„Zoombombing“ ist nach wie vor aktuell und stört immer mehr strategisch wichtige Online-Meetings  – oft mit schädigender Absicht. Vermeiden lässt sich das nur mit einer maximalen Sicherheit der Videokonferenzen.

Was versteht man unter „Zoombombing“?

„Zoombombing“ ist ein unerwünschtes Eindringen in ein Online-Meeting. Während der Coronakrise und des Lockdowns führte der plötzliche Boom von Videokonferenzen zu einer massiven Zunahme dieses Phänomens. Das „Zoombombing“ verdankt seinen Namen einer Vielzahl von Störungen von Zoom-Meetings durch Internet-Trolle.

In der Tat können diese Trolle unterschiedliche Ziele verfolgen, wenn sie sich in eine Videokonferenz einklinken: von der einfachen Störung des Meetings bis hin zum Abgreifen sensibler Informationen wie Namen der Teilnehmer, Thema der Besprechung, geteilte Dokumente oder Bildschirme usw.

Schwerwiegende Folgen für die Organisationen

Ein Eindringling in einer Videokonferenz stört nicht nur das Meeting. Er stellt auch eine Gefahr für die Vertraulichkeit der ausgetauschten Informationen dar.

In seiner letzten Mitteilung über die Risiken von Videokonferenzen nennt der französische Inlandsgeheimdienst DGSI das Beispiel eines Eindringens in eine Videokonferenz eines Unternehmens, um terroristische Botschaften zu verbreiten. Die Ursache? Die fehlende Zugangskontrolle zum Online-Meeting: Die Anmeldung war frei zugänglich und das Passwort der App hatte ein sehr geringes Sicherheitsniveau. Dieser Mangel an Schutz hat den Trollen das Eindringen erleichtert.

In ähnlicher Weise wurde vor kurzem eine Videokonferenz der Federal Reserve abgesagt, nachdem pornografische Bilder aufgetaucht waren, die von einem anonymen Sitzungsteilnehmer verbreitet wurden. Bei diesem Online-Meeting waren etwa hundert Vertreter der großen US-Banken anwesend. Eine Störung, die das Risiko von Datendiebstahl birgt und den Ruf der Organisation schädigt.

Ein Muss: die Sicherheit der verwendeten Videokonferenzsoftware

Solche Störungen können vermieden werden, wenn die verwendete Videokonferenzsoftware „Secure by design“ ist. Dieses Prinzip besteht darin, die Sicherheit bereits in den ersten Phasen des Entwurfs der Software zu berücksichtigen, um das Risiko von Sicherheitslücken zu vermeiden.

Der Zugriff auf die Software oder ihre Funktionen werden daher von Anfang an genauestens analysiert. Sobald eine Schwachstelle entdeckt wird, wird sie unmittelbar behoben, noch bevor die Software implementiert wird.

Wie funktioniert die Ende-zu-Ende-Verschlüsselung?

Die Schlüsselrolle des Veranstalters der Videokonferenz

Die Sicherheit der Videokonferenzsoftware ist eine erste Barriere gegen ein unerlaubtes Eindringen.

Um einen maximalen Schutz zu gewährleisten, muss der Veranstalter des Meetings jedoch dazu in der Lage sein:

• die Teilnehmer unkompliziert zu verwalten und unerwünschte Teilnehmer jederzeit auszuschließen,
• die Rederechte im Meeting zu vergeben,
• das Sicherheitsniveau je nach Sensibilität des Meetings anzupassen.

Kontrolle des Zugangs zu Online-Meetings 

Wenn ein Verbindungslink zu einer Videokonferenz geteilt wird, haben einige unerwünschte Gäste die Möglichkeit, sich direkt einzuloggen und zum Meeting zu gelangen.

Bei Tixeo funktioniert das so: Wenn eine Person auf einen Verbindungslink zu einer Videokonferenz klickt, gibt sie ihren Namen an und gelangt zunächst in einen Warteraum. Der Veranstalter erhält parallel dazu eine Benachrichtigung über diese Zugangsanfrage und kann entscheiden, ob diese Person teilnehmen soll oder nicht.

Ebenso hat der Veranstalter zu jedem Zeitpunkt des Online-Meetings die Möglichkeit, einen Teilnehmer auszuschließen, wenn er ihn für verdächtig hält.

