Warum Unternehmen es den Angreifern viel zu leicht machen und wie man sich clever verteidigen kann, darüber sprach Lars Becker, Redakteur it security, mit Valentin Boussin, Country Manager Dach bei Tixeo. [...]
Videokonferenzen waren besonders während der Pandemie häufig Ziel von Cyberangriffen. Wie hat sich die Gefahrenlage seit dem entwickelt?
Valentin Boussin: Das Risiko von Hackerangriffen auf die Online-Kommunikation von Unternehmen ist seit dem Ende der Pandemie höher denn je. Videokonferenzen sind in den meisten Unternehmen nicht mehr wegzudenken. Allerdings versäumen viele, sie auch umfassend gegen Cyberangriffe zu schützen, obwohl dort häufig hochsensible Inhalte ausgetauscht werden. Das macht sie als Ziel für Hacker attraktiv.
Welche Konsequenzen haben solche Angriffe für Unternehmen?
Valentin Boussin: Das ist je nach Art und Ziel des Angriffs ganz unterschiedlich. Manche Cyberkriminelle klinken sich in Videokonferenzen ein, um zu stören. Die ungebetenen Gäste konfrontieren die Teilnehmer der Konferenz teils mit Hassbotschaften oder anderen verstörenden Inhalten.
Andere Arten von Cyberangriffen belasten Unternehmen finanziell – sei es als Folge von Industriespionage, oder weil sie Schäden teuer reparieren müssen. Laut Bitkom erleidet die deutsche Wirtschaft jährlich einen Schaden von ca. 203 Milliarden Euro durch Cyberangriffe. Andere Hackerangriffe zielen auf persönliche Daten ab. Werden solche entwendet, drohen hohe Bußgelder.
Was sind die wichtigsten Sicherheitsrisiken, die man in Bezug auf Datenschutz und Zugriffskontrolle kennen sollte?
Valentin Boussin: Ein Punkt ist eine mangelnde Kontrolle des Zugangs zu Online-Meetings. Das heißt: Organisatoren der Meetings überprüfen die Identität der Personen nicht, die sich in die Videokonferenz einklinken möchten. Jeder, der den Zugangslink oder andere Zugangsdaten entwendet hat, könnte also dem Meeting beitreten.
Auch der Datenschutz wird oft vernachlässigt. Die meisten Unternehmen nutzen in den USA ansässige Videokonferenzanbieter, ungeachtet dessen, dass der Cloud Act diese verpflichtet, in bestimmten Fällen den US-Behörden Zugang zu Kommunikationsinhalten zu gewähren. Das widerspricht somit diametral der europäischen DSGVO.
Warum sind die gängigen Tools für Videokonferenzen nicht wirklich sicher?
Valentin Boussin: Die gängigsten Videokonferenzanbieter bieten keine echte Ende-zu-Ende-Verschlüsselung der Kommunikation. Die Kommunikation ist nicht von Client zu Client verschlüsselt und ist somit immer dann entschlüsselt, wenn sie die Server passiert. Angreifer können diese Lücke nutzen, um sowohl auf die Inhalte der Kommunikation als auch auf ausgetauschte Dateien zuzugreifen.
Die genutzte Cloud ist ein weiterer Grund, warum die gängigsten Tools für Videokonferenzen unzureichenden Schutz der ausgetauschten Daten gewähren. Viele Plattformen bieten ihre Dienste über US-amerikanische Clouds. Damit gilt der erwähnte Cloud Act, die Vertraulichkeit der Kommunikation ist nicht gewährleistet und die DSGVO wird nicht eingehalten.
Tixeo ist die einzige Lösung auf dem Markt, die für ihre Ende-zu-Ende-Verschlüsselung CSPN-zertifiziert ist.
Valentin Boussin, Tixeo
Wie garantieren Sie bei Tixeo die Kompatibilität mit der DSGVO?
Valentin Boussin: Für Tixeo hat die Vertraulichkeit der persönlichen Daten einen sehr hohen Stellenwert. Deshalb nutzen wir ausschließlich europäische Clouds. Unsere Lösung übermittelt niemals die persönlichen Daten der Nutzer in ein Drittland oder an eine andere Einrichtung.
