Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem „Kompendium Videokonferenzsysteme“ einen Leitfaden veröffentlicht, der sich genau mit diesem Thema beschäftigt. Doch was gilt es bei der Umsetzung der dort beschriebenen Maßnahmen zu beachten? Welche Sicherheitsvorkehrungen können bei modernen Videokonferenzlösungen überhaupt getroffen werden? Treten vielleicht ungewollte Seiteneffekte auf? Diesen und ähnlichen Fragen wollen wir im folgenden Artikel nachgehen.
Entwicklung und Erfolg der Videokonferenz
Nicht erst seit Corona haben Videokonferenzen an Bedeutung gewonnen. Dies ist unter anderem der einfachen Bedienung moderner Videokonferenzlösungen geschuldet. Zudem wächst das Angebot an kostengünstigen Lösungen stetig. Wo früher große, sperrige und vor allem kostenintensive Telepräsenzsysteme mit dedizierter Hardware erforderlich waren, ist heutzutage lediglich ein entsprechender Cloud-Dienst und auf Client-Seite eine passende Applikation oder ein Webbrowser auf dem Laptop notwendig. Darüber hinaus ist eine Webkonferenz mit Sprache und Video in Kombination mit Chat und dem Teilen des eigenen Bildschirminhaltes mit einer einzigen Plattform wesentlich moderner als die klassische Telefonkonferenz mit Dokumentenversand via E-Mail. So ist es kein Wunder, dass sich Video- und Webkonferenzen im Arbeitsalltag etabliert haben.
Allerdings verschwimmen die Grenzen zwischen Videokonferenzsystemen, Meeting Solutions und Lösungen für Unified Communications & Collaboration (UCC) zusehends, sodass mitunter jede der Lösungen aus den genannten Bereichen für eine Videokonferenz genutzt werden kann. So hat man einerseits als Anwender bzw. Unternehmen die Option, aus vielen verschiedenen Lösungen am Markt auswählen zu können, aber andererseits dadurch auch die Qual der Wahl: Soll man die Videokonferenzlösung des Herstellers der Kommunikationslösung nehmen, weil diese Synergieeffekte mit der bestehenden (Tele-)Kommunikationslösung (TK-Lösung) bietet, aber gegebenenfalls in Bezug auf Videokonferenzen eingeschränkte Möglichkeiten hat? Oder doch lieber die auf Videokonferenzen spezialisierte Lösung, die dann zum E-Mail-Programm, dem Telefonie- und UC-Client einen weiteren Kommunikationsdienst für die Nutzer mit sich bringt? Die Gewinner sind in jedem Fall mindestens die Anbieter der Lösungen, die steigende Nutzerzahlen und somit steigende Umsätze zu verzeichnen haben. Die Anwender profitieren ebenfalls von einem gestiegenen Funktionsumfang und einer breiteren Verfügbarkeit heutiger Videokonferenzlösungen. Denn die Durchführung von Videokonferenzen ist nicht mehr nur der Managementebene vorbehalten, die Zugriff auf hochpreisige Telepresence-Lösungen hat. Vielmehr können Videokonferenzen grundsätzlich an jedem Arbeitsplatz, der mit einer Kamera, einem Bildschirm und einem Mikrofon ausgestattet werden kann, genutzt werden.
Gerade in der Anfangsphase der Corona-Pandemie wurde aus der Not, möglichst von zu Hause aus zu arbeiten und das Reisen auf ein absolutes Minimum zu reduzieren, eine Tugend gemacht: Statt Vor-Ort-Besprechungen wurden Video- oder Telefonkonferenzen genutzt. Und es hat sich gezeigt, dass Videokonferenzen durchaus eine adäquate Alternative zu Vor-Ort-Besprechungen darstellen. Zum einen kann auf zeitaufwändige Reisen verzichtet werden, zum anderen lässt sich für eine Videokonferenz mit Teilnehmern aus verschiedenen Abteilungen oder gar Unternehmen flexibler ein gemeinsamer Termin finden. Darüber hinaus lassen sich mithilfe von Videokonferenzen Mitarbeiter im Homeoffice leicht in Team-Besprechungen integrieren. Ebenso wurde der Schulunterricht oder die Vorlesung an der Universität kurzerhand per Videokonferenz durchgeführt. Und bisher ungekannte Anwendungsgebiete, beispielsweise die Bundestagssitzung per Videokonferenz, waren plötzlich möglich. Die Liste der Anwendungsfälle für Videokonferenzen ließe sich noch beliebig fortführen. Auch wenn zukünftig vielleicht wieder mehr Besprechungen als Vor-Ort-Treffen durchgeführt werden und die Reisetätigkeit wieder zunimmt, wird die Nutzung von Videokonferenzen mittel- bis langfristig auf einem deutlich höheren Niveau bleiben als noch vor einem Jahr.
