Die Auswahl der Videokonferenzplattform ist für den Schutz vor Hackerangriffen nicht zu vernachlässigen
Autor/Redakteur: Valentin Boussin, Country Manager Deutschland bei Tixeo/gg
Die Fälle von Hackerangriffen auf Firmen sind in den letzten Jahren deutlich gestiegen. Die zunehmende Home-Office-Quote verstärkt dieses Problem, denn ein nicht unerheblicher Teil solcher Attacken steht in Zusammenhang mit Videokonferenzen. Ob Hacking, Datendiebstahl oder Industriespionage – durch unbefugte Zugriffe auf Online-Meetings entstehen Unternehmen gewaltige Schäden. Allein 2022 wurde der deutschen Industrie laut Bitkom durch Industriespionage und Sabotage ein Gesamtschaden von 203 Milliarden Euro zugefügt, wobei ein Teil dieses Schadens aus Angriffen auf Videokonferenzen stammt. Die gute Nachricht ist, dass die Wahl des Videokonferenzanbieters das Risiko von Cyberangriffen auf die Online-Kommunikation verringern kann.
Branchen wie Defense, Pharma, Behörden, Government, Finance sind sich der Dinglichkeit von sicherer Kommunikation bereits durchaus bewusst. Die Mehrzahl der Unternehmen jedoch benutzt noch immer Videokonferenzlösungen, die unzureichend vor Hackerangriffen schützen. Das liegt häufig daran, dass es bequemer ist, auf die bekanntesten Anbieter zu setzen. Zum einen sparen sich so Unternehmen die Recherche und die Auswahl von Tools für die Online-Kommunikation. Zum anderen sind die eigenen Mitarbeiter und die Partner an das Interface der meistgenutzten Lösungen gewöhnt. Allerdings geht diese Bequemlichkeit auf Kosten der Cybersicherheit, da die Betreiber herkömmlicher Plattformen Zugriff auf die ausgetauschten Daten haben. Es gibt keine Garantie, dass diese Daten nicht vom jeweiligen Anbieter missbraucht werden. Außerdem ist es nicht ausgeschlossen, dass der Anbieter die ausgetauschten Daten – versehentlich oder absichtlich – an Dritte übermittelt.
Vielen fallen als Alternative Open Source-Videokonferenzen ein. Diese Lösungen haben jedoch den Nachteil, dass der offene Quellcode auch für Hacker einsehbar ist. Zudem ist die langfristige und zeitnahe Versorgung mit Updates nicht in allen Fällen sichergestellt. Dadurch können Cyberkriminelle Sicherheitslücken entdecken und ausnutzen.
Nicht-europäische Clouds können die Vertraulichkeit der Kommunikation kompromittieren
Ein weiterer Grund, warum die Online-Kommunikation vieler Unternehmen unzureichend geschützt ist, liegt darin, dass die meisten Videokonferenzplattformen ihre Dienste über US-amerikanische Clouds bieten. US-amerikanische Clouds unterliegen in den USA geltenden Cloud Act, nach welchem Anbieter gezwungen werden können, Behörden Daten über Kommunikationsströme zur Verfügung zu stellen. Dadurch ist die Vertraulichkeit der Kommunikation nicht gewährleistet. Das kann für europäische Firmen rechtliche Folgen haben, da die Übermittlung persönlicher Daten an Einrichtungen im Widerspruch zur EU-Datenschutzgrundverordnung (DSGVO) steht. Unternehmen sollten Online-Meetings daher über Plattformen durchzuführen, die europäische Clouds nutzen.
