Sicherheit für Video Conferencing: Schwierige Umsetzung

2020 ist das Jahr, in dem Video Conferencing im Mittelpunkt steht. Nach zwei Jahrzehnten eher geringer Akzeptanz und Einführungsraten ist die Branche um das Zehnfache gewachsen – in nur drei Monaten. Die Corona-Pandemie rückt die Vorteile der Technologie zu einer Zeit ins Bewusstsein, in der Remote-Arbeit zur Normalität geworden ist.

Aber diese Aufmerksamkeit hat gleichzeitig auch einige damit einhergehende Schwachstellen aufgedeckt – insbesondere, wenn es um das Thema Sicherheit und Videokonferenzen geht. Bisher spielten Security-Funktionen eine untergeordnete Rolle. Der Fokus lag auf der Vielseitigkeit und einfachen Bedienbarkeit von Video Conferencing. Das ist nicht länger der Fall. Die gut dokumentierten Sicherheitslücken von Zoom – von einem für Hacker-Angriffe anfälligen Betriebssystem über schwache Verschlüsselungsverfahren bis zu Zoombombing – führen die Herausforderungen, mit denen Anbieter von Video Conferencing konfrontiert sind, eindringlich vor Augen.

Das Problem liegt darin, dass Sicherheit und Datenschutz miteinander verknüpft sind, gleichzeitig aber konkurrierende Anforderungen bleiben. Auf einer Enterprise-Meeting-Plattform müssen Organisationen zuerst entscheiden, wer abgesichert und wessen Datenschutz gewährleistet werden soll.

Zum Beispiel ist ein vollständiger Datenschutz mit End-to-End-Verschlüsselung von Sitzungen nicht möglich in einer Branche, wo Bestimmungen verlangen, dass alle Gespräche aufgezeichnet werden müssen. Doch Verschlüsselung wäre wünschenswert, um Anbieter von Managed Services (MSP) davon abzuhalten, Unterhaltungen während einer gehosteten Video-Conferencing-Sitzung heimlich mitzuhören.

Werfen wir einen Blick auf einige der größten Sicherheitsprobleme, mit denen Anbieter und Käufer konfrontiert sind, wenn sie eine sichere Plattform für Videokonferenzen entwickeln beziehungsweise nach einer solchen Lösung suchen.

Zurückgreifen auf sichere Standards. Sicherheit für Videokonferenzen ist eine anspruchsvolle Aufgabe, weil jede Plattform zwei enorme Sicherheitsrisiken birgt. Das erste Risiko ist eine Backdoor irgendwo im Algorithmus, die ausgenutzt werden könnte. Die zweite Gefahr liegt in der Implementierung selbst. Zum Beispiel haben Entwickler vielleicht einen Sicherheitscheck versäumt oder bei der Implementierung nicht genau aufgepasst, so dass eine Schwachstelle Hackern das Eindringen erleichtert.

Greifen Sie auf Bewährtes zurück, etwa den Advanced Encryption Standard (AES). Er bietet eine Möglichkeit, Text zu verschlüsseln und Brute-Force-Angriffe abzuwehren. Oder der Secure Hash Algorithm 1 (SHA-1), eine Methode, mit der sich überprüfen lässt, ob eine bestimmte Datei verändert wurde oder nicht. Neben anderen Sicherheitsalgorithmen, die von Video-Conferencing-Anbietern genutzt werden, handelt es sich bei diesen Verfahren um offene Standards. Sie werden kontinuierlich überprüft und weiterentwickelt, so dass Stärken und Schwächen im Laufe der Zeit bekannt sind.

Es sollte somit eine einfache Aufgabe sein, angemessene Sicherheitsalgorithmen auszuwählen. Die wahre Gefahr lauert aber auf einer höheren Ebene: die Art, wie diese Algorithmen verwendet werden, um einen kompletten Workflow für einen bestimmten Prozess zu entwickeln. Video Conferencing ist ein ziemlich anspruchsvoller Workflow, denn er beinhaltet Benutzerauthentifizierung und -autorisierung, Signaling, Medienverschlüsselung und Servermanagement.

