Open Source-Lösung oder etablierter Anbieter aus den USA? Oft sind es diese beiden Alternativen, die bei der Auswahl einer Software-Plattform für Digitalisierungsprojekte zu Beginn in den Raum gestellt werden. Beides hat seine Vor- und Nachteile, denkt man beispielsweise an Datenschutz, Nutzerkomfort oder Update-Sicherheit. Eine dritte, gleichwertige, wenn nicht sogar bessere Alternative wird häufig aber vergessen: Software „Made in Europe“. Besonders bei Videokonferenzen sind die Vorteile enorm.
Amerikanische Software kann zu DSGVO-Problemen führen
Aus Nutzersicht ist Software amerikanischer Anbieter praktisch. Fast jeder kennt sie und ist mit der Bedienung vertraut. Die marktführenden Anbieter haben dazu beigetragen, gewisse Standards ihrer eigenen Produkte zu etablieren. Aus Unternehmenssicht gestaltet sich die Sache weniger einfach.
Grundsätzlich ist jedes Unternehmen daran interessiert, durch gut funktionierende und bekannte Tools für hohe Produktivität zu sorgen. Spätestens seit der EU-Datenschutzgrundverordnung (DSGVO) aber sind Fragen des Datenschutz für die Auswahl von Software immer relevanter. In Kombination mit der US-Rechtslage wirft der Einsatz amerikanischer Produkte komplexe Fragen auf. Der Patriot Act etwa verpflichtet US-amerikanische IT-Unternehmen, Methoden zur Datenerfassung oder Backdoors einzubauen, die zum Zweck der nationalen Sicherheit von US-Behörden genutzt werden können. Allein das kann mit Blick auf den Datenschutz zum Problem werden, natürlich können diese Schnittstellen aber auch als Angriffspunkt für Cyberkriminelle dienen.
Auch der US-amerikanische Cloud Act erlaubt es den amerikanischen Behörden, die Herausgabe von Daten über elektronische Kommunikation zu erzwingen. Dies ist mit der DSGVO logischerweise schwer vereinbar.
Open Source: Souveränität auf Kosten von Sicherheit?
Aus solchen Überlegungen heraus und zudem um nicht von einzelnen großen IT-Konzernen abhängig zu sein, überlegen viele Unternehmen, auf Open Source Software zu setzen. Auch Staat und Behörden sind an vielen Stellen an einer „souveränen Lösung“ interessiert. Auch Open Source ist jedoch nicht frei von Bedenken. Besonders problematisch hier ist häufig die Frage der Sicherheit.
Es ist einfacher, eine Bank auszurauben, wenn man die Baupläne kennt. Im Fall von Open Source sind die Baupläne per Definition frei verfügbar, mit Vor- und Nachteilen für beide Seiten. Angreifer können sie lesen, um Schwachstellen zu finden, die Developer-Community kann sie nutzen, um sie zu schließen. Der Mehrzahl an Open Source-Projekten fehlt es aber an klaren Commitments und Roadmaps hinsichtlich Bugfixes und regelmäßigen Updates. Unternehmen können es sich nicht leisten, auf „Best Effort“-Lösungen zu setzen, denn die Anzahl an Cyberangriffen wächst und wächst. Die langfristige Versorgung mit Sicherheitsupdates ist ein absolutes Muss.
Tixeo entwickelt maximale Sicherheit Made in Europe und Kollaboration mit hohem Nutzerkomfort kontinuierlich weiter.
Auch mit unabhängigen und staatlichen Sicherheits-Zertifizierungen hat Open Source ein Problem: Meist gibt es keine, da Open-Source-Projekte weder TOE (Target of Evaluation) noch ST (Security Target) definieren, die von einer anerkannten Behörden getestet werden können. Somit haben Nutzer solcher Software keine Bescheinigung, dass diese gängige Sicherheitsstandards gewährleistet.
Im Hinblick auf Open Source ist auch der Cyber Resilience Act (CRA) von Bedeutung, den die EU initiiert hat. Dieser soll die Benutzer von Hard- und Software besser schützen. Anbieter müssten demnach für den gesamten Lebenszyklus und alle Verwendungen ihrer Software Sicherheitsupdates zur Verfügung stellen und bestimmte Richtlinien erfüllen. Für Open Source ist dies ein Problem, denn diese soll nur dann vom CRA ausgeschlossen sein, wenn sie für nicht-kommerzielle Verwendung genutzt wird.