Zudem bieten heutige Videokonferenzlösungen eine gute Bild- und Tonqualität. Übertragungen von Bildmaterial in hoher Auflösung (oft bis Full High Definition, Full HD, 1920 x 1080 Pixel) gehören ebenso zum Standard wie die Integration weiterer Dienste in eine Videokonferenz. Zwar hängt die Bildqualität letztlich von der Anbindung der Teilnehmer an die zentralen Systeme ab, aber in Zeiten von LTE und dem neuen Mobilfunkstandard 5G kann sogar über eine stabile Mobilfunkverbindung eine Videokonferenz durchgeführt werden.
Herausforderungen bei Videokonferenzen
So schön die neue Videokonferenzwelt ist – es gibt auch Schattenseiten.
Durch die Vielzahl an Lösungen, die Videokonferenzen ermöglichen, kommen viele hinsichtlich der Informationssicherheit interessante Herausforderungen zusammen:
- Web-Anwendungen und Web-Services als Basis für Client-Anwendungen,
- Cloud-Komponenten als Basis der häufig als Cloud-Dienste realisierten Lösungen, deren Kontrolle nur bedingt möglich ist,
- Endgeräte im Internet of Things (IoT), die zur Sprachsteuerung genutzt werden (Beispiel: Nutzung von Amazon Alexa zur Steuerung der Videokonferenz), und
- Einsatz von Diensten aus dem Bereich der Künstlichen Intelligenz (KI), insbesondere Chat-Bots oder die Möglichkeit, automatisch ein Transskript der Videokonferenz anzufertigen.
Daneben gibt es noch einige technische Herausforderungen und Hürden, die es zur erfolgreichen Durchführung einer Videokonferenz zu meistern gilt:
- Angemessene Hardware-Ausstattung: Insbesondere die Kamera spielt eine wichtige Rolle.
- Kapazitäten auf Seiten der Videokonferenzlösung: Einige Anbieter haben innerhalb der letzten Monate die Kapazitäten drastisch, teilweise um den Faktor 60, erhöht.
- Zur Verfügung stehende Bandbreite im Netzwerk sowie auf der Strecke zum Anbieter der Videokonferenzlösung
- Firewall- oder sonstige beschränkende Regeln, die die Übertragung der Medienströme behindern können.
Und schließlich spielt auch der Nutzer nicht nur als Akteur innerhalb einer Videokonferenz eine zentrale Rolle. Denn es sind einige Schritte notwendig, bis eine Videokonferenz erfolgreich durchgeführt werden kann:
- Terminfindung für eine geplante Videokonferenz
Es muss zunächst mit den Teilnehmern ein möglicher Termin abgestimmt werden. Hierzu steht idealerweise eine Kalenderintegration der Videokonferenzlösung zur Verfügung, sodass ein Zugriff auf die Kalenderinformationen der Teilnehmer möglich ist.
- Erstellung der Videokonferenz und ggf. Reservierung der notwendigen Ressourcen
Zu den Ressourcen gehören neben klassischen Konferenz- und Besprechungsräumen die genutzten Videokonferenzsysteme genauso wie die Konferenzressourcen innerhalb der zentralen Systeme der Videokonferenz (Hardwareressourcen).
- Einstellungen für die Videokonferenz
Bei vielen Systemen kann im Zuge der Erstellung einer Videokonferenz eine Reihe von Einstellungen getroffen werden. Dies reicht je nach konkreter Lösung von der Auswahl des Meeting-Typs über die Vergabe eines Passwortes zur Absicherung der Konferenz bis hin zur Einrichtung eines virtuellen Wartebereiches für die Teilnehmer.
- Start der Videokonferenz
In der Regel wird eine Videokonferenz durch den Moderator gestartet und die Teilnehmer können nach dem Start der Videokonferenz beitreten. Hierbei müssen sich die Teilnehmer mit der Videokonferenzlösung verbinden und gegebenenfalls die genutzten Peripherie-Geräte konfigurieren. Eine typische Fehlerquelle ist hier die Konfiguration der Audio- und Video-Ausgabegeräte. Nimmt man zum Beispiel mithilfe eines Smartphones an der Konferenz teil, muss der Teilnehmer die richtige Kamera auswählen, damit sein Videobild und nicht beispielsweise der gesamte Raum gezeigt wird.
- Nutzung der zur Verfügung stehenden Funktionen
Während einer Videokonferenz können in Abhängigkeit von den jeweiligen Rechten der Teilnehmer die verschiedenen Funktionen wie Whiteboard, Teilen von Bildschirminhalten oder Chat genutzt werden. Hierbei sollten die Teilnehmer darauf achten, welche Inhalte sie beim Teilen von Bildschirminhalten den anderen Teilnehmern zugänglich machen.
- Aufzeichnung der Videokonferenz
Eine Aufzeichnung der Videokonferenz kann nützlich sein, um sie beispielsweise Personen zur Verfügung zu stellen, die nicht an der Konferenz teilnehmen konnten. Allerdings sollte vor Beginn der Aufzeichnung das Einverständnis der Teilnehmer eingeholt werden, damit es zu keinem Konflikt mit der Datenschutzgrundverordnung (DSGVO) kommt. Die Aufzeichnung sollte zudem auch den Teilnehmern der Videokonferenz optisch oder akustisch signalisiert werden.