Für viele Anbieter von Video Conferencing kommt Benutzerfreundlichkeit vor Sicherheit. Von daher ist es wichtig, eine Plattform zu wählen, die auf offenen und sicheren Standards basiert und Algorithmen auf allen Ebenen nutzt, die als sicher gelten. Dies wird erreicht durch die gründliche Arbeit in Standardisierungsgremien, wo Sicherheitsexperten von verschiedenen Anbietern und aus unterschiedlichen Ländern in den Prozess involviert sind.

H.323 und das Session Initiation Protocol (SIP) sind hervorragende Beispiele für standardisierte Sicherheit. WebRTC, ein Standard, der verschlüsselte Kommunikation vorschreibt, bietet eine Open-Source-Implementierung und Browser-Integration. Damit werden einige der Hürden im Zusammenhang mit anbieterbasierter Sicherheit aus dem Weg geräumt.

In-Transit- und At-Rest-Verschlüsselung Heute besteht die grundlegende Anforderung für jeden Kommunikationsdienst darin, In-Transit-Verschlüsselung und At-Rest-Verschlüsselung zu ermöglichen. In-Transit-Verschlüsselung bedeutet, dass über das Netzwerk gesendete Daten zu verschlüsseln sind. Für WebRTC heißt dies, dass Signaling, Sprache und Video zwischen Geräten und Servern verschlüsselt werden müssen.

At-Rest-Verschlüsselung kümmert sich um alle gespeicherten Informationen. Die Spanne reicht von Account-Daten über Textnachrichten bis zu Gesprächsaufzeichnungen. Für die Sicherheit von Videokonferenzen ist dieser Punkt besonders relevant, wenn Sitzungen aufgezeichnet werden. Ganz gleich, welchen Video-Conferencing-Service Sie einsetzen: er muss heutzutage sowohl In-Transit- als auch At-Rest-Verschlüsselung unterstützen.

Zuverlässige Policy für Sicherheits-Updates. Anbieter sollten über eine solide Richtlinie verfügen, die Sicherheits-Updates regelt. Es gibt heute kein einziges kommerzielles Produkt, das nicht irgendeine Open-Source-Komponente von Drittanbietern nutzt – egal, ob es sich um Linux, OpenSSL oder eine andere Bibliothek handelt.

Alle diese Drittanbieter-Komponenten unterliegen eigenen Entwicklungs- und Release-Zyklen. Und häufig enthalten die veröffentlichten Updates Sicherheits-Patches. Einige dieser Patches können für die Sicherheit der Anwendung, die sie nutzt, von größter Bedeutung sein.

Aus diesem Grund benötigen Anbieter interne Richtlinien, die festlegen, wie Security Fixes von Dritten veröffentlicht und (sofern relevant) in das Kernprodukt integriert werden. Das mag trivial erscheinen, ist aber ein wichtiger Schritt. Je besser ein Anbieter sich um das Fix- und Patch-Management kümmert, desto sicherer ist dessen Anwendung.

Berechenbares Verhalten. Hacker halten immer nach Mustern Ausschau, insbesondere bei der Softwareentwicklung. Ein gutes Beispiel dafür ist die Praxis, Default-Passwörter für Peripheriegeräte zu vergeben – ganz gleich, ob es sich um Router oder Drucker handelt. Oft werden diese Passwörter nie geändert und lassen sich so von Hackern nutzen, um remote auf die Geräte zuzugreifen.

Die einfachste Möglichkeit, um ein sich wiederholendes und somit reproduzierbares Element festzustellen, besteht darin, die Software in einem Array basierend auf ihrer sequenziellen Nummer zu indizieren. In Videokonferenzsystemen lässt sich diese Methode darauf anwenden, wie aufgezeichnete Session-Dateien gespeichert oder wie die Nummern von Konferenzräumen erstellt werden.

Selbst wenn Hacker nur auf einige wenige Elemente, wie Aufzeichnungs-URLs oder Raumnummern, Zugriff erhalten, sind sie in der Lage, verwandte Ressourcen abzuleiten, indem sie eine begründete Vermutung anstellen. Wenn diese Ressourcen ungeschützt sind oder Hacker sich durch Brute-Force-Attacken darauf Zugriff verschaffen, lässt sich die Sicherheit einfach kompromittieren.

Ein Weg, um dieses Verhalten zu verhindern, besteht darin, vorhersehbare Ressourcen und Assets nicht mehr zu indizieren. Stattdessen sollten sie in einer Weise bearbeitet werden, die das Raten erschwert.