Die Vorteile von Software „Made in Europe“
Der dritte Weg, neben den beiden bisher diskutierten, ist Software „Made in Europe“. Entgegen einem Vorurteil ist diese mindestens so leistungsfähig wie die Pendants amerikanischer Anbieter. Besonders bei Datenschutz und DSGVO-Komptabilität hat europäische Software meist deutliche Vorteile, da das Thema bei den Anbietern oft schon länger und präsenter im Bewusstsein ist. Und durch Hosting in Europe entfällt außerdem die Gefahr, dass Daten durch den Cloud Act an amerikanische Behörden gehen.
Auch hinsichtlich Cybersecurity lohnt sich der Blick auf europäische Anbieter. Sie erhalten ihre Sicherheitszertifikate von lokalen Behörden und nach lokalen Standards. Dies stellt sicher, dass die verwendete Software den nationalen Anforderungen und der Gesetzeslage entspricht.
Milliardenschäden durch Spionage – Bei Videokonferenzen gewinnt Made in Europe
Besonders bei Videokonferenzen sind Security und Datenschutz Kernfragen. In der Bitkom-Studie zum Wirtschaftsschutz 2023 geben 80 Prozent der Unternehmen an, dass sie von Spionage oder Diebstahl betroffen oder wahrscheinlich betroffen waren. 61 Prozent berichten, dass Kommunikation via Messenger oder E-Mail ausgespäht wurde. Der deutschen Wirtschaft entstehen durch Cyberangriffe jährlich Schäden über 200 Milliarden Euro. Der Schutz der digitalen Kommunikation verdient oberste Priorität.
Auch bei mehreren Teilnehmern sind Tixeo-Konferenzen End-to-End-verschlüsselt.
Tixeo hat die eigene Software von Beginn rund um Sicherheit und Vertraulichkeit entwickelt.
Tixeo ist die einzige Videokonferenz-Technologie, die für ihre Ende-zu-Ende-Verschlüsselung von der ANSSI (Nationale Agentur für Computer- und Netzsicherheit Frankreichs) nach CSPN zertifiziert wurde. Anders als bei vielen Anbietern sind bei Tixeo auch Konferenzen mit mehreren Teilnehmern durchgängig End-to-End verschlüsselt. Viele Videokonferenzlösungen geben an, eine End-to-End-Verschlüsselung zu bieten, verschlüsseln allerdings lediglich die Datenströme zwischen dem Benutzer und dem Kommunikationsserver. Sprich eine End-to-End-Verschlüsselung ist nur bei zwei Teilnehmern gegeben. Bei Tixeo dagegen werden Verschlüsselungsschlüssel mit der Konferenz erstellt und ausschließlich zwischen den Teilnehmern ausgetauscht. Es ist unmöglich, den Kommunikationsstrom zu entschlüsseln.
Die End-to-End-Verschlüsselung ist eine der wirksamsten Maßnahmen zur Abwehr von Cyberangriffen. Damit ist sie der Grundpfeiler von Videokonferenzen, die eine vollständige Vertraulichkeit der Kommunikation gewährleisten können. Zudem werden bei Tixeo mittels einer Multi-Cloud-Strategie alle Datenströme aus Meetings an verschiedenen Orten in Europa bei C5 zertifizierten Rechenzentren gehostet. Es besteht keine Verbindung zu Servern außerhalb Europas. Dadurch unterliegt Tixeo keiner außereuropäischen Gesetzgebung, die die Vertraulichkeit der ausgetauschten Daten gefährdet.
Aus gutem Grund setzen Unternehmen und Organisationen aus sensiblen Zweigen wie Pharma, Rüstung, Behörden oder kritische Infrastruktur auf Tixeo, weil wir uns voll und ganz der Datensicherheit verschrieben haben. „Made in Europe“ ist in diesem Fall die bessere Alternative zu Open Source oder gängigen amerikanischen Anbietern. Eine sorgfältige Suche bei der Auswahl von Software ist eine Investition, die Unternehmen im Zweifelsfall Millionen spart. Der Schutz von Nutzern und Daten ist 2023 wichtig wie nie, gerade bei der Kommunikation.
