Seit dem Aufkommen der Telearbeit und mit der Entwicklung der KI werden strategisch wichtige Online-Meetings oft durch böswilliges „Zoombombing“ gestört. Um dies zu verhindern, müssen Videokonferenzen auf allen Ebenen maximal gesichert sein.
Was ist „Zoombombing“?
„Zoombombing“ bezeichnet unerwünschtes Eindringen in ein Online-Meeting. Während der Pandemie und der Verbreitung der Telearbeit führte die plötzliche und massive Abhaltung von Videokonferenzen für eine starke Zunahme dieses Phänomens. Die Bezeichnung „Zoombombing“ geht übrigens auf eine große Anzahl mutwilliger Störungen durch Eindringlinge bei Zoom-Videokonferenzen zurück.
Diese Eindringlinge können unterschiedliche Ziele verfolgen, wenn sie an einer Videokonferenz teilnehmen, von der einfachen Störung der Konferenz bis hin zum Ausspähen sensibler Informationen, wie Namen der Teilnehmer, Zweck der Konferenz, Dokumente oder Daten, die sich auf geteilten Bildschirmen befinden…
Bei dieser Art von Cyberangriff sind rechtliche Konsequenzen möglich. Sie wird als Verletzung der Privatsphäre angesehen und kann nach Artikel 226-1 des frz. Strafgesetzbuchs „Code pénal“ bestraft werden. Werden pornografische Inhalte verbreitet, kann Zoombombing auch als sexuelle Zurschaustellung gemäß Artikel 222-32 des Strafgesetzbuchs eingestuft werden. Schließlich sieht Artikel R624-2 „Code pénal“ eine Geldstrafe für die Verbreitung anstößiger Mitteilungen an öffentlichen Orten vor.
Beispiele für das Eindringen in Online-Meetings und ihre Folgen
Ein Eindringen in eine Videokonferenz ist nicht nur störend für die Durchführung der Sitzung. Es gefährdet auch die Vertraulichkeit der ausgetauschten Informationen und kann dem Image einer Organisation oder einer öffentlichen Verwaltung schaden.
In einem Bericht zu den Risiken von Videokonferenzen führt die DGSI als Beispiel ein Unternehmen an, in dessen Videokonferenz eingedrungen wurde, um Nachrichten mit terroristischem Hintergrund zu verbreiten. Wie das möglich war? Fehlende Kontrolle der Zugänge zur Videokonferenz: Die Anmeldung war frei und die Sicherheitsstufe des Anwendungspassworts sehr niedrig. Dieser mangelnde Schutz erleichterte das Eindringen.
Im Februar 2024 wurde die per Videokonferenz abgehaltene Sitzung des Stadtrats der Stadt Laguna Beach in Kalifornien durch Zoombombing gestört. Personen hatten dort beleidigende Inhalte und Hassreden geteilt. In Frankreich wurde im Juli 2024 die Videokonferenz des Industrieministers Roland Lescure durch die Ausstrahlung pornografischer Videos gestört. Dreimal wurde der Minister, während er zu 200 Wählern in seinem Wahlkreis sprach, durch Zoombombing unterbrochen, wobei diese Störungen wahrscheinlich darauf abzielten, seiner Wahlkampagne zu schaden.
Ebenso wurde eine Videokonferenz der US-Notenbank abgesagt, nachdem pornografische Bilder aufgetaucht waren, die von einem anonymen Teilnehmer der Sitzung verbreitet worden waren. Während des Online-Meetings waren rund 100 Vertreter der großen US-Banken anwesend. Eine Störung, die das Risiko von Datendiebstahl mit sich bringt und dem Ruf der Organisation schadet.
Ein Muss: die Verwendung einer sicheren Videokonferenzsoftware
Diese Art von Störung kann begrenzt werden, wenn die Videokonferenzsoftware nach dem Designkonzept „Secure by design“ entworfen wurde. Es geht darum, Software so zu entwickeln, dass Sicherheitsaspekte bereits in den ersten Phasen der Entwicklung berücksichtigt werden, um Sicherheitslücken vorzubeugen.
Die Zugänge zur Software sowie ihre Funktionen werden von Anfang an streng analysiert. Daher wird jede entdeckte Schwachstelle umgehend behoben, bevor die Software bereitgestellt wird.
Es gibt weitere Punkte, die die Sicherheit der Videokonferenzsoftware gewährleisten.
Die Schlüsselrolle des Organisators der Videokonferenz
Die Sicherheit der Videokonferenzsoftware ist eine erste Barriere gegen Eindringlinge.
Um maximalen Schutz zu gewährleisten, ist es jedoch wichtig, dass der Organisator des Meetings in der Lage ist,:
- die Teilnehmer auf einfache Weise zu verwalten
- jederzeit einen unerwünschten Teilnehmer auszuschließen
- die Moderationsrechte auszuüben (Bildschirmfreigabe, Mikrofon…)
- das Sicherheitsniveau an die Sensibilität des Meetings anzupassen
Durch die Kontrolle des Zugangs und der Rechte der Teilnehmer begrenzt der Organisator somit das Risiko einer Störung der Videokonferenz.
Den Zugang zu Online-Meetings kontrollieren
Bevor Sie die Teilnehmer in ein Meeting lassen, sollten Sie sich vergewissern, dass diese auch wirklich eingeladen sind. Wenn ein einfacher Link zum Einloggen in eine Videokonferenz geteilt wird, haben unerwünschte Gäste die Möglichkeit, sich durch Anklicken direkt in die Konferenz einzuschalten.
