PSW GROUP nimmt Videokonferenz-Tools unter die Lupe

Die richtige Videokonferenzsoftware zu finden, ist gar nicht so einfach: Es gibt freie und proprietäre Software, kostenlose Angebote und welche, die richtig ins Geld gehen, reine Videokonferenzsysteme und Software, die mit zahlreichen Extras gespickt ist. [...]

Unternehmen sollten bei der Wahl einer Videokonferenz-Lösung auf eine DSGVO-konforme Lösung setzen, um ihre Daten sowie die aller Konferenzteilnehmer zu schützen. (c) fizkes - stock.adobe.com

„Unternehmen sollten sich zunächst über den gewünschten Funktionsumfang klar werden und sich im nächsten Schritt unbedingt auch die Datenschutz- und Sicherheitsaspekte genau ansehen“, rät Patrycja Tulinska, Geschäftsführerin der PSW GROUP, und betont: „Dabei sollten Unternehmen auf eine DSGVO-konforme Lösung setzen, um ihre Daten sowie die aller Konferenzteilnehmer zu schützen.“

Die PSW GROUP hat sich mit Microsoft Teams, Skype, Cisco WebEx, Zoom, GoToMeeting und Jitsi verschiedene Tools hinsichtlich ihrer Funktion und Sicherheitsmerkmale genauer angesehen – und kommt zu teils sehr unterschiedlichen Ergebnissen.

Microsoft Teams: Großer Funktionsumfang und leicht bedienbar, aber datenschutzrechtlich nicht uneingeschränkt empfehlenswert

Microsoft Teams ist wohl der Platzhirsch unter den Tools und enthält nebst Videokonferenzen und Chats auch die Möglichkeit zum Dateiaustausch. Gemeinsame Dateiablagen sowie eine direkte Verbindung zu allen Office-Anwendungen machen das Tool praktisch für die Kollaboration. Zugriff gibt’s vom Smartphone, dem Tablet, Notebook oder vom Desktop-Rechner. Aufgrund der Corona-Pandemie bietet Microsoft Teams bis einschließlich Januar 2021 kostenfrei an. Ansonsten werden im Jahresabonnement drei Pakete geboten, deren Preise sich von 4,20 Euro bis 19,70 Euro staffeln.

„Die umfangreichen Funktionen für die virtuelle Zusammenarbeit machen Microsoft Teams zu einem empfehlenswerten Tool“, so Patrycja Tulinska. In Sachen Datenschutz macht die IT-Sicherheitsexpertin Abstriche: Laut Datenschutzerklärung sendet Microsoft User-IDs an die Adobe-Tochter Marketo, an die Adobe Experience Cloud sowie an Google AIs und Scorecardresearch. Neben dem Team-Admin werden auch die IDs eingeladener Nutzer an die Werbenetzwerke gesendet. Dort könnten sie theoretisch mit anderen personenbezogenen Daten angereichert werden. Sind Geräte und Browser, die beim ersten Nutzen der App oder Website an die Netzwerke gemeldet werden, dort bereits bekannt, können eingehende weitere Daten mit bestehenden Profilen verknüpft werden, sodass sie womöglich nicht mehr pseudonym sind.

Tulinska kritisiert: „Es ist schwierig, bei Microsoft Teams an eine Rechtmäßigkeit der Datenverarbeitung zu glauben, denn es fehlt eine gültige Datenschutzerklärung und es fehlt an informierten Einwilligungen in die Werbenutzung der Daten aller Teilnehmer. Durch eine solche Datenweitergabe und –nutzung ist Microsoft nicht mehr Auftragsverarbeiter, sodass der Konferenzveranstalter in der Pflicht wäre, derartige Datenweitergaben anders zu legitimieren. Außerdem müssten sämtliche Pflichten, die aus der DSGVO hervorgehen, wie etwa Auskunfts- und Löschansprüche, für sämtliche Daten in sämtlichen Werbenetzwerken sichergestellt werden.“

Skype: Ausschließlich für die private Kommunikation geeignet

Skype zählt wohl zu den bekanntesten Videokonferenz-Tools. Da Microsoft Skype for Business eingestellt bzw. durch Microsoft Teams ersetzt hat, eignet sich Skype ausschließlich für den privaten und keinesfalls für den geschäftlichen Einsatz. „Videokonferenzen mit Skype werden nicht DSGVO-konform durchgeführt. Wer das berücksichtigt, kann unter fast allen Betriebssystemen kostenfrei in guter Audio- und Bildqualität digital kommunizieren“, betont Patrycja Tulinska. Neben Online-Besprechungen und Videokonferenzen erlaubt Skype Videotelefonie, Dateiversand, Desktop-Sharing und dank Aufzeichnungsfunktion die Möglichkeit, Gespräche mitzuschneiden.

