Diese Tipps für Unternehmen und Endbenutzer sollen dabei helfen, Meetings privat und vor Eindringlingen geschützt abzuhalten. [...]
Wenn eine Technologie schnell an Popularität gewinnt, wächst auch die Zahl der Übeltäter, die neue und ungeschulte Benutzer für ihre Zwecke ausnutzen. Die Welt sieht dies jetzt bei Videokonferenzdiensten und -anwendungen. Berichte über die Übernahme der beliebten Zoom-App – bekannt als „Zoom-bombing“ – häufen sich.
Angesichts zahlreicher Meldungen über Konferenzen, die durch pornografische und/oder volksverhetzende Bilder und Drohungen gestört wurden, hat das Bostoner Büro des FBI kürzlich eine Warnung an Benutzer von Videokonferenzplattformen herausgegeben. Der Sicherheitsexperte und Enthüllungsjournalist Brian Krebs lieferte Einzelheiten über die Passwortprobleme von Zoom und darüber, wie Hacker „War Dialing„-Methoden nutzen konnten, um Sitzungs-IDs und Passwörter für Zoom-Sitzungen herauszufinden.
Während die gekaperten Konferenzen für die Teilnehmer lästig und störend sind, sind die Eindringlinge, die in den Sitzungen lauern, ohne ihre Anwesenheit preiszugeben, eine heimtückischere Bedrohung – ein Alptraum für die Unternehmenssicherheit und die Privatsphäre des Einzelnen gleichermaßen.
Ein weiterer Alptraum: Laut der Washington Post wurden Tausende von privaten Aufzeichnungen von Zoom-Meetings im Internet entdeckt. Zoom teilte The Verge mit, dass seine eigenen Server nicht durchbrochen worden seien und dass die Videos wahrscheinlich von Benutzern auf andere Cloud-Speicherdienste hochgeladen worden sein dürften. Sie konnten jedoch durch die Suche leicht gefunden werden, da sie die Standardnamenskonvention des Unternehmens für Aufzeichnungen weiterhin verwendeten.
Das Sperren von Meetings
Die gute Nachricht ist, dass viele Videokonferenz-Produkte Sicherheitseinstellungen beinhalten, die solche Vorfälle verhindern können. Die schlechte Nachricht ist, dass es oft Benutzern ohne entsprechende Sicherheitsschulung überlassen wird, diese Einstellungen zu konfigurieren.
Wir sind hier, um zu helfen. Im Rahmen seiner Beratungsleistungen gab das FBI Sicherheitstipps für Unternehmen, Schulen und Einzelpersonen, die Videokonferenz-Dienste nutzen. Nach Rücksprache mit anderen Sicherheitsexperten haben wir diese Ideen erweitert, um diese Liste der Sicherheits-Do’s und Don’ts für Webkonferenzen zu erstellen.
Verwenden Sie keine Consumer-grade Software oder entsprechende Pläne für Business-Meetings. Consumer-Tools verfügen höchstwahrscheinlich nicht über alle administrativen Tools, die Sie benötigen, um alles abzusichern. Zwar kann kein Videokonferenzdienst einen 100-prozentigen Schutz vor Bedrohungen garantieren, aber Sie erhalten einen umfassenderen Satz an Sicherheitstools mit speziell auf den Einsatz in Unternehmen zugeschnittenen Produkten, von denen viele für die ersten Monate kostenlos angeboten werden.
Verwenden Sie die Warteraum-Funktionen in der Konferenz-Software. Solche Funktionen versetzen die Teilnehmer vor der Sitzung in einen separaten virtuellen Raum und ermöglichen es dem Gastgeber, nur Personen zuzulassen, die sich im Raum aufhalten sollen.
Stellen Sie sicher, dass der Passwortschutz aktiviert ist. Zoom erzeugt jetzt automatisch ein Passwort zusätzlich zu einer Konferenzraum-ID. Stellen Sie sicher, dass Ihr Dienst sowohl eine Konferenz-ID-Nummer als auch eine Zeichenfolge verwendet, aber darüber hinaus auch ein separates Passwort oder eine PIN hat. Wenn der Dienst Ihnen die Möglichkeit bietet, ein Kennwort für die Besprechung zu erstellen, verwenden Sie bewährte Verfahren für die Erstellung von Kennwörtern – verwenden Sie eine zufällige Zeichenfolge aus Zahlen, Buchstaben und Symbolen; erstellen Sie kein leicht zu erratendes Kennwort wie „123456“.