Schutz vor Brute-Force-Attacken. User-IDs und PIN-Codes sind notwendig. Aber gleichzeitig bilden sie die Einfallstore, über die Hacker sich Zugriff auf das Videokonferenzsystem verschaffen können.

Um dem entgegenzuwirken, können Anbieter von Video Conferencing die Länge der PIN-Codes erhöhen und die Nutzer bitten, stärkere Passwörter zu wählen. Zusätzlich können sie in Möglichkeiten investieren, die Brute-Force-Angriffe unterbinden. Beispielsweise lässt sich der Zugriff auf eine bestimmte Anzahl von Versuchen pro Sekunde oder Minute begrenzen. Denkbar ist auch, den Zugriff komplett zu sperren, wenn mehrere wiederholte Zugriffe entdeckt werden.

Der menschliche Faktor. Sicherheit und Datenschutz gehen immer auf Kosten der einfachen Bedienbarkeit. Um die Sicherheit von Video Conferencing zu gewährleisten, müssen die Nutzer sich authentifizieren. Es ist notwendig, dass sie sich identifizieren und Ihre Identität nachweisen. Gäste, die an einer Videositzung teilnehmen, müssen manuell zugelassen werden.

Doch diese Anforderungen stehen im Widerspruch zur einfachen Bedienung, die Anbieter von Videokonferenzen versprechen, wenn sie ihre Services bewerben. Infolgedessen sind die Standardeinstellungen der meisten Provider eher auf die unkomplizierte Nutzung ausgelegt und nicht so sehr auf Sicherheit und Datenschutz.

Anbieter sollten über eine solide Richtlinie verfügen, die Sicherheits-Updates regelt.

Zwar lassen sich diese Einstellungen gelegentlich von den Anwendern konfigurieren, was aber mühsam und verwirrend sein kann. Wenn Sicherheitsmechanismen nicht von Anfang an implementiert sind, besteht die Gefahr, dass sicherheitsrelevante Einstellungen nachträglich hinzugefügt werden. Dieser Flickenteppich lässt sich dann nur schwer zentral verwalten oder konfigurieren.

Benutzerfreundlichkeit zu Lasten von Sicherheit. Zoom wurde auf frischer Tat ertappt, Leidtragende waren Apple-Nutzer. Bei der Installation von Zoom auf Mac-Geräten wurde ein lokaler Webserver mitinstalliert. Der Server verblieb sogar dann auf den Systemen, wenn die Nutzer Zoom entfernten. Warum? Die Anwender sollten es einfacher haben, falls sie die Software später erneut installieren mussten.

Diese Praxis gilt, verständlicherweise, als Risiko für die Sicherheit und den Datenschutz. Sie kompromittiert bewusst die Sicherheit der Benutzer, um die Benutzerfreundlichkeit der Anwendung zu verbessern. In der Vergangenheit wurden ähnliche Techniken verwendet, um Screen Sharing auf mobilen Betriebssystemen zu ermöglichen. Ein solches Verhalten macht das Ziel zunichte, für Sicherheit und Datenschutz zu sorgen. Zudem hätte man es durch die Anwendung offener Standards – in diesem Fall WebRTC – vermeiden können.

Anbieter können nicht einfach die Sicherheit im Namen der Benutzerfreundlichkeit vernachlässigen. Die gesamten Sicherheitskomponenten, die ein zugrunde liegendes Betriebssystem oder ein Browser bietet, müssen angewendet und unterstützt werden, um die Nutzer angemessen zu schützen.

Der schmale Grat zwischen Benutzerfreundlichkeit und Sicherheit. Security und Usability gehen nicht Hand in Hand. Mehr Sicherheit geht in der Regel zulasten der Benutzerfreundlichkeit und umgekehrt. Aber mit zunehmender Popularität von Video Conferencing müssen die Anbieter Wege finden, um ihre Sicherheit zu verbessern, während sie gleichzeitig bei der Benutzerfreundlichkeit so wenige Kompromisse wie möglich eingehen. Für sie kommt es darauf an, die richte Balance zu finden und Services zu entwickeln, die sowohl vielseitig nutzbar als auch sicher sind.