- Beenden der Videokonferenz
Ist die Videokonferenz erfolgreich durchgeführt, so ist sie auch ordnungsgemäß zu beenden. Nicht selten geht zwar der Moderator aus der Konferenz heraus, die verbliebenen Teilnehmer können sich jedoch noch weiter unterhalten. Ist dies nicht gewünscht, sollte eine Konferenz mit Verlassen des Moderators beendet werden.
In Bezug auf die Sicherheit von Videokonferenzen können Nutzer vieles richtig, aber auch vieles falsch machen. Wie man es nicht machen sollte, hat Boris Johnson, Premierminister von Großbritannien, im April bewiesen, als er über Twitter einen Screenshot einer Zoom-Konferenz teilte, bei dem die Meeting-ID sichtbar war (siehe [1]). Die Zoom-Konferenz war zwar über ein Passwort geschützt, trotzdem sollten Meeting-IDs nicht auf diese Art und Weise veröffentlicht werden. Doch dies war nicht nur Boris Johnsons alleinige Schuld. Denn dass die Meeting-ID überhaupt über einen solchen Screenshot veröffentlicht werden konnte, liegt in der Verantwortung von Zoom. Hier wurde nachgebessert: Die Meeting-IDs werden nun nicht mehr in der Titelleiste des Clients angezeigt (siehe [2]).
Abbildung 1: Im KoViKo betrachtete Technologien, Quelle: [3], Seite 20
Die Liste der Herausforderungen bei Videokonferenzen könnte noch beliebig erweitert werden. Doch was kann man nun tun, um eine Videokonferenzlösung sicher zu planen, zu beschaffen und so einzuführen, dass die Nutzer sicher mit der Lösung umgehen können?
Kommen wir nun zum Kompendium Videokonferenzsysteme des BSI.
Kompendium Videokonferenzsysteme – Was steht drin?
Das Kompendium Videokonferenzsysteme (kurz KoViKo) startet mit einer Definition einer modernen Videokonferenzlösung. Hierbei werden alle Lösungen betrachtet, die grundsätzlich die Nutzung des Mediums „Video“ ermöglichen, also neben klassischen Videokonferenzsystemen auch Meeting Solutions, UC- und UCC-Lösungen. Der Fokus liegt jedoch klar auf den Videokonferenzsystemen, wie die Darstellung der Schnittmengen sowie der im KoViKo betrachteten Technologien in Abbildung 1 zeigt.
Neben den Funktionen und Leistungsmerkmalen, die moderne Videokonferenzlösungen mit sich bringen, werden auch verschiedene Einsatzgebiete betrachtet. Hierbei werden traditionelle Anwendungsfälle und die Integration moderner Technologien, wie der Einsatz von Künstlicher Intelligenz (KI) oder die Einbindung in Systeme des Gebäudemanagements berücksichtigt. Anschließend wird auf den technischen Aufbau einer Videokonferenzlösung eingegangen und die einzelnen Komponenten einer solchen Lösung vorgestellt. Außerdem werden verschiedene Architekturen betrachtet, von der klassischen On-Premises-Architektur, bei der die Komponenten alle im eigenen Rechenzentrum implementiert werden, über eine reine Cloud-Architektur bis hin zu hybriden Architekturen, bei denen ein Teil der Komponenten bei einem Cloud-Anbieter implementiert sind und ein Teil im eigenen Rechenzentrum.
Abbildung 2 zeigt die Darstellung einer reinen Cloud-Architektur für Videokonferenzsysteme. Hier sind die zentralen Systeme einer Videokonferenzlösung innerhalb des Rechenzentrums des Cloud-Anbieters positioniert. Diese sind:
- Multipoint Control Unit (MCU) als zentrales Element zur Verteilung der Audio- und Videoströme,
- Registrierungseinheit als Anmeldepunkt für die Video-Endpunkte,
- Routing-Einheit zur Auflösung der Adressen und für das Routing der Signalisierung,
- Management-Einheit zur Verwaltung der Benutzer sowie von Konferenzräumen und anderen Ressourcen,
- Session Border Controller (SBC) zur Absicherung des Netzwerks des Cloud-Anbieters, und
- Datenbank- und Dateiserver zur Speicherung der Daten wie beispielsweise Aufzeichnungen.
Zusätzlich können noch Komponenten wie ein Cloud Connector oder ein Video-Edge-Server, der als lokale MCU agieren kann, im eigenen Rechenzentrum implementiert werden.
Doch nicht nur die Technik wird im KoViKo unter die Lupe genommen. Auch operative Aspekte, von der Planung über Definition von Nutzungsszenarien bis hin zu betrieblichen Aspekten werden dargestellt.