Verwaltung der Rechte der Teilnehmer

Solange nicht alle Teilnehmer der Videokonferenz anwesend sind, ist es besser, wenn nur das Mikrofon des Veranstalters offen ist. Dies vermeidet Störgeräusche im Zusammenhang mit der Ankunft der Teilnehmer und vermeidet das Risiko, dass ein Eindringling das Wort ergreift und die Aufmerksamkeit in Anspruch nimmt.

Der Veranstalter kann außerdem jeden Teilnehmer auffordern, seine Webcam zu aktivieren, um keinen Zweifel an den anwesenden Gesprächspartnern zu haben, wie dies vom DGSI empfohlen wird.

Wahl der geeigneten Sicherheitsstufe

Mit Tixeo hat der Veranstalter die Möglichkeit, eine mehr oder weniger hohe Sicherheitsstufe zu wählen, je nachdem, wie sensibel seine Videokonferenz ist. Mit einer Standard-Sicherheitsstufe ist es daher möglich, einen Verbindungslink zum Meeting zu teilen und sich beispielsweise über einen Webbrowser einzuklinken. Auf der höchsten Sicherheitsstufe sind die Teilnehmer gezwungen, ein Benutzerkonto zu erstellen und sich über die Software in das Online-Meeting einzuloggen.

Spionage: Wie erkennt man ungesicherte Videokonferenzen?

Tixeo, die Secure by Design Videokonferenz-Software, integriert die Sicherheit in die Grundlagen des Entwurfs ihrer Lösung. Die Ende-zu-Ende-Verschlüsselungstechnologie sichert die Kommunikation unabhängig von der Anzahl der Teilnehmer an der Videokonferenz.

Wenn Sie an einer Videokonferenz teilnehmen, gibt es bestimmte Hinweise auf das Sicherheitsniveau. In seiner Kurzmeldung Nr. 91 über wirtschaftliche Einflussnahme stellt der französische Inlandsgeheimdienst DGSI mehrere Beispiele für verdächtige Videokonferenzen vor, die Folgen für die Integrität eines Unternehmens haben.

Ziel ist es, französische Unternehmen dazu anzuhalten, bei strategischen und sensiblen Online-Meetings ihre Wachsamkeit zu verstärken. Tatsächlich nehmen die Risiken wirtschaftlicher Einflussnahme durch ungesicherte Videokonferenzen zu. Um sie zu vermeiden, müssen Unternehmen sicherstellen, dass ihr Austausch sicher ist.

Hauptmerkmale einer ungesicherten Videokonferenz:

Unkontrollierter Zugang zu Online-Besprechungen

Mehrere Videokonferenzen sind über einen gemeinsamen Link zugänglich. Dadurch können zwar in letzter Minute weitere Teilnehmer eingeladen werden, aber sie können auch zum Eindringen potenziell böswilliger Personen führen. 2020 wurde das Eindringen des holländischen Journalisten Daniel Verlaan in eine vertrauliche Videokonferenz in den Medien bekannt.

Um den Zugang zu einer gesicherten Videokonferenz zu erleichtern, kann ein Verbindungslink zwar geteilt werden, allerdings nur unter der Bedingung, dass der Veranstalter den Beitritt der Teilnehmer freigeben kann. Dadurch ist er verpflichtet, die Identität einer Person zu überprüfen, bevor sie am Austausch teilnehmen kann. Im Zweifelsfall ist es immer ratsam, einen Antrag abzulehnen oder nachzufragen, warum die Person unbedingt an der Sitzung teilnehmen muss. Ohne diese Freigabe kann sich jeder anmelden und auf die Informationen der Videokonferenz zugreifen (Kommunikation, Dateien usw.) oder böswillige Nachrichten verbreiten.

Unverschlüsselte Kommunikationsflüsse

Der Audio-, Video- oder Datenaustausch kann ausgespäht werden, wenn er nicht konsequent durch Ende-zu-Ende-Verschlüsselung geschützt ist. Mit diesem Datenübertragungssystem können nur Absender und Empfänger diese Daten ohne jede Entschlüsselungsphase entschlüsseln.

Einige außereuropäische Videokonferenzprogramme berufen sich auf diese Art der Verschlüsselung, unterliegen jedoch ausländischen Vorschriften wie dem Cloud Act. Dieser verpflichtet die Editoren, in ihrer Software Backdoors (Hintertüren) einzubauen, um das Abhören der Kommunikation unter bestimmten Bedingungen durch die Behörden zu ermöglichen. Diese Backdoors sind aber eine Sicherheitslücke und können von Hackern genutzt werden, um die Kommunikation auszuspionieren.

