3 minute read
Angst vor Überraschungsgästen
from Cyber-Resilienz
by reflexverlag
Ob beim Austausch mit dem internationalen Projektteam, bei Beratungen mit Geschäftspartnern oder beim Gespräch mit Kunden: Videokonferenzsysteme sind aus dem modernen Arbeitsleben nicht mehr wegzudenken. Doch nicht alle Dienste genügen den Sicherheitsanforderungen von Unternehmen oder den strengen Datenschutzregeln der Datenschutz-Grundverordnung.
Advertisement
Deutschlands Büros werden zunehmend digitaler. So gehören zum Beispiel Videokonferenzen mittlerweile in 72 Prozent der Unternehmen zum Alltag – 2020 waren es noch 61 Prozent und 2018 nur 48 Prozent. Dies sind Ergebnisse einer repräsentativen Befragung von 1.102 Unternehmen ab 20 Beschäftigten aus allen Wirtschaftsbereichen im Auftrag des Digitalverbands Bitkom aus dem Jahr 2022. „Die Digitalisierung der Kommunikationswege ist unumkehrbar – und sie hat sich noch einmal deutlich beschleunigt“, sagt Bitkom-Präsident Achim Berg. „War der Einsatz etwa von Videokonferenzen und Kollaborationstools durch die Pandemie in vielen Unternehmen zunächst erzwungen oder aus der Not geboren, so haben die vielfältigen Vorteile inzwischen auch Zweifler überzeugt.“
Datenschutz ernst nehmen
Allerdings gilt es für Unternehmen, beim beruflichen Austausch über Zeit- und Ortsgrenzen hinweg auch sicherheits- und rechtsrelevante Faktoren zu beachten. Dies beginnt beim Thema Datenschutz. Nahezu alle großen und bekannten Anbieter von Videokonferenzsystemen stammen aus den USA. So besteht die Möglichkeit, dass eine Vielzahl an Daten unkontrolliert in die Vereinigten Staaten gelangen. Da in den USA aber kein mit der in der Europäischen Union (EU) geltenden Datenschutz-Grundverordnung
Wie häufig kommen die folgenden Kanäle für die interne und externe Kommunikation zum Einsatz?
(DSGVO) grundsätzlich vergleichbares Datenschutzniveau herrscht, geraten Unternehmen, die US-amerikanische Systeme nutzen, rechtlich schnell in die Zwickmühle. Allerdings haben die Videokonferenzanbieter aus Übersee auf die Kritik der vergangenen Jahre etwa von Datenschutzbehörden reagiert und ihr Angebot nachgebessert. So kann mittlerweile zumindest bei den kostenpflichtigen Varianten der Videokonferenzsysteme eine europäische Cloud ausgewählt werden, auch die Ende-zu-Ende-Verschlüsselung der Videoübertragung ist in der Regel Standard.
Die Belegschaft schulen
Als Alternative zur Wahl eines internationalen Anbieters können Unternehmen aber auch europäische Lösungen wählen oder eigene Videokonferenzsysteme aufsetzen und hosten, wie es zum Beispiel mit freier Software möglich ist. In diesem Fall steuern die Verantwortlichen selbst, ob schützenswerte Daten und andere Informationen die Europäische Union verlassen. Allerdings ist für die mögliche Umsetzung eigener Videokonferenzlösungen im Unternehmen auch die richtige Einbindung in vorhandene Cloud- und Software-Umgebungen sowie die Anbindung an vorhandene Telefonanlagen und Videokonferenzsysteme entscheidend. Eine Schlüsselrolle bei der sicheren und datenschutzkonformen Verwendung von Videokonferenzsystemen kommt auch der Belegschaft zu. Erst durch menschliche Fehler bekommen Cyberkriminelle oftmals die Möglichkeit, sich im Netzwerk über gestohlene Benutzerdaten anzumelden und Daten zu stehlen oder zu manipulieren. Daher empfiehlt es sich, die Mitarbeitenden regelmäßig zu schulen, um sie für potenzielle Gefahren zu sensibilisieren. Gleichzeitig können sie durch ein geeignetes Training lernen, wie sie auf Cyberattacken reagieren sollen oder welche Methoden Cyberkriminelle gerade besonders gerne anwenden.
Teilnehmende identifizieren
Insgesamt gibt es noch eine ganze Reihe weiterer Ideen, wie es gelingt, Videokonferenzen auf eine möglichst sichere und vertrauliche Weise abzuhalten. Für ein Plus an Sicherheit sorgen beispielsweise digitale Warteräume, in denen die Teilnehmenden warten, bis sie überprüft und zur Konferenz zugelassen werden. Ein Grund dafür: Gerade in größeren Online-Meetings verlieren die Organisatoren sonst schnell den Überblick, wer anwesend ist. Mit dem digitalen Warteraum können sie alle Teilnehmenden persönlich identifizieren, entweder namentlich, per Kamera oder mit einer Vorstellungsrunde. Das ist insbesondere dann notwendig, wenn sensible Informationen in einem Meeting geteilt werden. Mehr Sicherheit versprechen auch individuelle Einladungen, das nachträgliche Sperren des Zutritts zum Videokonferenzraum oder die Verwendung eines neuen Passworts für jede neue Sitzung. Dies erfordert zwar etwas mehr Akzeptanz seitens der Teilnehmenden, schützt dafür aber zusätzlich vor ungebetenen Gästen.
Industriespionage durch Videokonferenzen
203 Milliarden Euro Schaden durch Industriespionage und Sabotage hat die deutsche Industrie laut Bitkom allein 2022 erlitten. Ein oft übersehenes Einfallstor für Cyberangriffe sind Videokonferenzen. Denn nicht bei jedem Anbieter hält die Ende-zu-Ende-Verschlüsselung, was sie verspricht – anders ist es bei Tixeo.
Die meiste Software für Videokonferenzen ist nicht „Secure by Design“ und bietet keine echte Ende-zu-Ende-Verschlüsselung –insbesondere nicht bei Konferenzen mit mehreren Teilnehmern. Sie verschlüsseln lediglich die
Datenströme zwischen Nutzer und Kommunikationsserver, der zum Angriffspunkt wird. In diesem Fall ist es leicht, Daten abzugreifen, sobald sie über den Server laufen.
Dazu kommt: Gesetze wie der US Patriot Act verbieten eine echte Ende-zu-Ende-Verschlüsselung sogar. Anbieter sind verpflichtet, den Behörden Möglichkeiten zur Datenerfassung bereitzustellen, etwa per Backdoor oder Master Key.
Security by Design aus Europa Für echten Schutz sollten Unternehmen deshalb auf europäische Anbieter setzen. Tixeo aus Frankreich ist Secure by Design und von Sicherheitsbehörden CSPN-zertifiziert, was vom BSI als gleichwertig zu einem Zertifikat nach der Beschleunigten Sicherheitszertifizierung (BSZ) anerkannt wird. Organisationen aus Bereichen der öffentlichen Hand, dem Gesundheitswesen oder der Verteidigung schützen ihre vertrauliche Kommunikation mit Tixeo vor Spionage. www.tixeo.com/de