Abbildung 2: Cloud-Architektur, Quelle: [3], Seite 36
Anschließend werden einige typische Gefährdungen betrachtet. Eine der zentralen Gefährdungen ist dabei, dass Unbefugte durch ungesicherte Videokonferenzen Zugang zu Informationen erlangen können und so ein „Abhören von Videokonferenzen“ erfolgen kann (siehe [3], Seite 53). Werden beispielsweise die Signalisierung oder die übertragenen Medien, z.B. Sprache, Video oder Chat, unverschlüsselt übertragen, dann können diese durch einen Angreifer abgehört werden. Dies war schon bei Videokonferenzen möglich, die mittels ISDN übertragen wurden, jedoch „ist eine IP-basierte Übertragung wesentlich leichter abhörbar“ (siehe [3], Seite 53). Diese Gefahr ist zudem nicht nur auf nicht vertrauenswürdige Netze wie das Internet beschränkt, sondern ist insbesondere im eigenen, vermeintlich sicheren Netz relevant. Angreifer, die eine Videokonferenz abhören möchten, gehen typischerweise wie folgt vor: Zunächst versuchen sie, entsprechende Identitätsdaten zu erlangen, mithilfe derer sie sich dann unberechtigt in eine Videokonferenz einwählen können. Ist ein Angreifer erst einmal unter falscher Identität oder mit einer falschen Rolle in einer Videokonferenz, ist es ein Leichtes, an die gewünschten Inhalte zu gelangen.
Auch die folgende Gefährdung haben die Nutzer verschiedener Cloud-Dienste wie Microsoft Teams oder Cisco Webex Teams im März deutlich zu spüren bekommen: „Qualitätseinbußen durch unzureichende Dimensionierung“ (siehe [3], Seite 55). Durch den sprunghaften Anstieg der Nutzung waren die zentralen Server von Microsoft und Cisco zunächst hoffnungslos überlastet, sodass teilweise eine Einwahl in bestehende Konferenzen nicht möglich war. Oder eine Einwahl war zwar möglich, aber die Qualität der Audio- und Videoübertragung war aufgrund der Auslastung der zentralen MCU des Anbieters eingeschränkt, was sich beispielsweise in Aussetzern oder Bildrucklern bemerkbar machte. Zum Glück haben beide Anbieter schnell gegengesteuert und die Kapazitäten drastisch erhöht.
Neben den beiden genannten Gefährdungen wird noch eine Reihe weiterer Gefährdungen betrachtet, wie beispielsweise die versehentliche Preisgabe von Informationen, ein unzureichendes Identitäts- und Berechtigungskonzept sowie unzureichend abgesicherte Aufzeichnung, Protokollierung und Dateiablage.
Doch ist jetzt alles verloren oder kommt man aus der Misere der Gefährdungen wieder raus?
Sicherheitsmaßnahmen – Wieviel Schutz ist möglich und sinnvoll?
Natürlich werden im KoViKo auch Sicherheitsanforderungen definiert, um den Gefährdungen entgegenzuwirken. Diese Sicherheitsanforderungen sind aufgeteilt in Basis-Anforderungen, die in jedem Fall umzusetzen sind, Standard-Anforderungen, die nach Möglichkeit umgesetzt werden sollten und Anforderungen bei erhöhtem Schutzbedarf.
Zu jeder Anforderung werden außerdem entsprechende Umsetzungshinweise dargelegt, um es den Administratoren zu erleichtern, die Anforderungen mit der eingesetzten Lösung zu erfüllen.
Im Folgenden werden am Beispiel von Zoom einige der Anforderungen und deren mögliche Umsetzung genauer betrachtet. Starten wir zunächst mit der ersten Anforderung, A-1 „Sicherer Umgang mit Videokonferenzdaten“ (siehe Abbildung 3).
Abbildung 3: Anforderung A-1 aus dem KoViKo, Quelle: [3], Seite 64
Hier heißt es direkt im ersten Satz: „Teilnehmerdaten, Zugangsdaten und andere kritische Videokonferenzdaten […] müssen sicher gespeichert werden“ (siehe [3], Seite 20). Um dies zu realisieren, wird in den Umsetzungshinweisen auf die technische Richtlinie „BSI TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen“ (siehe [4]) verwiesen. Bei On-Premises-Lösungen mag man hier vielleicht noch eine Chance haben, die verwendeten Verschlüsselungsalgorithmen anzupassen. Aber spätestens bei der Nutzung von Cloud-Diensten ist man auf das angewiesen, was die Anbieter zur Verfügung stellen. So verwendet beispielsweise Zoom zum Teil noch den veralteten Algorithmus AES-128 statt des sonst üblichen Standards AES-256 (siehe [5]).
Weiter heißt es in den Umsetzungshinweisen, dass „auch Cloud- und externe Lösungen, die zur Speicherung dieser Daten eingesetzt werden, […] durch eine Verschlüsselung abgesichert werden [müssen]“ (siehe [3], Seite 81). In Abhängigkeit vom Schutzbedarf kann sogar neben der eingesetzten Verschlüsselung eine weitere Absicherung zur Verhinderung des Zugriffs durch den Anbieter notwendig werden.
Gerade der zweite Aspekt impliziert, dass die Daten gegebenenfalls gegen einen Zugriff durch Zoom geschützt werden sollten. Dies ist aber kaum möglich, da in der Regel Zoom die Hoheit über das Schlüsselmaterial zur Verschlüsselung der Daten hat. Es ist zwar geplant, dass künftig das Key Management auch durch den Kunden übernommen werden kann. Jedoch ist hier noch unklar, wie dabei die Schnittstelle zu einem im eigenen Rechenzentrum implementierten Key Management System aussehen soll (siehe [6]).
