, Avanti, Google, Diageo, Microsoft und Nike, die den Erfolg dieser globalen Ziele unterstützen, stellt…

Digitalisierte Arbeitsabläufe – der Schlüssel zu höherer Effizienz und Mitarbeiterzufriedenheit

In einer aktuellen Studie gibt nahezu ein Drittel der deutschen Arbeitnehmer an, dass veraltete Technik am Arbeitsplatz ihre Produktivität negativ beeinflusst. Um in einer immer stärker digitalisierten Welt wettbewerbsfähig zu bleiben, müssen deutsche Unternehmen deshalb den eigenen Technologieeinsatz und ihre internen Arbeitsabläufe dringend überdenken. Zumal ein Drittel der Beschäftigten sogar in Betracht ziehen würde, ein…

Digitale Ostern in der Corona-Krise

Übersicht mit Digital-Angeboten fürs Osterfest: Vom Gottesdienst via Web über virtuelle Familientreffen bis zum digitalen Konzertbesuch. Die kommenden Osterfeiertage werden für die meisten Menschen völlig anders ablaufen als sonst. Keine Urlaubsreise, kein Familientreffen in großer Runde, kein Kirchgang und kein Osterfeuer und für viele auch kein Ausflug ins Grüne. Stattdessen gilt: zu Hause bleiben mit…