Wie kann man Videokonferenzen abhörsicher gestalten?

Bert Weingarten: Ja, die Blechdose hat ausgedient. Aber die Sicherheitsregel, dass Standard-Smartphones mit Android oder iOS-Betriebssystem nicht in Sitzungen und Gespräche mit vertraulichem Inhalt gehören, gilt unverändert. Das Abhören von Kaspersky-Mitarbeitern über iOS ist ein aktueller Hinweis darauf, dass Smartphones weiterhin zur Ausspähung durch Dritte genutzt werden.

Bert Weingarten: In den USA ja, in Deutschland leider noch nicht. Das BSI hat einen ersten Ansatz zur Definition im April 2020 als Kompendium Videokonferenzsysteme veröffentlicht. Die Ausarbeitung bezieht sich auf Ansätze, wie eine möglichst sichere Nutzung von Videokonferenzen erreicht werden kann.

Bert Weingarten: Das BSI setzt unverändert auf das IT-Grundschutz-Konzept und rät, dass bei normalem Schutzbedarf für nicht oder eingeschränkt vertrauenswürdige Übertragungsstrecken (Internet, aber auch WAN) stets eine Verschlüsselung der mit IP übertragenen Konferenzdaten erfolgt. Bei erhöhtem Schutzbedarf hinsichtlich Vertraulichkeit oder Integrität sollten die Daten laut BSI durchgängig auf der gesamten Übertragungsstrecke verschlüsselt werden.

Video- und Audiokonferenzsysteme von Teams, Zoom und Webex haben in Deutschland einen Marktanteil von rund 85%, und alle drei Anbieter erfüllen die vom BSI geforderte durchgängige Verschlüsselung auf der gesamten Übertragungsstrecke im Normalfall leider nicht. Jeder Teilnehmer einer Audio- oder Videokonferenz wird im Normalfall mit dem Environment von Teams, Zoom oder Webex verbunden, und somit findet die Verschlüsselung nicht durchgängig auf der gesamten Übertragungsstrecke statt. Ob und wenn ja, welche Daten im Environment verschlüsselt übertragen werden, ist zudem unklar.

Bert Weingarten: Wenn zentrale Komponenten der Videokonferenzlösung durch Cloud-Dienste realisiert werden, besteht allgemein die Gefahr, dass durch unzureichende Absicherung seitens des Anbieters ein unberechtigter Zugriff auf Daten von Audio- und Videokonferenzen und integrierte Dienste jederzeit erfolgen kann. Erst kürzlich hatte Microsoft erhebliche Schwierigkeiten, die Datensicherheit im Cloud-Service sicherzustellen. Dazu kommt das Risiko, dass Aufzeichnungen von Audio- und Videokonferenzen im Environment erzeugt werden, bevor man sie per Download abspeichern kann. Zeichnet man über die Technologie auf, geschieht dies also nur über den Anbieter. Unklar ist, in welchem Umfang die enthaltenen personenbezogenen oder vertraulichen Daten analysiert und weiterverarbeitet werden. Die Nutzungsbedingungen, die mit der Installation der Anwendung akzeptiert werden, begründen laut Anbieter die Rechtsgrundlage zur Auswertung der gewonnenen Daten. Ausländische Anbieter können zudem verpflichtet sein, Dritten alle Audio-, Video- und Chat-Meetings zugänglich zu machen. Insbesondere in den USA bestehen umfangreiche Verpflichtungen, die man in Deutschland nicht übersehen sollte.

Bert Weingarten: Definitiv ja, Sie kennen die Einladung per E-Mail, die einen Zugangslink und einen Zugriffscode enthält. Haben Dritte Zugang oder Kenntnis dieser E-Mail, können sie sich bei den führenden Anbietern per Telefon in die Audio- oder Videokonferenz einwählen. Wenn sich ein Dritter pünktlich zum Beginn der Videokonferenz per Telefon einwählt und keinen Namen angibt, erhalten die Teilnehmer zwar eine Information, dass sich ein Teilnehmer eingewählt hat, aber in der schnellen Folge der Information, wer in das Meeting eingetreten ist, geht diese Information in der Regel unter. Allein mit dieser unzureichenden Zugangslösung ist es leider für Dritte technisch einfach, an vertraulichen Gesprächen teilzuhaben und diese aufzuzeichnen. Ein weiterer Aspekt ist, dass insbesondere die GSM-Einwahl generell ein Risiko aufgrund der leichten Abhörbarkeit der Technologie liefert, was allseits bekannt ist.

Bert Weingarten: Zuerst müssen wir uns mit dem Begriff „sicher“ auseinandersetzen. Eine Audio- oder Videokonferenz wäre sicher, wenn sie abhörsicher wäre, und die Abhörsicherheit ist ein hochkomplexes Thema. Abhörsichere Audio- und Videokonferenzen sind grundsätzlich über WLAN und Standard-Endgeräte möglich, allerdings ist die dafür erforderliche Umsetzung komplex und basiert auf einer No-Trust-Strategie:

Bert Weingarten: Nein, abhörsichere Audio- und Videokonferenzen sind eine offene Flanke, und diese besteht leider nicht nur in Hamburg, sondern in ganz Deutschland. Auf Bundesebene will man mit einzelnen stationären Geräten sichere Audio- und Videoverbindungen herstellen. In der Praxis werden die wenigen Geräte jedoch nicht ausreichen, um eine erforderliche Abdeckung beim Bund zu erzielen. Spätestens im Krisenfall werden der stationäre Zwang und die geringe Stückzahl dazu führen, dass auch unsichere Verbindungen verwendet werden müssen. Der Bund und das BSI setzen somit weiter auf Webex, was mich persönlich sehr wundert, da bereits im Oktober 2020 im Bundestag forensische Ergebnisse vorgestellt wurden, die eine Backdoor in Webex nahelegen.

Die tagtäglichen DSGVO-Verstöße, die sich per Standard-Videokonferenzen ereignen, und die aufkommenden NIS-2-Anforderungen sind ungelöst. Hier übertragen die Anbieter das Haftungsrisiko zwischenzeitlich auf den Host, also auf den Organisator der Videokonferenz. Nachlesbar soll der Host sich vor einer Verwendung der Technologie davon überzeugen, dass die Technologie eine rechtskonforme Anwendung ermöglicht. Nimmt man diese Worthülsen der Anbieter ernst, müsste somit vor jeder Videokonferenz eine forensische Prüfung erfolgen, ob der Anbieter gemäß seines Angebots verschlüsselt, Daten verwaltet und welche Daten analysiert oder gar an Partner ausgeleitet werden. Für mich ist es fragwürdig, dass beispielsweise die Nutzung von Teams aus diesen Gründen in Schulen in Bundesländern untersagt wird, während die Verwaltung, Wirtschaft und Industrie tagtäglich mit Teams kommunizieren. Was mich nachhaltig stört, ist die Tatsache, dass auch Fachkollegen, also IT-Sicherheits-Experten, die in der Lage sind, forensische Ergebnisse zu verstehen und die notwendigen Erfordernisse abzuleiten, die Risiken stillschweigend hinnehmen.