Der DGSI empfiehlt die Verwendung von Ende-zu-Ende-verschlüsselten Videokonferenzlösungen, um das Spionagerisiko zu vermeiden. Die von der ANSSI zertifizierte und qualifizierte Ende-zu-Ende-Verschlüsselungstechnologie von Tixeo verhindert das Abhören von Kommunikation, unabhängig von der Zahl der Teilnehmer bei einer Online-Besprechung. Als souveräne europäische Lösung unterliegt die Ende-zu-Ende-Verschlüsselungstechnologie von Tixeo der DSGVO.

Verdächtiges Verhalten von Teilnehmern

Die Bedrohung bei einer Videokonferenz kann manchmal auch aus dem Unternehmen selbst kommen. Dabei ist auf gewisse verdächtige Signale der Teilnehmer zu achten. In seiner Kurzmeldung geht der DGSI auf das Beispiel einer im Homeoffice tätigen Mitarbeiterin ein, die nie ihre Kamera einschaltet und die Videokonferenzen, an denen sie teilnimmt, aufzeichnet. Die Erfassung strategischer Informationen birgt für ein Unternehmen das Risiko von Industriespionage. Im Zweifelsfall ist es wichtig, sensible Themen zu vermeiden, wenn die Vertraulichkeit nicht mehr gewährleistet ist.

Unternehmen müssen ihre Videokonferenzen schützen

Wählen Sie ein sicheres Videokonferenztool

Französische Unternehmen sind infolge von Sicherheitsmängeln bei Online-Meetings regelmäßig wirtschaftlicher Einflussnahme ausgesetzt, was ihrer wirtschaftlichen Souveränität schadet.

Deshalb muss die Sicherheit ihrer Videokonferenztools für sie im Mittelpunkt stehen. Im Rahmen von Homeoffice finden sensible Meetings mittlerweile online statt und legen strategische Unternehmensdaten offen.

Tixeo ist die einzige französische Videokonferenzlösung, deren Ende-zu-Ende-Verschlüsselung von der französischen Behörde für IT-Sicherheit ANSSI zertifiziert und qualifiziert wurde. Ihre CSPN-Zertifizierung wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als gleichwertig mit dem BSZ-Zertifikat (Beschleunigte Sicherheitszertifizierung) anerkannt. Die Software ist Secure by Design: Sicherheit ist ein wesentlicher Bestandteil ihres Konzeptes.

Mitarbeiter sensibilisieren

Tixeo unterstützt seine Kunden und Nutzer beim Schutz ihrer Kommunikation und ihrer personenbezogenen Daten. Diese Sicherheit macht auch eine Sensibilisierung der Teams erforderlich, insbesondere im Homeoffice.

Dabei ist es besonders wichtig, dass die Mitarbeiter die mit ungesicherten Videokonferenzen verbundenen Risiken verstehen und die bewährten Verfahren beherrschen. Bei jedem Online-Meeting müssen Organisatoren und Teilnehmer in der Lage sein, das Sicherheitsniveau zu bewerten und so ihre Wachsamkeit entsprechend anzupassen (Überprüfung der Gäste, für alle aktivierte Webcam, hohe Sicherheit der Passwörter usw.).

Je nach Sensibilität der Sitzung kann mit Tixeo ein Standard- oder ein Höchstmaß an Sicherheit aktiviert werden. So kann der Veranstalter für ein vertrauliches Meeting Bedingungen für den Zugriff auf die Videokonferenz festlegen (Installation der Client-Software und Erstellung eines Benutzerkontos). Jeder Teilnehmer muss sich identifizieren, bevor er auf die Videokonferenz zugreifen kann.

Noch nie war das Kommunizieren innerhalb und außerhalb des Unternehmens so einfach wie heute. Die Sicherheit der Videokonferenzsoftware wird dabei jedoch selten berücksichtigt, was den Schutz der personenbezogenen Daten der Nutzer oft gefährdet.

Die Dringlichkeit des Datenschutzes

Das Barometer DSGVO 2022 von Data legal drive gibt an, dass 74 % der befragten Data- und Privacy-Fachleute der Ansicht sind, dass die Arbeitnehmer zunehmend auf den Schutz der personenbezogenen Daten durch das Unternehmen achten.

Kein Wunder, wenn man weiß, dass 2021 jedes zweite  französische Unternehmen Opfer eines Cyberangriffs wurde (Studie CESIN). Cyberangriffe, bei denen in der Regel Daten gestohlen werden, die die Beschäftigten gefährden und die finanzielle Stabilität der Organisationen bedrohen.

