Videokonferenzen werden für Cyberkriminelle immer beliebter

Warum Unternehmen es den Angreifern viel zu leicht machen und wie man sich clever verteidigen kann, darüber sprach Lars Becker, Redakteur it security, mit Valentin Boussin, Country Manager Dach bei Tixeo. [...]

Foto: MohamedHassan/Pixabay

Videokonferenzen waren besonders während der Pandemie häufig Ziel von Cyberangriffen. Wie hat sich die Gefahrenlage seit dem entwickelt?

Valentin Boussin: Das Risiko von Hackerangriffen auf die Online-Kommunikation von Unternehmen ist seit dem Ende der Pandemie höher denn je. Videokonferenzen sind in den meisten Unternehmen nicht mehr wegzudenken. Allerdings versäumen viele, sie auch umfassend gegen Cyberangriffe zu schützen, obwohl dort häufig hochsensible Inhalte ausgetauscht werden. Das macht sie als Ziel für Hacker attraktiv.

Welche Konsequenzen haben solche Angriffe für Unternehmen?

Valentin Boussin: Das ist je nach Art und Ziel des Angriffs ganz unterschiedlich. Manche Cyberkriminelle klinken sich in Videokonferenzen ein, um zu stören. Die ungebetenen Gäste konfrontieren die Teilnehmer der Konferenz teils mit Hassbotschaften oder anderen verstörenden Inhalten.

Andere Arten von Cyberangriffen belasten Unternehmen finanziell – sei es als Folge von Industriespionage, oder weil sie Schäden teuer reparieren müssen. Laut Bitkom erleidet die deutsche Wirtschaft jährlich einen Schaden von ca. 203 Milliarden Euro durch Cyberangriffe. Andere Hackerangriffe zielen auf persönliche Daten ab. Werden solche entwendet, drohen hohe Bußgelder.

Was sind die wichtigsten Sicherheitsrisiken, die man in Bezug auf Datenschutz und Zugriffskontrolle kennen sollte?

Valentin Boussin: Ein Punkt ist eine mangelnde Kontrolle des Zugangs zu Online-Meetings. Das heißt: Organisatoren der Meetings überprüfen die Identität der Personen nicht, die sich in die Videokonferenz einklinken möchten. Jeder, der den Zugangslink oder andere Zugangsdaten entwendet hat, könnte also dem Meeting beitreten.

Auch der Datenschutz wird oft vernachlässigt. Die meisten Unternehmen nutzen in den USA ansässige Videokonferenzanbieter, ungeachtet dessen, dass der Cloud Act diese verpflichtet, in bestimmten Fällen den US-Behörden Zugang zu Kommunikationsinhalten zu gewähren. Das widerspricht somit diametral der europäischen DSGVO.

Warum sind die gängigen Tools für Videokonferenzen nicht wirklich sicher?

Valentin Boussin: Die gängigsten Videokonferenzanbieter bieten keine echte Ende-zu-Ende-Verschlüsselung der Kommunikation. Die Kommunikation ist nicht von Client zu Client verschlüsselt und ist somit immer dann entschlüsselt, wenn sie die Server passiert. Angreifer können diese Lücke nutzen, um sowohl auf die Inhalte der Kommunikation als auch auf ausgetauschte Dateien zuzugreifen.

Die genutzte Cloud ist ein weiterer Grund, warum die gängigsten Tools für Videokonferenzen unzureichenden Schutz der ausgetauschten Daten gewähren. Viele Plattformen bieten ihre Dienste über US-amerikanische Clouds. Damit gilt der erwähnte Cloud Act, die Vertraulichkeit der Kommunikation ist nicht gewährleistet und die  DSGVO wird nicht eingehalten.

Tixeo ist die einzige Lösung auf dem Markt, die für ihre Ende-zu-Ende-Verschlüsselung CSPN-zertifiziert ist.

Valentin Boussin, Tixeo

Wie garantieren Sie bei Tixeo die Kompatibilität mit der DSGVO?

Valentin Boussin: Für Tixeo hat die Vertraulichkeit der persönlichen Daten einen sehr hohen Stellenwert. Deshalb nutzen wir ausschließlich europäische Clouds. Unsere Lösung übermittelt niemals die persönlichen Daten der Nutzer in ein Drittland oder an eine andere Einrichtung.