Spearphishing, Ransomware, Malware-Download … Diese Cybersecurity-Bedrohungen betreffen die Mitarbeiter aller Unternehmen. Das gilt vor allem im Homeoffice. Wirtschaftliche und politische Risiken Cyberangriffe in Unternehmen und Behörden verfolgen wirtschaftliche und...
Seit dem Aufkommen der Telearbeit und mit der Entwicklung der KI werden strategisch wichtige Online-Meetings oft durch böswilliges “Zoombombing” gestört. Um dies zu verhindern, müssen Videokonferenzen auf allen Ebenen maximal gesichert sein.
Was ist “Zoombombing”?
„Zoombombing” bezeichnet unerwünschtes Eindringen in ein Online-Meeting. Während der Pandemie und der Verbreitung der Telearbeit führte die plötzliche und massive Abhaltung von Videokonferenzen für eine starke Zunahme dieses Phänomens. Die Bezeichnung “Zoombombing” geht übrigens auf eine große Anzahl mutwilliger Störungen durch Eindringlinge bei Zoom-Videokonferenzen zurück.
Diese Eindringlinge können unterschiedliche Ziele verfolgen, wenn sie an einer Videokonferenz teilnehmen, von der einfachen Störung der Konferenz bis hin zum Ausspähen sensibler Informationen, wie Namen der Teilnehmer, Zweck der Konferenz, Dokumente oder Daten, die sich auf geteilten Bildschirmen befinden…
Bei dieser Art von Cyberangriff sind rechtliche Konsequenzen möglich. Sie wird als Verletzung der Privatsphäre angesehen und kann nach Artikel 226-1 des frz. Strafgesetzbuchs „Code pénal“ bestraft werden. Werden pornografische Inhalte verbreitet, kann Zoombombing auch als sexuelle Zurschaustellung gemäß Artikel 222-32 des Strafgesetzbuchs eingestuft werden. Schließlich sieht Artikel R624-2 „Code pénal“ eine Geldstrafe für die Verbreitung anstößiger Mitteilungen an öffentlichen Orten vor.
Beispiele für das Eindringen in Online-Meetings und ihre Folgen
Ein Eindringen in eine Videokonferenz ist nicht nur störend für die Durchführung der Sitzung. Es gefährdet auch die Vertraulichkeit der ausgetauschten Informationen und kann dem Image einer Organisation oder einer öffentlichen Verwaltung schaden.
In einem Bericht zu den Risiken von Videokonferenzen führt die DGSI als Beispiel ein Unternehmen an, in dessen Videokonferenz eingedrungen wurde, um Nachrichten mit terroristischemHintergrund zu verbreiten. Wie das möglich war? Fehlende Kontrolle der Zugänge zur Videokonferenz: Die Anmeldung war frei und die Sicherheitsstufe des Anwendungspassworts sehr niedrig. Dieser mangelnde Schutz erleichterte das Eindringen.
Im Februar 2024 wurde die per Videokonferenz abgehaltene Sitzung des Stadtrats der Stadt Laguna Beach in Kalifornien durch Zoombombing gestört. Personen hatten dort beleidigende Inhalte und Hassreden geteilt. In Frankreich wurde im Juli 2024 die Videokonferenz des Industrieministers Roland Lescure durch die Ausstrahlung pornografischer Videos gestört. Dreimal wurde der Minister, während er zu 200 Wählern in seinem Wahlkreis sprach, durch Zoombombing unterbrochen, wobei diese Störungen wahrscheinlich darauf abzielten, seiner Wahlkampagne zu schaden.
Ebenso wurde eine Videokonferenz der US-Notenbank abgesagt, nachdem pornografische Bilder aufgetaucht waren, die von einem anonymen Teilnehmer der Sitzung verbreitet worden waren. Während des Online-Meetings waren rund 100 Vertreter der großen US-Banken anwesend. Eine Störung, die das Risiko von Datendiebstahl mit sich bringt und dem Ruf der Organisation schadet.
Ein Muss: die Verwendung einer sicheren Videokonferenzsoftware
Diese Art von Störung kann begrenzt werden, wenn die Videokonferenzsoftware nach dem Designkonzept “Secure by design” entworfen wurde. Es geht darum, Software so zu entwickeln, dass Sicherheitsaspekte bereits in den ersten Phasen der Entwicklung berücksichtigt werden, um Sicherheitslücken vorzubeugen.