Abbildung 4: Ende-zu-Ende-Verschlüsselung bei Zoom, Teil 1, Quelle:[6]
Doch nicht nur die Daten, die auf den Zoom-Servern gespeichert werden, gilt es abzusichern. Ein zentraler Punkt ist die Absicherung der Medienströme, also der Audio- und Videodaten innerhalb einer Konferenz.
Hierzu ist eine Reihe von Anforderungen im KoViKo definiert, angefangen von A-15 „Verschlüsselung der mit IP übertragenen Daten der Videokonferenz auf nicht vertrauenswürdigen Übertragungsstrecken“ (siehe [3], Seite 67) über A-42 „Durchgängige Verschlüsselung der mit IP übertragenen Daten einer Videokonferenz“ (siehe [3], Seite 73) bis hin zu A-43 „Ende-zu-Ende-Verschlüsselung der mit IP übertragenen Daten einer Videokonferenz“ (siehe [3], Seite 73). Während in A-15 auf die Verschlüsselung innerhalb des eigenen, und damit vertrauenswürdigen, Netzwerkes verzichtet werden kann, wird diese in A-42 zusätzlich gefordert. Hierbei ist eine sogenannte Hop-by-Hop-Verschlüsselung, also insbesondere die Ent- und wieder Verschlüsselung der Medienströme durch eine MCU, erlaubt. Die Hop-by-Hop-Verschlüsselung erfüllt jedoch nicht A-43, diese stellt die stärkste der drei Anforderungen dar und fordert, dass bei erhöhtem Schutzbedarf insbesondere die Medienströme nur von den Clients ver- und entschlüsselt werden dürfen.
Dreh- und Angelpunkt ist somit die Verschlüsselung von Signalisierung und Medienstrom. Doch auch hier liegt die Tücke im Detail. Im Umsetzungshinweis zu A-15 heißt es, dass „darauf geachtet werden [sollte], dass Verschlüsselungsendpunkte ausschließlich in vertrauenswürdigen Netzen positioniert sind“ (siehe [3], Seite 103). Da jedoch bei der Verwendung von Cloud-Diensten typischerweise die MCU in der Cloud realisiert ist und diese einen Verschlüsselungsendpunkt darstellt, ist die Anforderung A-15 nur erfüllbar, wenn dem Cloud-Anbieter in diesem Sinne vertraut wird. Die Anforderung A-49 geht sogar noch weiter und fordert die „Vermeidung von Verschlüsselungsendpunkten in der Cloud“ (siehe [3], Seite74). Dies kann in den meisten Fällen nicht erfüllt werden, auch dann nicht, wenn dem Cloud-Anbieter im Sinne von A-15 vertraut wird. Falls jedoch im Sinne von A-43 eine Ende-zu-Ende-Verschlüsselung der übertragenen Daten realisiert werden kann, und alle Video-Endpunkte nicht in der Cloud, sondern in vertrauenswürdigen Netzen positioniert sind, sind l die Anforderungen A-15 und A-49 erfüllbar.
Da Zoom vermehrt in der Kritik stand, die Videokonferenzen nicht ausreichend abzusichern, hat man sich dazu entschieden, eine echte Ende-zu-Ende-Verschlüsselung anzukündigen. Der Grundgedanke ist in Abbildung 4 dargestellt.
Die Medienströme werden zwischen den beteiligten Clients verschlüsselt. Es erfolgt keine Entschlüsselung innerhalb der Zoom-Server und damit innerhalb der Zoom-Infrastruktur. Doch es gibt ein paar Haken und Einschränkungen:
- Das Schlüsselmaterial zur Verschlüsselung der Signalisierung wird weiterhin über die Zoom-Infrastruktur verwaltet. Lediglich das Schlüsselmaterial zur Verschlüsselung der Medienströme wird lokal als Bestandteil der Zoom-Software auf den Clients gehalten. Zoom kann also immer noch theoretisch an das Schlüsselmaterial zur Entschlüsselung der Medienströme gelangen.
- Diese Art der Ende-zu-Ende-Verschlüsselung ist nur bei Konferenzen möglich, bei denen ausschließlich Zoom-Clients oder Zoom-Videokonferenzsysteme beteiligt sind. Sobald 3rd-Party-Geräte oder gar Teilnehmer beteiligt sind, die sich lediglich per Audio-Verbindung in die Konferenz einwählen, bilden entsprechende Übergabepunkte die Verschlüsselungsendpunkte. Im Falle von 3rd-Party-Clients ist dies ein Cloud Room Connector, im Falle der Audio-Verbindung ein Gateway mit Verbindung ins öffentliche Telefonnetz. So oder so hat man hier wieder einen Verschlüsselungsendpunkt in der Cloud (siehe Abbildung 5).
- Web-Clients können die Ende-zu-Ende-Verschlüsselung ebenfalls nicht nutzen.
- Derzeit gibt es noch funktionale Einschränkungen bei Nutzung dieser Ende-zu-Ende-Verschlüsselung.