Alternative Videokonferenz-Software, die nicht open source oder „Made in the US“, sondern „Made in Europe“ ist, ist durchaus verfügbar. Diese fällt in der Regel nicht unter den Cloud Act und ist DSGVO-konform. Ein solcher Anbieter ist Tixeo aus Frankreich. Die wichtigste Charakteristik dieser Videokonferenzplattform ist, dass sie „Secure by Design“ ist, sprich Sicherheit und Risikomanagement wurden bereits beim Entwickeln der Software der Videokonferenztechnologie berücksichtigt. Tixeo hat sich nicht zum Ziel gesetzt, das Sicherheitsniveau lediglich im Fall einer Störung zu steigern, sondern Risiken vorauszusehen und zu minimieren. Um die Sicherheit einer Videokonferenz zu gewährleisten, hat Tixeo zwei wichtige Punkte in seine Systemarchitektur integriert: Zum einen besteht keine Verbindung zu Servern außerhalb Europas. Mittels einer Multi-Cloud-Strategie werden alle Datenströme aus Tixeo-Meetings an verschiedenen Orten in Europa bei C5 zertifizierten Rechenzentren gehostet. Dadurch unterliegt Tixeo keiner außereuropäischen Gesetzgebung, die die Vertraulichkeit der ausgetauschten Daten gefährdet. Zum anderen bietet Tixeo eine echte Ende-zu-Ende-Verschlüsselung.
Echte Ende-zu-Ende-Verschlüsselung zum Schutz gegen Cyberangriffe
Die echte Ende-zu-Ende-Verschlüsselung ist wichtig, weil dadurch nicht nur die Kommunikationsströme von Client zum Server, sondern auch die von Client zu Client verschlüsselt sind – auch in Konferenzen mit mehr als zwei Teilnehmern. Das heißt: die übertragenen Daten werden nicht entschlüsselt, wenn sie den Server passieren, somit entfällt eine Lücke, die Cyberkriminelle gerne nutzen, um Daten abzugreifen.
Aber auch wenn Videokonferenzanbieter mit einer Ende-zu-Ende-Verschlüsselung werben, ist Vorsicht angezeigt. Viele Betreiber von Videokonferenzplattformen geben sich damit zufrieden, eine Ende-zu-Ende-Verschlüsselung nur bei einer „Konferenz“ mit maximal zwei Teilnehmern zu bieten. Herkömmliche Plattformen für Online-Meetings, die auf den Protokollen SIP oder H.323 basieren, können eine durchgängige Ende-zu-Ende-Verschlüsselung aufgrund ihrer Architektur gar nicht integrieren. Nehmen mehr als zwei Personen an einem Meeting teil, so erfolgt möglicherweise nur noch eine Client-to-Server-Verschlüsselung. Dabei sind Kommunikationsströme zwar verschlüsselt, werden aber entschlüsselt, wenn sie über den Server laufen. Die Vertraulichkeit der Daten ist somit gefährdet.
Plattformen wie Tixeo dagegen bieten eine konsistente Ende-zu-Ende-Verschlüsselung unabhängig von der Teilnehmerzahl. Es wird sichergestellt, dass niemand, auch Tixeo nicht, die Kommunikation zwischen den Videokonferenzteilnehmern entschlüsseln kann. Das hohe Sicherheitsniveau von Tixeo-Videokonferenzen ist auch von staatlichen Sicherheitsbehörden authentisiert. Seit 2017 ist Tixeo die einzige Videokonferenzlösung, die für ihre Ende-zu-Ende-Verschlüsselung eine CSPN-Zertifizierung (Certification de Sécurité de Premier Niveau) von der französischen Nationalen Agentur für Sicherheit der Informationssysteme (ANSSI) erhalten hat. Diese CSPN-Zertifizierung ist vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) anerkannt.
Die Auswahl des Videokonferenzanbieters ist ausschlaggebend für das Sicherheitsniveau der eigenen Online-Kommunikation. Die Recherche passender Plattformen und der darauffolgende Wechsel auf eine Neue nehmen zwar Zeit in Anspruch, lohnen sich jedoch auch. Viele Sicherheitsrisiken lassen sich dadurch auf einfache Weise schließen. Und da sich die Nutzeroberflächen ähneln, fällt der Umstieg fast allen Nutzern für gewöhnlich einfach. Deshalb empfiehlt es sich für Unternehmen, so früh wie möglich die Sicherheit ihrer Videokonferenzen anzugehen. Angesichts der erheblichen Gefahren, die gegenwärtig von Cyberangriffen ausgehen, ist der Schutz der betrieblichen Kommunikation kein netter Bonus, sondern eine Investition in die Lebensfähigkeit von Unternehmen.