Geben Sie keine Links zu Videokonferenzen oder Schulungsräumen über Social Media-Posts weiter. Laden Sie Teilnehmer aus der Konferenz-Software heraus ein – und weisen Sie sie an, die Links nicht freizugeben.
Erlauben Sie den Teilnehmern nicht, die Bildschirmfreigabe standardmäßig zu erlauben. Ihre Software sollte Einstellungen aufweisen, die es den Gastgebern ermöglichen, die gemeinsame Bildschirmnutzung zu verwalten. Sobald ein Meeting begonnen hat, kann der Gastgeber gegebenenfalls bestimmten Teilnehmern die Freigabe erlauben.
Verwenden Sie bei einem Anruf kein Video, wenn dies nicht erforderlich ist. Das Ausschalten Ihrer Webcam und das Mithören über Audio verhindert mögliche Social Engineering-Bemühungen, durch Hintergrundobjekte mehr über Sie zu erfahren. Nur-Audio spart außerdem Netzwerkbandbreite bei einer Internetverbindung und verbessert so die allgemeine Audio- und Bildqualität des Meetings.
Verwenden Sie die neueste Version der Software. Bei älteren Softwareversionen werden Sicherheitslücken wahrscheinlich häufiger ausgenutzt. Beispielsweise hat Zoom kürzlich seine Software aktualisiert, so dass kennwortgeschützte Sitzungen erforderlich sind. Das Unternehmen hat die Arbeit an neuen Funktionen unterbrochen, um seine Entwickler auf die Beseitigung von Datenschutz- und Sicherheitslücken zu konzentrieren, was darauf hindeutet, dass weitere Aktualisierungen bevorstehen. Vergewissern Sie sich, dass alle Teilnehmer die aktuellste verfügbare Version verwenden.
Schmeißen Sie die Teilnehmer aus Besprechungen raus, wenn ein Angreifer eindringen kann oder aufsässig wird. Dadurch werden sie daran gehindert, sich wieder anzuschließen.
Sperren Sie eine Besprechung, sobald sich alle Teilnehmer der Konferenz angeschlossen haben. Wenn jedoch ein gültiger Teilnehmer ausscheidet, stellen Sie sicher, dass Sie die Besprechung entsperren, um ihn wieder hereinzulassen, und sperren Sie sie nach seiner Rückkehr erneut.
Zeichnen Sie keine Besprechungen auf, es sei denn, Sie müssen es tun. Wenn Sie eine Besprechung aufzeichnen, stellen Sie sicher, dass alle Teilnehmer wissen, dass sie aufgezeichnet werden (die Software sollte dies anzeigen, aber es ist empfehlenswert, es ihnen auch zu sagen), und geben Sie der Aufzeichnung einen eindeutigen Namen, wenn Sie sie speichern.
Klären Sie alle Mitarbeiter, die Meetings veranstalten, über die spezifischen Schritte auf, die sie in der von Ihrem Unternehmen verwendeten Software unternehmen sollten, um die Sicherheit ihrer Konferenzen zu gewährleisten.
Gabriel Friedlander, CEO der Sicherheitsschulungsfirma Wizer, hat beispielsweise auf LinkedIn eine Liste mit empfohlenen Sicherheitseinstellungen für Personen veröffentlicht, die Zoom verwenden – sei es in ihrem Unternehmen oder bei privaten Zusammenkünften. Hier ist eine Zusammenfassung seiner Empfehlungen:
- Schalten Sie [Participants Video] aus. Sie können es wieder einschalten, sobald Sie ihnen die Teilnahme gestatten.
- Schalten Sie [Join before host] aus.
- Schalten Sie [[Use Personal Meeting ID (PMI) when scheduling a meeting] aus.
- Schalten Sie [Use Personal Meeting ID (PMI) when starting an instant meeting] aus.
- Schalten Sie [Require a password when scheduling new meetings] ein.
- Schalten Sie [Mute participants upon entry] ein.
- Schalten Sie [Play sound when participants join or leave] ein. Dies wird nur vom Gastgeber gehört.
- Schalten Sie [Screen Sharing] ein – nur Host
- Schalten Sie [Annotation] aus.
- Schalten Sie [Breakout-Raum] ein – ermöglicht es dem Gastgeber, Teilnehmer für die Planung des Breakout-Raums zuzuweisen.
- In den erweiterten Einstellungen sollten Gastgeber die Funktion [Waiting Room] einschalten.