Cisco WebEx: Rechtlich absolut sicher mit Abstrichen in der Bedienbarkeit

Das Videokonferenz-Tool Cisco WebEx ist für Einzelnutzer grundsätzlich kostenfrei. Innerhalb eines Unternehmens können bis zu 100 Nutzer WebEx derzeit kostenfrei bis zu 90 Tage lang nutzen. Bereits die Funktionen der kostenfreien Version können sich sehen lassen: Desktop-Sharing, Ideen auf einem virtuellen Whiteboard festhalten, Konferenzen lassen sich durch Textchats mit Dateianhängen ergänzen. Das Bezahl-Abonnement erweitert den Funktionsumfang deutlich. Während Teams und Skype durchweg bedienerfreundlich sind, wirkt die Oberfläche von WebEx für einige Nutzer allerdings eher unaufgeräumt und undurchsichtig. „Die Meinungen gehen da auseinander, auch in unserem Team. Letztlich muss jeder selbst herausfinden, ob die Bedienung intuitiv und logisch erscheint“, so Tulinska.

Rechtlich zeigt sich WebEx aber absolut sicher: Daten werden während eines Online-Meetings stets verschlüsselt übertragen, wofür auf 256 Bit-AES-Verschlüsselung gesetzt wird. Jedoch geht aus der Datenschutzerklärung nicht hervor, über welche Server Daten bei den Meetings versendet werden. „Beim Anlegen eines Meetings kann der Moderator der Videokonferenz ein Passwort vergeben, sodass uneingeladene Gäste fernbleiben. Die Backmonitor-Funktion unterstützt den Moderator dabei, festzustellen, was die Teilnehmenden zu sehen bekommen“, lobt Tulinska. Cisco WebEx gehört zu den Privacy Shield-Unternehmen, die – aufs Wesentliche heruntergebrochen – sich dazu verpflichten, EU-Datenschutz auch in Drittländern zu gewährleisten. Weiters hat Cisco WebEx Standardschutzklauseln (SCC), einen Auftragsverarbeitungs-Vertrag (AV-Vertrag) und eine Datenschutzerklärung bereitgestellt.

Zoom: Großer Funktionsumfang mit Abstrichen im deutlich nachgebesserten Datenschutz

Besonders das Videokonferenz-System Zoom erlebte in Corona-Zeiten einen wahren Boom: Die Nutzerzahl stieg von 10 Millionen Nutzern im Dezember 2019 auf mehr als 200 Millionen monatliche User im März dieses Jahres. Dies hat Zoom wohl auch seinem Funktionsumfang zu verdanken: Dank Synchronisierung mit Kalendersystemen lässt sich Zoom vom Handy bis zum Desktop auf jedem Gerät mit Funktionen wie Video und Audio in HD, Team-Chats oder dem Teilen von Bildschirmen nutzen. In der kostenfreien Variante können bis zu 100 Teilnehmer einer Videokonferenz beiwohnen, jedoch mit zeitlichem Limit von 40 Minuten. Für knapp 14 Euro pro Monat wird dieses Limit auf 24 Stunden hoch gesetzt.

Während die Benutzerfreundlichkeit dank intuitiver Bedienung ohne lange Einarbeitung sowie die Stabilität des Tools Top sind, stießen Datenschutz- und Sicherheitsmängel auf derart heftige Kritik, dass zahlreiche Unternehmen und Behörden die Nutzung von Zoom verboten. Ende April hat Zoom deutlich nachgebessert und die meisten Sicherheitsmängel durch Updates beseitigt. So installiert der Zoom-macOS-Client inzwischen keinen lokalen Webserver mehr mit und auch unter iOS wird kein SDK mehr automatisch installiert. Dieses reichte zuvor Informationen über das genutzte Smartphone an Facebook weiter, ohne dies in der Datenschutzerklärung überhaupt zu erwähnen.

„Auch die Meeting-ID wird inzwischen nicht mehr angezeigt. Sie stand zuerst gut sichtbar in der Titelleiste. Über einen neuen „Security“-Button lassen sich jetzt Rechte der Teilnehmer einstellen, ein Warteraum für neue Teilnehmer einrichten oder das Meeting komplett nach außen sperren“, so Tulinska. Dennoch: Obwohl in der Datenschutzerklärung als auch in der Produktbeschreibung des Videokonferenz-Tools eine Ende-zu-Ende-Verschlüsselung erwähnt wird, handelt es sich in der kostenfreien Basisversion lediglich um eine Transportverschlüsselung. „Das bedeutet, dass Zoom in der kostenfreien Version auf sämtliche übertragene Daten zugreifen kann. Die Ende-zu-Ende-Verschlüsselung gibt es ausschließlich für zahlende Kunden“, bringt es Tulinska auf den Punkt.