Warum genau ist eine Ende-zu-Ende-Verschlüsselung der Kommunikation so wichtig?
Valentin Boussin: Sie ist eine der wirksamsten Maßnahmen zur Abwehr von Cyberangriffen. Damit ist sie der Grundpfeiler von Videokonferenzlösungen, die eine vollständige Vertraulichkeit der Kommunikation gewährleisten können.
Diese Verschlüsselung zeichnet sich dadurch aus, dass die Keys zur Entschlüsselung der Kommunikationsströme nur auf den jeweiligen Geräten der Gesprächspartner gespeichert werden. Dadurch kann nicht einmal Tixeo auf die Schlüssel zugreifen. Somit ist die Vertraulichkeit der Kommunikation garantiert, auch bei mehreren Teilnehmern.
Wodurch unterscheidet sich Ihre Videokonferenzlösung von anderen auf dem Markt erhältlichen Produkten in Bezug auf Schutz vor Cyberangriffen?
Valentin Boussin: Tixeo ist die einzige Lösung auf dem Markt, die für ihre Ende-zu-Ende-Verschlüsselung CSPN-zertifiziert ist. Diese Zertifizierung wird vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) als gleichwertig zu einem Zertifikat nach der Beschleunigten Sicherheitszertifizierung (BSZ) anerkannt.
Viele Videokonferenzlösungen geben an, eine Ende-zu-Ende-Verschlüsselung zu bieten, verschlüsseln allerdings lediglich die Datenströme zwischen dem Benutzer und dem Kommunikationsserver. Sprich eine Ende-zu-Ende-Verschlüsselung ist nur bei zwei Teilnehmern gegeben.
Bei Tixeo dagegen werden Verschlüsselungsschlüssel mit der Konferenz erstellt und ausschließlich zwischen den Teilnehmern ausgetauscht. Niemand sonst hat Zugriff auf die Schlüssel und es ist unmöglich, den Kommunikationsstrom zu entschlüsseln. Außerdem sind wir 100 Prozent Made in Europe.
Wie können Unternehmen den Übergang zu sicheren Videokonferenzlösungen erleichtern?
Valentin Boussin: Der Umstieg auf Tixeo fällt den meisten Nutzern erfahrungsgemäß leichter als viele zunächst fürchten. Bei den meisten Softwares ist die Benutzeroberfläche ähnlich gebaut. Auch für Unternehmen und Admins ist es einfach, da sie die IT-Infrastruktur gar nicht oder nur geringfügig umbauen müssen.
Außerdem erkennen Kunden und Gesprächspartner schnell die Vorteile unserer Lösung. Features wie der Kollaborationsmodus bewirken, dass viele User nach kurzer Zeit gar nicht mehr zurück zu ihrer vorherigen Plattform wollen.
Können sie konkrete Beispiele nennen, in denen Tixeo dazu beigetragen hat, Industriespionage zu vereiteln und sensible Unternehmensinformationen zu schützen?
Valentin Boussin: Viele unserer Nutzer kommen aus Branchen, in denen hochsensible Daten geschützt werden müssen.
Dazu zählen Pharma, der Finanzsektor, die Rüstungsindustrie oder öffentliche Behörden. Zum Beispiel setzt das Pharma-Unternehmen Avmatsim – in seiner Sparte ein Weltmarktführer – ausschließlich auf Tixeo. Zudem zählen in Deutschland wie auch in ganz Europa öffentliche Behörden zu unseren Kunden, sogar EU-Institutionen.
Wie sehen Sie die Zukunft der sicheren Videokonferenzen im Hinblick auf die Bekämpfung von Industriespionage?
Valentin Boussin: Während der Pandemie ging es bei Videokonferenzen meistens vor allem darum, dass sie funktionieren. Immer mehr Unternehmen werden aber erkennen, dass sie den Schutz der Kommunikation bisher ignoriert haben. Die Fälle von Cyberangriffen und Industriespionage nehmen Jahr für Jahr zu, gleichzeitig fehlen Experten für Cybersecurity.
Herr Boussin, vielen Dank für das Gespräch.
it-sa 2023: Messestand 518, Halle 7A
Be the first to comment