Die Zugänge zur Software sowie ihre Funktionen werden von Anfang an streng analysiert. Daher wird jede entdeckte Schwachstelle umgehend behoben, bevor die Software bereitgestellt wird.
Es gibt weitere Punkte, die die Sicherheit der Videokonferenzsoftware gewährleisten.
Die Schlüsselrolle des Organisators der Videokonferenz
Die Sicherheit der Videokonferenzsoftware ist eine erste Barriere gegen Eindringlinge.
Um maximalen Schutz zu gewährleisten, ist es jedoch wichtig, dass der Organisator des Meetings in der Lage ist,:
die Teilnehmer auf einfache Weise zu verwalten
jederzeit einen unerwünschten Teilnehmer auszuschließen
die Moderationsrechte auszuüben (Bildschirmfreigabe, Mikrofon…)
das Sicherheitsniveau an die Sensibilität des Meetings anzupassen
Durch die Kontrolle des Zugangs und der Rechte der Teilnehmer begrenzt der Organisator somit das Risiko einer Störung der Videokonferenz.
Den Zugang zu Online-Meetings kontrollieren
Bevor Sie die Teilnehmer in ein Meeting lassen, sollten Sie sich vergewissern, dass diese auch wirklich eingeladen sind. Wenn ein einfacher Link zum Einloggen in eine Videokonferenz geteilt wird, haben unerwünschte Gäste die Möglichkeit, sich durch Anklicken direkt in die Konferenz einzuschalten.
Bei Tixeo muss eine Person nach Anklicken eines Links zur Videokonferenz ihren Namen angeben und zunächst in einem Warteraum bleiben. Der Organisator erhält parallel dazu eine Benachrichtigung über diese Zugangsanfrage und kann diese analysieren. Die Entscheidung, ob die Person teilnehmen darf oder nicht, liegt dann bei ihm.
Ebenso hat der Organisator zu jedem Zeitpunkt des Online-Meetings die Möglichkeit, einen Teilnehmer auszuschließen, wenn er ihm verdächtig erscheint.
Teilnehmerrechte verwalten
Bis alle Teilnehmer der Videokonferenz versammelt sind, sollte nur der Organisator über das offene Mikrofon verfügen. Dies verhindert störende Geräusche, die mit der Ankunft jedes Einzelnen zusammenhängen, und beugt dem Risiko vor, dass ein Eindringling das Wort ergreift und die Aufmerksamkeit auf sich zieht.
Wie von der DGSI empfohlen, kann der Organisator auch jeden Teilnehmer einzeln auffordern, seine Webcam einzuschalten, um Zweifel über die anwesenden Gesprächspartner auszuschließen.
Die passende Sicherheitsstufe auswählen
Die Sicherheitsstufe von Videokonferenzen muss der Sensibilität des Austauschs angemessen sein. Denn im Falle eines Online-Meetings, in dem es um vertrauliche Informationen geht, die mit dem Vermerk “Nur für den Dienstgebrauch” versehen sind oder dem Schutz des nationalen Verteidigungsgeheimnisses unterliegen, muss ausreichender Schutz vor “Zoombombing” gewährleistet sein.
Bei Tixeo hat der Organisator die Möglichkeit, je nach Sensibilität seiner Videokonferenz eine höhere oder niedrigere Sicherheitsstufe zu wählen. Bei der Standardsicherheitsstufe ist es möglich, einen Anmeldelink für die Konferenz freizugeben und sich z. B. über einen Webbrowser einzuloggen. Bei der höchsten Sicherheitsstufe müssen die Teilnehmer ein Benutzerkonto einrichten und sich über die Software in das Online-Meeting einloggen.
Die Tixeo-Technologie für sichere Videokonferenzen ist die einzige Lösung, die von der ANSSI zertifiziert und zugelassen wurde. Die CSPN-Zertifizierung wird vom BSI als gleichwertig mit dem BSZ-Zertifikat anerkannt.
Die Informationsweitergabe in einem Online-Meeting verhindern
Schließlich können Informationen während einer Videokonferenz versehentlich weitergegeben werden. Zum Beispiel in gemeinsamen Terminkalendern, wo man auf die Teilnehmerliste, den Betreff der Besprechung oder auch den Anmeldelink zugreifen kann. Es kommt aber auch vor, dass Fotos von Besprechungsräumen mit laufender Videokonferenz in sozialen Netzwerken gepostet werden, obwohl auf dem Bildschirm der Name des Netzwerks oder Anmeldedaten zu sehen sind.
