Zoombombing“ ist nach wie vor aktuell und stört immer mehr strategisch wichtige Online-Meetings  – oft mit schädigender Absicht. Vermeiden lässt sich das nur mit einer maximalen Sicherheit der Videokonferenzen.

 

Was versteht man unter „Zoombombing“?

Zoombombing“ ist ein unerwünschtes Eindringen in ein Online-Meeting. Während der Coronakrise und des Lockdowns führte der plötzliche Boom von Videokonferenzen zu einer massiven Zunahme dieses Phänomens. Das „Zoombombing“ verdankt seinen Namen einer Vielzahl von Störungen von Zoom-Meetings durch Internet-Trolle.

In der Tat können diese Trolle unterschiedliche Ziele verfolgen, wenn sie sich in eine Videokonferenz einklinken: von der einfachen Störung des Meetings bis hin zum Abgreifen sensibler Informationen wie Namen der Teilnehmer, Thema der Besprechung, geteilte Dokumente oder Bildschirme usw.

 

Schwerwiegende Folgen für die Organisationen

Ein Eindringling in einer Videokonferenz stört nicht nur das Meeting. Er stellt auch eine Gefahr für die Vertraulichkeit der ausgetauschten Informationen dar.

In seiner letzten Mitteilung über die Risiken von Videokonferenzen nennt der französische Inlandsgeheimdienst DGSI das Beispiel eines Eindringens in eine Videokonferenz eines Unternehmens, um terroristische Botschaften zu verbreiten. Die Ursache? Die fehlende Zugangskontrolle zum Online-Meeting: Die Anmeldung war frei zugänglich und das Passwort der App hatte ein sehr geringes Sicherheitsniveau. Dieser Mangel an Schutz hat den Trollen das Eindringen erleichtert.

In ähnlicher Weise wurde vor kurzem eine Videokonferenz der Federal Reserve abgesagt, nachdem pornografische Bilder aufgetaucht waren, die von einem anonymen Sitzungsteilnehmer verbreitet wurden. Bei diesem Online-Meeting waren etwa hundert Vertreter der großen US-Banken anwesend. Eine Störung, die das Risiko von Datendiebstahl birgt und den Ruf der Organisation schädigt.

 

Ein Muss: die Sicherheit der verwendeten Videokonferenzsoftware

Solche Störungen können vermieden werden, wenn die verwendete Videokonferenzsoftware „Secure by design“ ist. Dieses Prinzip besteht darin, die Sicherheit bereits in den ersten Phasen des Entwurfs der Software zu berücksichtigen, um das Risiko von Sicherheitslücken zu vermeiden.

Der Zugriff auf die Software oder ihre Funktionen werden daher von Anfang an genauestens analysiert. Sobald eine Schwachstelle entdeckt wird, wird sie unmittelbar behoben, noch bevor die Software implementiert wird.

Ende-zu-Ende-Verschlüsselung

Bei Videokonferenzen gehört die Ende-zu-Ende-Verschlüsselung zu den unverzichtbaren Sicherheitskriterien. Dieses Datenübertragungssystem (Audio, Video und Daten) gewährleistet die absolute Vertraulichkeit der Kommunikation. Denn nur der Sender und der (die) Empfänger können die ausgetauschten Daten entschlüsseln, ohne jede Entschlüsselungsphase während der Übertragung.

Es ist daher unmöglich, eine Ende-zu-Ende-verschlüsselte Videokonferenz abzuhören oder auszuspionieren, wenn man nicht an der Sitzung teilnimmt. Daher erschwert die Ende-zu-Ende-Verschlüsselung das Eindringen in ein Online-Meeting zusätzlich.

Die Schlüsselrolle des Veranstalters der Videokonferenz

Die Sicherheit der Videokonferenzsoftware ist eine erste Barriere gegen ein unerlaubtes Eindringen.