GoToMeeting: Absolut DSGVO-konform mit gutem Funktionsumfang

Mit GoToMeeting ist ein kostenpflichtiges Softwarepaket für Online-Videokonferenzen und –Meetings mit verschiedenen Tarifen am Markt. Desktop Sharing vereinfacht hier die Zusammenarbeit, die wahlweise mobil, am PC als Desktop- oder auch als Webversion geschehen kann. Meetings lassen sich planen, abhalten sowie aufzeichnen. Mittels Zeichenwerkzeugen und einem virtuellen Whiteboard können Ideen festgehalten und präsentiert werden.

Datenschutz und Sicherheit des DSGVO-konformen Tools finden das Wohlwollen der IT-Sicherheitsexpertin: „In allen Paketen werden sämtliche Interaktionen in GoToMeeting SSL-verschlüsselt übertragen. Die Meetings selbst sind AES-256-Bit-verschlüsselt“, informiert Tulinska. Ein noch recht junges Sicherheitsfeature ist die risikobasierte Authentifizierung: Außergewöhnliche Vorgänge, wie etwa die Anmeldung von nicht berechtigten Geräten oder neuen Standorten aus, werden automatisch ermittelt und damit sichtbar für den jeweiligen Organisator. „Praktisch für die Sicherheit ist die Einmalanmeldung. Unternehmensweit wird nur ein Passwort angelegt, sodass Einzelbenutzer keine Passwörter verwalten müssen“, ist die Expertin begeistert.

Jitsi: Sehr empfehlenswertes Tool, wenn es auf dem eigenen Server sicher konfiguriert betrieben wird

Mit Jitsi ist ein quelloffenes, kostenloses Open Source-Tool verfügbar, das IP-Telefonie, Videokonferenzen sowie Instant Messaging vereint und mit seinem Funktionsumfang mit anderen Tools locker mithalten kann. Jitsi lässt sich unter Windows, macOS sowie Linux nutzen, zudem existieren mobile Apps sowie eine Version für den Webbrowser. Als Java-Implementierung ist Jitsi auf sämtlichen Plattformen mit Java-Laufzeitumgebung anwendbar.

„Jitsi ist Web RTC-kompatibel und leicht in Dienste wie Slack, Matrix oder RocketChat zu integrieren. Teilnehmer müssen nichts installieren, sondern werden hinzugefügt, indem die jeweilige URL einfach weitergegeben wird. Wohl auch deshalb wurde Jitsi im Rahmen der Corona-Krise vielfach für den Online-Unterricht empfohlen“, informiert Patrycja Tulinska. Sofortnachrichten sind OTR-, Bild und Ton ZRTP-verschlüsselt. „Jitsi kann mit einem eigenen Server betrieben werden. Das lässt Nutzern dann zwar die Datenhoheit, jedoch auch die Pflicht, den Server DSGVO-konform abzusichern.

Alternativ kann einer der zahlreichen im Web öffentlich zugänglichen Jitsi-Server genutzt werden“, so Tulinska. Die meisten Anbieter von Jitsi-Servern setzen sich für Datenschutz, Privatsphäre und den Schutz der informellen Selbstbestimmung ein. „Dennoch rate ich, sich immer die Serverbetreiber zu informieren, um sicher zu gehen, was mit Benutzerdaten passiert – es gibt durchaus ein potenzielles Risiko für Datenabflüsse“, empfiehlt Tulinska und bringt es auf den Punkt: „Sicherheit und Datenschutz hängen bei Jitsi von der Konfiguration der Server ab.“

Heißt: Wer eine Jitsi-Instanz auf Servern von Google, Amazon oder Microsoft betreiben möchte, holt sich US-Dienstleister ins Boot, die je nach Serverstandort nicht der DSGVO unterliegen. „Empfehlenswert sind zum Beispiel die Forschungsgemeinschaft elektronische Medien e. V., die einen Jitsi-Server betreibt, sowie die von Freifunk und vom CCC betriebenen Server“, ergänzt Tulinska. Eine Liste von Jitsi-Meet-Instanzen ist auf GitHub hinterlegt, wo auch der Code der Open Source-Software einsehbar ist. Ihr Fazit: „Wer einen eigenen Server nutzt und ihn entsprechend sicher konfiguriert, hat mit Jitsi ein sehr empfehlenswertes Tool für Videokonferenzen an der Hand.“


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*