Abbildung 5: Ende-zu-Ende-Verschlüsselung bei Zoom, Teil 2, Quelle: [6]
So kann beispielsweise keine serverseitige Aufzeichnung einer mithilfe von Ende-zu-Ende-Verschlüsselung abgesicherten Konferenz stattfinden. Eine Aufzeichnung einer solchen Konferenz ist dann nur lokal möglich. Hier ist jedoch zur verschlüsselten Speicherung ein zusätzliches Tool notwendig, ansonsten wird die Aufzeichnung unverschlüsselt gespeichert (siehe [7]).
Die Konferenz kann nur gestartet werden, wenn der Initiator anwesend ist. Dies soll im Laufe des Jahres noch angepasst werden, und ein Beitritt vor dem Initiator wird wieder ermöglicht (siehe [7]).
Welche weiteren funktionalen Einschränkungen die Ende-zu-Ende-Verschlüsselung mit sich bringt, wird leider im Whitepaper [7] nicht beschrieben.
Es bleibt abzuwarten, wie valide Zoom die angekündigte Ende-zu-Ende-Verschlüsselung nun tatsächlich umsetzt und ob sich nicht doch irgendwo noch ein Hintertürchen verbirgt. Insgesamt scheint es aber ein Schritt in die richtige Richtung zu sein, wenn es darum geht, das Vertrauen der Nutzer und vor allem größerer Unternehmen zu gewinnen. Denn es ist nicht erkennbar, dass Microsoft oder Cisco einen ähnlichen Ansatz zur Realisierung einer Ende-zu-Ende-Verschlüsselung auch nur in Betracht ziehen.
Verschlüsselung ist aber nicht alles
Auch wenn die Nutzung von Verschlüsselung überall da, wo es möglich ist, das A und O ist, so gibt es natürlich noch weitere Sicherheitsanforderungen an eine moderne Videokonferenzlösung. In Anforderung A-18 im KoViKo wird z.B. die sichere Konfiguration von geplanten Videokonferenzen gefordert (siehe Abbildung 6).
In den Umsetzungshinweisen werden dann unter anderem die folgenden Konkretisierungen genannt:
- Authentisierung vor Teilnahme an Videokonferenzen
Die Teilnehmer einer geplanten Videokonferenz müssen sich entweder über ein Passwort, das separat von der Einladung zur Konferenz verteilt wird, oder mithilfe eines personengebundenen Nutzerkontos registrieren.
- Einrichtung eines Wartebereichs
Es steht ein virtueller Wartebereich zur Verfügung, in dem die Teilnehmer auf die Zulassung durch den Moderator warten. So wird sichergestellt, dass nur berechtigte Personen an der Konferenz teilnehmen.
- Einschränkung von erlaubten Kanälen
Es kann festgelegt werden, welche Medien und Kanäle innerhalb einer Konferenz genutzt werden können. Je nach Anwendungsfall könnte es beispielsweise notwendig sein, dass eine reine Audio-Teilnahme, das heißt die Einwahl über das öffentliche Telefonnetz, ausgeschlossen wird.
Abbildung 6: Auszug aus dem KoViKo, Quelle: [3], Seite 68
Diese drei Maßnahmen werden von Zoom wie folgt unterstützt:
- Authentisierung vor Teilnahme an Videokonferenzen
Zoom unterstützt sowohl die Vergabe eines Passworts (siehe [9]) als auch die Anmeldung mithilfe eines personengebundenen Nutzerkontos. Bei Letzterem können auch zentrale Verzeichnisdienste zur Realisierung von Single-Sign-On (SSO) angebunden werden (siehe [13]). Eine Authentisierung über ein personengebundenes Nutzerkonto wird auch für die angekündigte Ende-zu-Ende-Verschlüsselung benötigt (siehe [7]).
- Einrichtung eines Wartebereichs
Ein virtueller Wartebereich wird von Zoom unterstützt (siehe [8]). Hierzu muss zunächst die Grundfunktionalität für den Moderator über die Nutzerverwaltung aktiviert werden. Anschließend kann eine Konferenz mit einem Wartebereich konfiguriert werden.
- Einschränkung von erlaubten Kanälen
In der Konfiguration eines Meetings können die Audio- und Video-Optionen für den Moderator (Host) sowie für die Teilnehmer eingestellt werden. Es kann unter anderem die Einwahl über das öffentliche Telefonnetz unterbunden werden (siehe Abbildung 7).
Außerdem kann konfiguriert werden, dass die Teilnehmer zunächst stummgeschaltet dem Meeting beitreten.
Abbildung 7: Einstellung für Audio- und Video-Teilnahme, Quelle: [9]
Darüber hinaus können noch weitere Maßnahmen zur Absicherung einer Konferenz umgesetzt werden. So kann beispielsweise eine Videokonferenz dahingehend „abgeschlossen“ werden, dass kein weiterer Teilnehmer beitreten kann, nachdem alle erwarteten Teilnehmer in der Konferenz sind. Ebenso können unerwünschte Teilnehmer aus der Konferenz entfernt werden (siehe [10]).