In den Unternehmen verarbeiten und übertragen die Videokonferenztools eine Vielzahl sensibler und vertraulicher Daten und werden zu bevorzugten Zielen für Hacker.

Keine Backdoor in der Software

Einige große Videokonferenzlösungen, die sich außerhalb der EU befinden, entsprechen ausländischen Rechtsvorschriften. Diese erlauben insbesondere das Abhören der Gespräche. Das trifft auf den Cloud Act zu, eine Reihe extraterritorialer US-amerikanischer Gesetze, die es den Behörden erlauben, die Anbieter auf amerikanischem Boden zur Herausgabe von Daten über elektronische Kommunikation zu zwingen, die auf amerikanischen oder ausländischen Servern gehostet werden.

Brauchen wir eine europäische Lösung für Videokonferenzen?

Tixeo engagiert sich für den Schutz personenbezogener Daten

Als europäische und sichere  Lösung ist Tixeo zu 100 % DSGVO-konform und stellt den Schutz  personenbezogener Daten in den Mittelpunkt seines Engagements. Denn seine Kunden, die in sensiblen Sektoren (Verteidigung, Gesundheit, Industrie usw.) tätig sind, verlangen ein zuverlässiges Videokonferenztool mit maximaler Sicherheit, das alle Garantien bietet, um die Unversehrtheit der personenbezogenen Daten ihrer Mitarbeiter zu wahren.

Wählen Sie im DSGVO-Leitfaden von Tixeo Ihr Benutzerprofil aus, um alle wichtigen Informationen zu finden über:

• die Verarbeitung
• die Nutzung
• das Hosting
• die Speicherung
• den Schutz

Ihrer personenbezogenen Daten.

Die Merkmale einer sicheren Videokonferenz

Die sichere Videokonferenz bietet zusätzliche Garantien für den Schutz personenbezogener Daten. Dies ist bei Tixeo der Fall.

Secure by Design: eine Architektur für die Sicherheit der Daten

Damit eine Videokonferenz-Software wirklich sicher ist, muss sie Secure by Design sein. Das bedeutet, dass die Sicherheit von den ersten Entwicklungsstufen bis hin zur Implementierung berücksichtigt wird. Mit diesem Verfahren lassen sich potenzielle Fehlerstellen der Software ausreichend früh ermitteln und Lösungen ausarbeiten, um sie bei der Entwicklung der Software zu beheben.

So wird eine Secure by Design Videokonferenz-Software eine viel höhere Sicherheit bieten als eine herkömmliche Videokonferenz-Software.

Eine Implementierung mit minimierten  Sicherheitsauswirkungen 

Die Implementierung einer Videokonferenzlösung darf die Sicherheit des internen Netzes des Unternehmens nicht beeinträchtigen. Mit Tixeo, einer sicheren und Secure by Design Videokonferenzlösung braucht man nur einen Port öffnen, um die Lösung zu implementieren. So bleibt die Sicherheit des Unternehmensnetzwerks erhalten. Das Ergebnis: mehr Sicherheit und mehr Zeit!

Die sichere Videokonferenzlösung von Tixeo beinhaltet die Ende-zu-Ende-Verschlüsselung über einen Server (End-to-End-Encryption AES 256) und passt sich leicht an die Schwankungen der Netzwerke an.

[Wie funktioniert das?] Ende-zu-Ende-Verschlüsselung

Berücksichtigung des Standorts des Anbieters 

Beachten Sie, dass es wichtig ist zu wissen, wo sich der Standort des Anbieters einer Videokonferenzlösung befindet, wenn die Software mit einer Ende-zu-Ende-Verschlüsselung wirbt.  In einigen Ländern ist es manchmal unmöglich, die Kommunikationen vollständig zu verschlüsseln.

Seit 2001 beispielsweise schreibt der Patriot Act in den USA  den Anbietern von  IT-Tools vor, Backdoors in ihr System einzufügen. Diese Backdoor ist eine Geheimtür, die den Behörden Zugriff auf die Daten der Software gibt. Wenn eine böswillige Person sie entdeckt, können personenbezogene Daten kompromittiert werden.

Videokonferenz: Wissen Sie (wirklich), wie Ihre personenbezogenen Daten verarbeitet werden?

Angesichts der rasanten Zunahme von Home-Office und Hybridarbeit ist die Verwendung von Videokonferenzlösungen in Unternehmen inzwischen weit verbreitet. Diese Tools beinhalten die Verarbeitung einer Vielzahl persönlicher Daten der Mitarbeiter Ihres Unternehmens.