Um einen maximalen Schutz zu gewährleisten, muss der Veranstalter des Meetings jedoch dazu in der Lage sein:

  • die Teilnehmer unkompliziert zu verwalten und unerwünschte Teilnehmer jederzeit auszuschließen,
  • die Rederechte im Meeting zu vergeben,
  • das Sicherheitsniveau je nach Sensibilität des Meetings anzupassen.

 

Kontrolle des Zugangs zu Online-Meetings 

Wenn ein Verbindungslink zu einer Videokonferenz geteilt wird, haben einige unerwünschte Gäste die Möglichkeit, sich direkt einzuloggen und zum Meeting zu gelangen.

Bei Tixeo funktioniert das so: Wenn eine Person auf einen Verbindungslink zu einer Videokonferenz klickt, gibt sie ihren Namen an und gelangt zunächst in einen Warteraum. Der Veranstalter erhält parallel dazu eine Benachrichtigung über diese Zugangsanfrage und kann entscheiden, ob diese Person teilnehmen soll oder nicht.

Ebenso hat der Veranstalter zu jedem Zeitpunkt des Online-Meetings die Möglichkeit, einen Teilnehmer auszuschließen, wenn er ihn für verdächtig hält.

 

Verwaltung der Rechte der Teilnehmer

Solange nicht alle Teilnehmer der Videokonferenz anwesend sind, ist es besser, wenn nur das Mikrofon des Veranstalters offen ist. Dies vermeidet Störgeräusche im Zusammenhang mit der Ankunft der Teilnehmer und vermeidet das Risiko, dass ein Eindringling das Wort ergreift und die Aufmerksamkeit in Anspruch nimmt.

Der Veranstalter kann außerdem jeden Teilnehmer auffordern, seine Webcam zu aktivieren, um keinen Zweifel an den anwesenden Gesprächspartnern zu haben, wie dies vom DGSI empfohlen wird.

 

 

Wahl der geeigneten Sicherheitsstufe

Mit Tixeo hat der Veranstalter die Möglichkeit, eine mehr oder weniger hohe Sicherheitsstufe zu wählen, je nachdem, wie sensibel seine Videokonferenz ist. Mit einer Standard-Sicherheitsstufe ist es daher möglich, einen Verbindungslink zum Meeting zu teilen und sich beispielsweise über einen Webbrowser einzuklinken. Auf der höchsten Sicherheitsstufe sind die Teilnehmer gezwungen, ein Benutzerkonto zu erstellen und sich über die Software in das Online-Meeting einzuloggen.

visa de sécurité ANSSI

Visa de sécurité ANSSI

Die sichere Videokonferenzlösung von Tixeo ist die einzige Lösung, die von der französischen Behörde für Informationssicherheit ANSSI zertifiziert und qualifiziert wurde. Die CSPN Zertifizierung wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als gleichwertig zu einem Zertifikat nach der Beschleunigten Sicherheitszertifizierung (BSZ) anerkannt.

Mehr über die sichere Videokonferenz erfahren

Kein Austausch von Informationen über ein Online-Meeting

Manchmal werden versehentlich Informationen über eine Videokonferenz weitergegeben. Zum Beispiel in gemeinsam genutzten Terminkalendern, wo man auf die Teilnehmerliste, das Thema des Meetings oder den Verbindungslink zugreifen kann. Aber es kommt auch vor, dass Fotos von Besprechungsräumen mit laufender Videokonferenz in den sozialen Netzwerken veröffentlicht werden, während man auf dem Bildschirm den Namen des Netzwerks oder die Anmeldedaten sieht.

Die Weitergabe solcher Informationen muss umfassend überwacht werden, da sie ein Eindringen möglich machen.

Tixeo, die Secure by Design Videokonferenz-Software, integriert die Sicherheit in die Grundlagen des Entwurfs ihrer Lösung. Die Ende-zu-Ende-Verschlüsselungstechnologie sichert die Kommunikation unabhängig von der Anzahl der Teilnehmer an der Videokonferenz.