Bei der Einrichtung von geplanten Videokonferenzen wird von Zoom jeweils eine eindeutige Meeting-ID vergeben. Diese ist bei einmaligen Meetings jedoch 30 Tage gültig, bei wiederkehrenden Meetings sogar 365 Tage (siehe [9]). Daher sollten solche Videokonferenzen unabhängig vom Schutzbedarf grundsätzlich über die Vergabe eines Meeting-Passworts abgesichert sein.
Ein weiterer wichtiger Punkt bei der Absicherung von Videokonferenzen ist die Einrichtung von verschiedenen Nutzerprofilen samt Zuweisung von entsprechenden Berechtigungen. Dies ist bei Zoom über ein rollenbasiertes Berechtigungssystem möglich (siehe [11]). Hierbei sollten im Sinne von A-12 „Erstellung eines Rollen- und Berechtigungskonzeptes“ (siehe [3], Seite 67) mindestens die Rollen „Administrator“, „Moderator“ und „Teilnehmer“ definiert werden. Außerdem ist es möglich, für einige Nutzer oder eine Gruppe von Nutzern Vorgaben in Bezug auf die Sicherheitseinstellungen von Videokonferenzen zu machen. So kann die Vergabe eines Passwortes für Videokonferenzen ebenso erzwungen werden wie die Nutzung der neuesten Version des Zoom-Clients. Die Einstellungen könnten zwar von den Nutzern ebenso getroffen oder außer Kraft gesetzt werden, dies kann jedoch durch den Administrator unterbunden werden (siehe [14]).
Ein zentraler Aspekt bei der Absicherung von Videokonferenzen sind die genutzten Clients. Bei Zoom können sowohl die Zoom-Clients auf Standard-PCs oder Laptops sowie browserbasierte Web-Clients als auch Zoom-Raum-Systeme genutzt werden. Doch welche Möglichkeiten zur Absicherung sind hier gegeben? In der Regel unterliegen die Zoom-Clients ebenfalls der Kontrolle durch Zoom. Eine sehr prominente Sicherheitslücke in Bezug auf die Clients ist in [15] dargestellt: Zoom nutzt bei den Clients für Apple MAC OS einen Webserver, der jedoch auch nach Beendigung des Zoom-Clients noch aktiv war und ein Kapern der Kamera erlaubte. Diese Lücke wurde zwar geschlossen, doch der Webserver ist weiterhin eine Komponente des Zoom-Clients, die weder deaktiviert noch zusätzlich abgesichert werden kann. Somit wird beispielsweise die Anforderung A-24 „Deaktivierung oder zumindest Absicherung eines Webservers auf einem Video-Endpunkt“ (siehe [3], Seite 69) nicht erfüllt. Darüber hinaus wird bei der Installation der Clients der Nutzer zwar gefragt, ob dem Zoom-Client Zugriff auf Kamera und Mikrofone gewährt wird. Da dies aber unerlässlich für eine Videokonferenz ist, wird der Nutzer hier nicht lange überlegen und sein Einverständnis geben. Und schon sind potenziell Kamera und Mikrofon unter der Kontrolle von Zoom.
Neben den technischen Maßnahmen werden im KoViKo Maßnahmen zur Sensibilisierung und Schulung der Nutzer betrachtet. Hier sind vor allem A-13 „Bereitstellung von Informationen zur sicheren Nutzung von Videokonferenzen“ (siehe [3], Seite 67) und A-38 „Schulungen zur sicheren Nutzung von Videokonferenzen“ (siehe [3], Seite 72) zu nennen. Die Umsetzung dieser Maßnahmen ist unabhängig von der konkreten Lösung möglich und sollte im Vorfeld der Einführung einer neuen Videokonferenzlösung geschehen.
Was gibt es sonst noch zu beachten?
Verschlüsselung von Kommunikation, Absicherung der Konferenzen sowie ein Rollen- und Berechtigungskonzept sind somit grundsätzlich möglich. Doch die im KoViKo dargestellten Maßnahmen stoßen immer da an ihre Grenzen, wo es um die Einbindung der Systeme der Videokonferenzlösung in IT-Prozesse oder ein zentrales Monitoring geht. Dies ist aber in der Natur der Dinge in Bezug auf Cloud-Lösungen begründet und ist keine spezielle Schwachstelle von Zoom. Denn die zentralen Server sind nun mal nicht im eigenen Rechenzentrum und unterliegen somit nicht der direkten Kontrolle. Damit steht man schnell vor einem weiteren Problem: Wo sind denn eigentlich die Server und damit die Daten gespeichert?
Bei Zoom kann zwar für Meetings eine Region angegeben werden, innerhalb derer die einzelnen Medienströme verbleiben (siehe [12]). Europa ist hier zum Glück mit dabei. Dies gilt jedoch nicht für die Daten, die innerhalb der Zoom-Cloud gespeichert werden. Hier ist keine Kontrolle über den Speicherort gegeben, sodass beispielsweise die Anforderung A-59 „Ausschließliche Datenablage innerhalb der EU“ (siehe [3], Seite 76) nicht mal ansatzweise erfüllt werden kann. Dies betrifft sämtliche Daten, die im Zusammenhang mit der Nutzung von Zoom gespeichert werden, also Nutzerdaten, Konferenzaufzeichnungen, Einstellungen, Daten zu Rollen und Berechtigungen, Metadaten etc. Daher sollte man sich bei der Nutzung von Cloud-Diensten allgemein und Zoom insbesondere stets darüber im Klaren sein, dass eine globale Infrastruktur genutzt wird und damit die Daten potenziell außerhalb Deutschlands oder sogar außerhalb der EU gespeichert und verarbeitet werden können.