Schützen Sie Ihre Mitarbeiter und Ihre Geschäftstätigkeit

Die Nutzung einer Videokonferenzlösung in Ihrem Unternehmen umfasst die Verarbeitung der personenbezogenen Daten Ihrer gesamten Mitarbeiter. Es handelt sich um Daten unterschiedlicher Art, die Informationen über Ihre Mitarbeiter, aber auch über Ihre Tätigkeit enthalten.

Beispielsweise sind Namen, Vornamen, Benutzernamen und Passwörter je nach Anfrage personenbezogene Daten, die erhoben werden können, ebenso wie die Bezeichnungen von Meetings, deren Termine oder Teilnehmerlisten.

In den meisten Unternehmen, insbesondere in sensiblen Bereichen, müssen diese Informationen streng vertraulich behandelt werden. Es ist daher unerlässlich, eine klare Vorstellung davon zu haben, wie personenbezogene Daten verarbeitet werden.

5 wichtige Fragen, die Sie sich stellen sollten

1/ Durch wen werden meine Daten verarbeitet?

Der Verantwortliche bestimmt die Zwecke und Mittel einer Verarbeitung personenbezogener Daten. Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen.

Abhängig von der Nutzung seiner Dienste ist TIXEO für die Verarbeitung personenbezogener Daten verantwortlich oder fungiert als Auftragsverarbeiter im Auftrag seiner Cloud-Kunden.

2/ Wozu werden sie verwendet?

Es handelt sich um die vom Verantwortlichen festgelegten Zwecke, die die Verwendung der personenbezogenen Daten begründen.

So verarbeitet Tixeo beispielsweise personenbezogene Daten bei Videokonferenzen, um eine für seine Kunden notwendige Sitzungshistorie zu erstellen und die Teilnehmer einer Sitzung zu finden.

3/ Wo werden sie gehostet?

Eine wesentliche Frage, da das Hosting personenbezogener Daten ein Schlüsselfaktor für die Bestimmung ihres Schutzes ist.

Denn in der Europäischen Union schließt die DSGVO ohne vorherige vertragliche Vereinbarung die Möglichkeit aus, personenbezogene Daten im Ausland zu hosten oder Daten in ein Drittland zu übertragen.

Außerhalb der Europäischen Union sind die Vorschriften deutlich flexibler. Der Cloud Act in den USA umfasst eine Reihe von extraterritorialen Gesetzen, die es den Behörden ermöglichen, Anbieter auf amerikanischem Boden zur Bereitstellung von Daten über elektronische Kommunikation zu zwingen, die auf Servern in den Vereinigten Staaten oder im Ausland gespeichert sind.

Tixeo hostet seine gesamten Daten in Frankreich bei OVH, einem französischen Unternehmen und europäischer Marktführer in der Cloud.

4/ Wie lange werden sie aufbewahrt?

Die verarbeiteten Daten können für einen begrenzten Zeitraum aufbewahrt werden. Dieser muss klar angegeben werden.

5/ Welche Maßnahmen werden zum Schutz personenbezogener Daten ergriffen?

Die Konformität einer Videokonferenzlösung mit der DSGVO ist eine erste Sicherheitsgarantie.

Tixeo geht aber noch weiter und ergreift Vorkehrungen, um die Datensicherheit zu maximieren. Dazu gehört die Verschlüsselung der Festplatten von Computern, auf denen Mitarbeiter personenbezogene Daten verarbeiten, sowie die Konformität von Auftragsverarbeitern mit Art. 28 DSGVO.

Mit Tixeo erhalten Sie die einzige Videokonferenztechnologie auf dem Markt, die für Ihre Ende-zu Ende-Verschlüsselung CSPN zertifiziert ist. Die CSPN Zertifizierung wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als gleichwertig zu einem Zertifikat nach der Beschleunigten Sicherheitszertifizierung (BSZ) anerkannt.

Erfahren Sie, wie Tixeo Ihre personenbezogenen Daten verarbeitet:

In seinem DSGVO-Leitfaden erläutert Tixeo vollkommen transparent seine Datenschutzpolitik.

Wählen Sie mit einem Klick Ihr Benutzerprofil aus und entdecken Sie alle Informationen zur Verarbeitung Ihrer personenbezogenen Daten durch Tixeo im Rahmen einer 100 % DSGVO-konformen Videokonferenzlösung.