Während diese Einstellungen spezifisch für Zoom sind, sollte jede Videokonferenz-Software, die Sie verwenden, ähnliche Einstellungen bieten. Wenn dies bei Ihrer nicht der Fall ist, ist es an der Zeit, zu einem sichereren Produkt zu wechseln.
Balance zwischen Sicherheit und Benutzerfreundlichkeit
Einer der Gründe dafür, dass Zoom und andere Videokonferenzdienste an Popularität gewonnen haben, ist ihre Benutzerfreundlichkeit für Endbenutzer, von denen viele die Technologie im Allgemeinen nicht regelmäßig nutzen.
„Die Menschen sehnen sich nach Einfachheit, wenn es um Technologie geht, besonders in stressigen Zeiten wie einer globalen Pandemie“, so Reza Zaheri, Gründer von 1:M Cyber Security, einem Unternehmen, das Schulungen zum Thema Cybersicherheit anbietet. „Es gibt immer ein Jonglieren zwischen Sicherheit und Benutzerfreundlichkeit, wenn es um technische Produkte geht.“
„Um es ganz allgemein zu sagen: Die Mehrheit der Laien zieht es vor, nicht über die Sicherheits- und Datenschutzaspekte eines Produkts nachzudenken. Wenn diese Funktionen in ein Produkt eingebacken werden und sogar als für den Benutzer verfügbar angepriesen werden, konfigurieren die meisten Leute diese Einstellungen normalerweise immer noch nicht und nehmen an, dass jemand anderes diese Dinge in ihrem Namen im Backend verwaltet.“
Zoom hat Anleitungen zum Sperren von Meetings in einem Blog-Beitrag und einem Video herausgegeben, aber das bedeutet für die Nutzer immer noch, dass sie sich selbst schützen müssen.
Zaheri erklärte, dass Softwareprodukte standardmäßig Sicherheitseinstellungen haben sollten, und zwar mit Opt-out-Einstellungen, die eine Warnmeldung anzeigen, die den Nutzern erklärt, warum es ein Risiko wäre, sie abzuschalten.
„Ich denke, die Mehrheit der Leute, die zu Hause arbeiten und sich mit der Technologie vielleicht nicht wohlfühlen, würden sich einfache Sicherheits- und Datenschutzeinstellungen wünschen, die bereits eingebaut und für sie eingeschaltet sind“, meinte er. „Sie wollen das Programm einfach nur starten und benutzen – diese Einstellungen sollten bereits vom Hersteller für sie konfiguriert worden sein“.
Die Schulung einer neuen Welle von Technologie-Anwendern
Wizers Friedlander zufolge haben die Hacking-Bemühungen rund um Videokonferenzdienste als direkte Folge der Zunahme von Work-at-Home- und School-at-Home-Politiken im Zuge der Covid-19-Pandemie zugenommen.
„Hacker und Cyberkriminelle denken wie Marketingexperten – sie sind immer auf der Suche nach Trends und wie sie ihre Betrügereien vermarkten können“, erklärte er. „Zoom ist im Trend, Arbeit von zu Hause aus ist im Trend, Coronavirus ist im Trend, deshalb sehen wir viele neue Arten von Bedrohungen. Es trifft jeden, denn die Menschen sind heute mehr denn je von der Technologie abhängig.“
Was sich jetzt im Vergleich zu früheren Sicherheitsbedrohungen unterscheidet, ist die Tatsache, dass eine ganz neue Gruppe von Technologieanwendern – Studenten, Lehrer, Familienmitglieder und kleine Organisationen wie Karate-, Fitness- und Tanzstudios – Videokonferenzen für die Durchführung von Kursen nutzen, oft ohne jegliche IT- oder Sicherheitsunterstützung im Rücken. Traditionelle Messaging-Maßnahmen rund um das Sicherheitstraining, wie E-Mails oder Twitter-Nachrichten, müssen sich auf die Bereiche ausdehnen, in denen sie von diesem neuen Publikum gesehen werden, sagte Friedlander.
„Wenn Sie diese Menschen erreichen wollen, müssen Sie die Kanäle nutzen, auf denen sie sich jetzt befinden“, riet er. „Ich sehe bereits mehr IT- und Sicherheitsleute, die TikTok-Videos machen. Vielleicht ist das Material dasselbe, aber die Art und Weise, wie man es liefert, muss sich dort anpassen, wo die Leute es [sehen können].“
*Keith Shaw ist freier Digitaljournalist, der seit mehr als 20 Jahren über die IT-Welt schreibt.
Be the first to comment