Folglich sollte die grundsätzliche Fragestellung, ob für eine Videokonferenzlösung eine Cloud-basierte Lösung infrage kommt, vor einer möglichen Beschaffung beantwortet werden. In diesem Zusammenhang sind im KoViKo neben den technischen Anforderungen und Umsetzungshinweisen auch Aspekte der Beschaffung sowie drei Beispiel-Szenarien dargestellt. Bei der Planung einer neuen Videokonferenzlösung besteht somit die Möglichkeit, sich an diesen Szenarien zu orientieren, um beispielsweise zu entscheiden, welche Anforderungen für die eigene Situation relevant sind. Insbesondere muss man sich über den Schutzbedarf der Daten und Informationen, die über eine Videokonferenz kommuniziert werden, im Klaren sein. Bei einem hohen Schutzbedarf hinsichtlich Vertraulichkeit kann beispielsweise Zoom aktuell nicht in Betracht gezogen werden. Dies gilt jedoch durchaus auch für andere vergleichbare Lösungen. Wenn der Einsatz dann doch erfolgt, muss zumindest über eine organisatorische Regelung verhindert werden, dass über eine Videokonferenz kritische Inhalte ausgetauscht werden.
Tabelle 1 fasst die hier betrachteten Anforderungen und deren Erfüllungsgrad in Bezug auf die Videokonferenzlösung von Zoom zusammen.
Tabelle 1: Erfüllungsgrad der betrachteten Anforderungen
Fazit
Die Nutzung von Videokonferenzen hat in der vergangenen Zeit stark zugenommen. Jedoch wurden gerade Cloud-basierte Videokonferenzlösungen vielfach ohne vorherige Überlegungen in Bezug auf Sicherheit genutzt. Dies war nicht zuletzt dem großen Zeitdruck geschuldet: Von heute auf morgen musste schließlich eine Lösung zur Realisierung von Remote-Meetings und Homeoffice her. Doch nun hat sich die Situation ein wenig entspannt und eine genauere Betrachtung der Videokonferenzlösungen ist wieder möglich.
Der Markt an verfügbaren Lösungen ist ebenso gewachsen wie die Nutzung von Videokonferenzen, fast täglich gibt es Berichte über neue Funktionen bei dieser oder jener Lösung. Davon sollte man sich aber nicht beeindrucken lassen, sondern bei der Einführung einer Videokonferenzlösung auch mal hinter die Kulissen schauen. Eine bedarfsorientierte Analyse der funktionalen sowie der sicherheitstechnischen Anforderungen sollte sorgfältig durchgeführt werden. Hier kann das Kompendium Videokonferenzsysteme des BSI sehr gut als Grundlage für die Erstellung, Umsetzung und nachhaltige Pflege entsprechender Sicherheitskonzepte dienen.
Verweise
[1] https://www.spiegel.de/politik/ausland/grossbritannien-boris-johnson-gibt-sensible-daten-per-tweet-zu-videokonferenz-preis-a-5f299820-cc44-4f95-989e-c5f5225c8ce6
[2] https://www.heise.de/newsticker/meldung/Zoom-bessert-nach-Keine-Meeting-IDs-mehr-in-der-Titelleiste-4700539.html
[3] BSI, „Kompendium Videokonferenzsysteme“, April 2020, verfügbar unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Kompendium-Videokonferenzsysteme.html
[4] BSI, „BSI TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen“, Januar 2019, verfügbar unter https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr02102/index_htm.html
[5] https://support.zoom.us/hc/en-us/articles/201362723-Encryption-for-Meetings
[6] https://blog.zoom.us/facts-around-zoom-encryption-for-meetings-webinars/
[7] Whitepaper von Zoom zur Ende-zu-Ende-Verschlüsselung: https://github.com/zoom/zoom-e2e-whitepaper
[8] https://support.zoom.us/hc/en-us/articles/115000332726
[9] https://support.zoom.us/hc/en-us/articles/201362413-Scheduling-meetings
[10] https://support.zoom.us/hc/en-us/articles/360041848151-In-meeting-security-options
[11] https://support.zoom.us/hc/en-us/articles/115001078646-Role-Based-Access-Control
[12] https://support.zoom.us/hc/en-us/articles/360042411451-Selecting-data-center-regions-for-hosted-meetings-and-webinars
[13] https://support.zoom.us/hc/de/articles/201363003-Erste-Schritte-mit-SSO
[14] https://support.zoom.us/hc/en-us/articles/201363253-Changing-account-settings
[15] https://www.theverge.com/2019/7/8/20687014/zoom-security-flaw-video-conference-websites-hijack-mac-cameras