Warum genau ist eine Ende-zu-Ende-Verschlüsselung der Kommunikation so wichtig?

Valentin Boussin: Sie ist eine der wirksamsten Maßnahmen zur Abwehr von Cyberangriffen. Damit ist sie der Grundpfeiler von Videokonferenzlösungen, die eine vollständige Vertraulichkeit der Kommunikation gewährleisten können.

Diese Verschlüsselung zeichnet sich dadurch aus, dass die Keys zur Entschlüsselung der Kommunikationsströme nur auf den jeweiligen Geräten der Gesprächspartner gespeichert werden. Dadurch kann nicht einmal Tixeo auf die Schlüssel zugreifen. Somit ist die Vertraulichkeit der Kommunikation garantiert, auch bei mehreren Teilnehmern.

Wodurch unterscheidet sich Ihre Videokonferenzlösung von anderen auf dem Markt erhältlichen Produkten in Bezug auf Schutz vor Cyberangriffen?

Valentin Boussin: Tixeo ist die einzige Lösung auf dem Markt, die für ihre Ende-zu-Ende-Verschlüsselung CSPN-zertifiziert ist. Diese Zertifizierung wird vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) als gleichwertig zu einem Zertifikat nach der Beschleunigten Sicherheitszertifizierung (BSZ) anerkannt.

Viele Videokonferenzlösungen geben an, eine Ende-zu-Ende-Verschlüsselung zu bieten, verschlüsseln allerdings lediglich die Datenströme zwischen dem Benutzer und dem Kommunikationsserver. Sprich eine Ende-zu-Ende-Verschlüsselung ist nur bei zwei Teilnehmern gegeben.

Bei Tixeo dagegen werden Verschlüsselungsschlüssel mit der Konferenz erstellt und ausschließlich zwischen den Teilnehmern ausgetauscht. Niemand sonst hat Zugriff auf die Schlüssel und es ist unmöglich, den Kommunikationsstrom zu entschlüsseln. Außerdem sind wir 100 Prozent Made in Europe.

Wie können Unternehmen den Übergang zu sicheren Videokonferenzlösungen erleichtern?

Valentin Boussin: Der Umstieg auf Tixeo fällt den meisten Nutzern erfahrungsgemäß leichter als viele zunächst fürchten. Bei den meisten Softwares ist die Benutzeroberfläche ähnlich gebaut. Auch für Unternehmen und Admins ist es einfach, da sie die IT-Infrastruktur gar nicht oder nur geringfügig umbauen müssen.

Außerdem erkennen Kunden und Gesprächspartner schnell die Vorteile unserer Lösung. Features wie der Kollaborationsmodus bewirken, dass viele User nach kurzer Zeit gar nicht mehr zurück zu ihrer vorherigen Plattform wollen.

Können sie konkrete Beispiele nennen, in denen Tixeo dazu beigetragen hat, Industriespionage zu vereiteln und sensible Unternehmensinformationen zu schützen?

Valentin Boussin: Viele unserer Nutzer kommen aus Branchen, in denen hochsensible Daten geschützt werden müssen.

Dazu zählen Pharma, der Finanzsektor, die Rüstungsindustrie oder öffentliche Behörden. Zum Beispiel setzt das Pharma-Unternehmen Avmatsim – in seiner Sparte ein Weltmarktführer – ausschließlich auf Tixeo. Zudem zählen in Deutschland wie auch in ganz Europa öffentliche Behörden zu unseren Kunden, sogar EU-Institutionen.

Wie sehen Sie die Zukunft der sicheren Videokonferenzen im Hinblick auf die Bekämpfung von Industriespionage?

Valentin Boussin: Während der Pandemie ging es bei Videokonferenzen meistens vor allem darum, dass sie funktionieren. Immer mehr Unternehmen werden aber erkennen, dass sie den Schutz der Kommunikation bisher ignoriert haben. Die Fälle von Cyberangriffen und Industriespionage nehmen Jahr für Jahr zu, gleichzeitig fehlen Experten für Cybersecurity.

Herr Boussin, vielen Dank für das Gespräch.

it-sa 2023: Messestand 518, Halle 7A

powered by www.it-daily.net


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*