Bei Tixeo muss eine Person nach Anklicken eines Links zur Videokonferenz ihren Namen angeben und zunächst in einem Warteraum bleiben. Der Organisator erhält parallel dazu eine Benachrichtigung über diese Zugangsanfrage und kann diese analysieren. Die Entscheidung, ob die Person teilnehmen darf oder nicht, liegt dann bei ihm.
Ebenso hat der Organisator zu jedem Zeitpunkt des Online-Meetings die Möglichkeit, einen Teilnehmer auszuschließen, wenn er ihm verdächtig erscheint.
Teilnehmerrechte verwalten
Bis alle Teilnehmer der Videokonferenz versammelt sind, sollte nur der Organisator über das offene Mikrofon verfügen. Dies verhindert störende Geräusche, die mit der Ankunft jedes Einzelnen zusammenhängen, und beugt dem Risiko vor, dass ein Eindringling das Wort ergreift und die Aufmerksamkeit auf sich zieht.
Wie von der DGSI empfohlen, kann der Organisator auch jeden Teilnehmer einzeln auffordern, seine Webcam einzuschalten, um Zweifel über die anwesenden Gesprächspartner auszuschließen.
Die passende Sicherheitsstufe auswählen
Die Sicherheitsstufe von Videokonferenzen muss der Sensibilität des Austauschs angemessen sein. Denn im Falle eines Online-Meetings, in dem es um vertrauliche Informationen geht, die mit dem Vermerk „Nur für den Dienstgebrauch“ versehen sind oder dem Schutz des nationalen Verteidigungsgeheimnisses unterliegen, muss ausreichender Schutz vor „Zoombombing“ gewährleistet sein.
Bei Tixeo hat der Organisator die Möglichkeit, je nach Sensibilität seiner Videokonferenz eine höhere oder niedrigere Sicherheitsstufe zu wählen. Bei der Standardsicherheitsstufe ist es möglich, einen Anmeldelink für die Konferenz freizugeben und sich z. B. über einen Webbrowser einzuloggen. Bei der höchsten Sicherheitsstufe müssen die Teilnehmer ein Benutzerkonto einrichten und sich über die Software in das Online-Meeting einloggen.
Die Tixeo-Technologie für sichere Videokonferenzen ist die einzige Lösung, die von der ANSSI zertifiziert und zugelassen wurde. Die CSPN-Zertifizierung wird vom BSI als gleichwertig mit dem BSZ-Zertifikat anerkannt.
Erfahren Sie mehr über sichere Videokonferenzen
Die Informationsweitergabe in einem Online-Meeting verhindern
Schließlich können Informationen während einer Videokonferenz versehentlich weitergegeben werden. Zum Beispiel in gemeinsamen Terminkalendern, wo man auf die Teilnehmerliste, den Betreff der Besprechung oder auch den Anmeldelink zugreifen kann. Es kommt aber auch vor, dass Fotos von Besprechungsräumen mit laufender Videokonferenz in sozialen Netzwerken gepostet werden, obwohl auf dem Bildschirm der Name des Netzwerks oder Anmeldedaten zu sehen sind.
Die Weitergabe solcher Informationen in großem Umfang ist unbedingt zu vermeiden, da es sich um strategisch wichtige Daten handelt, die Eindringversuche nach sich ziehen könnten.
Spionage: Wie erkennt man, dass eine Videokonferenz nicht sicher ist?
Weitere Sicherheitskriterien für Online-Meetings
Ende-zu-Ende-Verschlüsselung
Bei sensiblen Videokonferenzen ist eine Ende-zu-Ende-Verschlüsselung ein unverzichtbares Sicherheitskriterium. Diese Art der Datenübertragung (Audio, Video und Daten) garantiert die absolute Vertraulichkeit der Kommunikation. Denn nur der Sender und der/die Empfänger können die übertragenen Daten entschlüsseln. Dazwischen findet keine Entschlüsselung statt.
Es ist also nicht möglich, eine Ende-zu-Ende-verschlüsselte Videokonferenz außerhalb der Sitzung abzuhören oder auszuspionieren oder die ausgetauschten Daten abzurufen. Daher macht es diese Technologie umso schwieriger, in ein Online-Meeting einzudringen und Informationen zu stehlen.
Erweiterte Ende-zu-Ende-Verschlüsselungsfunktionen, wie die Funktion „Erhöhte Sicherheit“ von Tixeo, ermöglichen die Eingabe eines Codes während eines Online-Meetings, um in einen geheimen Kommunikationstunnel zu gelangen, der für jeden anderen Gesprächspartner, der den Code nicht besitzt, unzugänglich ist.
Wie funktioniert die Ende-zu-Ende-Verschlüsselung?
Sensibilisierung der Mitarbeiter für Zoombombing
Um das Risiko von Zoombombing zu begrenzen, müssen die Mitarbeiter, ob vor Ort oder im hybriden Arbeitsverhältnis mit Telearbeit, für den richtigen Umgang mit ihrem Videokonferenz-Tool sensibilisiert und geschult werden. So können sie verdächtige Teilnahmeanfragen leichter erkennen, die Rechte der eingeladenen Teilnehmer verwalten und sicherstellen, dass für die Kommunikation das höchstmögliche Sicherheitsniveau eingestellt ist.
Bei Tixeo, der Secure-by-Design-Videokonferenzsoftware, ist die Sicherheit bereits in den Kern der Lösung integriert. Seine zuverlässige geräteübergreifende Ende-zu-Ende-Verschlüsselungstechnologie schützt vertrauliche Kommunikation unabhängig von der Anzahl der Videokonferenzteilnehmer.