Die Weitergabe solcher Informationen in großem Umfang ist unbedingt zu vermeiden, da es sich um strategisch wichtige Daten handelt, die Eindringversuche nach sich ziehen könnten.
Bei sensiblen Videokonferenzen ist eine Ende-zu-Ende-Verschlüsselung ein unverzichtbares Sicherheitskriterium. Diese Art der Datenübertragung (Audio, Video und Daten) garantiert die absolute Vertraulichkeit der Kommunikation. Denn nur der Sender und der/die Empfänger können die übertragenen Daten entschlüsseln. Dazwischen findet keine Entschlüsselung statt.
Es ist also nicht möglich, eine Ende-zu-Ende-verschlüsselte Videokonferenz außerhalb der Sitzung abzuhören oder auszuspionieren oder die ausgetauschten Daten abzurufen. Daher macht es diese Technologie umso schwieriger, in ein Online-Meeting einzudringen und Informationen zu stehlen.
Erweiterte Ende-zu-Ende-Verschlüsselungsfunktionen, wie die Funktion „Erhöhte Sicherheit“ von Tixeo, ermöglichen die Eingabe eines Codes während eines Online-Meetings, um in einen geheimen Kommunikationstunnel zu gelangen, der für jeden anderen Gesprächspartner, der den Code nicht besitzt, unzugänglich ist.
Um das Risiko von Zoombombing zu begrenzen, müssen die Mitarbeiter, ob vor Ort oder im hybriden Arbeitsverhältnis mit Telearbeit, für den richtigen Umgang mit ihrem Videokonferenz-Tool sensibilisiert und geschult werden. So können sie verdächtige Teilnahmeanfragen leichter erkennen, die Rechte der eingeladenen Teilnehmer verwalten und sicherstellen, dass für die Kommunikation das höchstmögliche Sicherheitsniveau eingestellt ist.
Bei Tixeo, der Secure-by-Design-Videokonferenzsoftware, ist die Sicherheit bereits in den Kern der Lösung integriert. Seine zuverlässige geräteübergreifende Ende-zu-Ende-Verschlüsselungstechnologie schützt vertrauliche Kommunikation unabhängig von der Anzahl der Videokonferenzteilnehmer.
Wenn Sie an einer Videokonferenz teilnehmen, gibt es bestimmte Hinweise auf das Sicherheitsniveau. In seiner Kurzmeldung Nr. 91 über wirtschaftliche Einflussnahme stellt der französische Inlandsgeheimdienst DGSI mehrere Beispiele für verdächtige Videokonferenzen vor,...
Expertenkommentar von Valentin Boussin Erhöhen europäische Lösungen die Sicherheit unserer Kommunikation? Sicherheitsrelevante Komponenten von chinesischen Herstellern sollen aus der kritischen Kommunikations-Infrastruktur entfernt werden. Andere Länder sind...
Tixeo verwendet Cookies, um Ihnen das bestmögliche Nutzererlebnis zu bieten. Tixeo verwendet keine Werbe-Cookies. Für weitere Informationen lesen Sie bitte unsere Datenschutzrichtlinie.
Gesprochene Sprache (Cookie unbedingt erforderlich)
Die Website verwendet ein Cookie, das es dem Benutzer ermöglicht, die Sprache der Website zu wählen und seine Wahl zu behalten. Dies ist ein rein funktionaler Cookie.
Diese Option muss immer aktiviert sein, damit wir Ihre Präferenzen für die Cookie-Einstellungen speichern können.
Statistik
Die Website verwendet den "Google Analytics"-Cookie ausschließlich zur Erstellung von Statistiken über die Anzahl der Besucher auf der Website. Die Ablehnung des Cookies hat keine Auswirkungen auf die Navigation auf der Website. Die Daten werden nicht an Dritte weitergegeben. Das Setzen dieses Cookies hilft uns, unsere Website zu verbessern.
Bitte aktivieren Sie zunächst die unbedingt notwendigen Cookies, damit wir Ihre Einstellungen speichern können!
