[datensicherheit.de, 28.03.2024] Laut einer aktuellen Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) gibt es jetzt auch das „T-Sicherheitskennzeichen des BSI“ für Videokonferenz-Dienste. Dieses soll demnach Privatanwendern Orientierung mit Blick auf die Sicherheitseigenschaften von IT-Produkten bieten, zur Etablierung eines Basis-Sicherheitsniveaus auf dem Verbrauchermarkt beitragen und alltägliche Sicherheitsrisiken für Verbraucher adressieren. „Anbieter, deren Videokonferenz-Dienste die Basisanforderungen der DIN SPEC 27008 erfüllen, können das neue Kennzeichen ab sofort beantragen.“

BSI: Cyber-Sicherheit auf einem Einstiegslevel ganz pragmatisch für den Alltag

Spätestens seit der „Corona-Pandemie“ seien Videokonferenzen auch aus dem Privatalltag nicht mehr wegzudenken: Freunde und Familienmitglieder blieben so über Orts- und Ländergrenzen in Kontakt – Treffen per Videokonferenz seien praktisch und schnell organisiert. „Oft ist für Verbraucherinnen und Verbraucher dabei jedoch nicht transparent, welche Sicherheitseigenschaften die Videokonferenzdienste haben. Mit dem neuen Standard DIN SPEC 27008, der dem IT-Sicherheitskennzeichen als Anforderungsprofil zugrunde liegt, haben Videokonferenz-Anbieter sich erstmals auf ein Basis-Sicherheitsniveau verständigt.“

„Das IT-Sicherheitskennzeichen schafft für Verbraucherinnen und Verbraucher Transparenz zu IT-Produkten und -Diensten, indem es deren Sicherheitseigenschaften auf einen Blick erkennbar macht“, erläutert BSI-Präsidentin Claudia Plattner. So werde Cyber-Sicherheit auf einem Einstiegslevel ganz pragmatisch für den Alltag gestaltet. Anbieter von Videokonferenz-Diensten für Privatnutzer könnten das Kennzeichen ab sofort beantragen und damit zeigen, „dass ihr Angebot grundlegende IT-Sicherheitsanforderungen erfüllt“. Zugleich versicherten sie zügige Updates für mögliche Schwachstellen. Die Einhaltung der Sicherheitsanforderungen werde über die gesamte Laufzeit des Kennzeichens geprüft.

BSI hat Entstehungsprozess der DIN SPEC 27008 begleitet

Die DIN SPEC 27008 sei in einem Zeitraum von 18 Monaten von einem Anbieterkonsortium entwickelt worden. Das BSI habe den Prozess begleitet und den Standard nun als geeignet für das IT-Sicherheitskennzeichen anerkannt. „Die DIN SPEC 27008 adressiert mögliche Risiken für die Informationssicherheit und Privatsphäre von Nutzerinnen und Nutzern und beinhaltet technische Vorgaben, wie diese Risiken minimiert werden können.“ Adressiert werden laut BSI die Aspekte Account-Schutz, ein angemessenes Update- und Schwachstellen-Management, zeitgemäße Authentisierungsmechanismen, ein sicherer Rechenzentrumsbetrieb und weitere Sicherheitsfunktionen wie aktuelle Verschlüsselungstechnologien sowie Transparenz und Kontrolle während der Videokonferenz darüber, wer auf welche Weise zugeschaltet ist.

So müssten die vorkonfigurierten Standardeinstellungen neuer Meetings beinhalten, „dass diese privat (nicht öffentlich) erstellt werden und über schwer zu erratende Zugangsdaten abgesichert werden müssen“. Sie müssten zudem mit einer Warteraum-Funktionalität ausgestattet sein, so dass Moderatoren neu beigetretenen Teilnehmern den Zugang zum Meeting nur manuell gewähren. Videokonferenz-Dienste müssten überdies ermöglichen, alle Teilnehmer der Konferenz anzeigen zu lassen – der Beitritt neuer Teilnehmer müsse per Audio oder Videosignal klar erkennbar gemacht werden. Auftretende Schwachstellen seien unverzüglich den Nutzern sowie dem BSI zu melden und sogleich zu beheben. „Die DIN SPEC 27008 fordert zudem eine Transportverschlüsselung nach Stand der Technik (aktuelle Transportverschlüsselung nach BSI-TR-02102).“

Diensteanbieter verpflichteten sich gegenüber dem BSI zur konstanten Aufrechterhaltung der Anforderungen der DIN SPEC 27008

Im Rahmen der Erteilung des IT-Sicherheitskennzeichen prüften Anbieter ihre Produkte vor der Antragsstellung zunächst selbst auf Konformität. Alternativ könnten Antragsteller auch auf Prüfstellen mit der entsprechenden Kompetenz zurückgreifen. Nur in Einzelfällen darf von als „optional“ gekennzeichneten Anforderungen des Standards abgewichen werden. Diese Abweichungen müssten im Rahmen des Antrags auf ein IT-Sicherheitskennzeichen begründet werden. Diensteanbieter verpflichteten sich zur konstanten Aufrechterhaltung der Anforderungen der DIN SPEC 27008.

Im Rahmen der Marktaufsicht prüfe das BSI die Videokonferenz-Dienste über die gesamte Laufzeit von vier Jahren anlasslos (z.B. durch Stichproben) und anlassbezogen (z.B. bei Bekanntwerden von Schwachstellen) auf die Einhaltung der Anforderungen. Dabei könne das BSI selbst technische Prüfungen durchführen oder Prüfungen durch Prüfstellen durchführen lassen. Das IT-Sicherheitskennzeichen für Videokonferenzdienste könnten Anbieter ab sofort auf der betreffenden BSI-Webseite (s.u.) und zeitnah auch volldigital über das „OZG-Portal“ des Bundes beantragen.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
IT-Sicherheitskennzeichen / Das IT-Sicherheitskennzeichen für Hersteller

Bundesamt für Sicherheit in der Informationstechnik
BSI TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen / BSI TR-02102-1

[datensicherheit.de, 16.05.2023] Sogenannte Online-Meetings böten Cyber-Kriminellen eine gute Gelegenheit, Unternehmen enormen Schaden zuzufügen – die Fälle von Industriespionage per Videokonferenz, Hacking oder Datendiebstahl häuften sich. Was unsichere Videokonferenzen ausmacht, erläutert Valentin Boussin, „Country Manager Deutschland“ bei Tixeo, in seiner aktuellen Stellungnahme: Videokonferenzen gehörten inzwischen zum Alltag zahlreicher Unternehmen. Diese würden allerdings oft dabei vergessen, „dass Online-Meetings auch Risiken bergen, besonders wenn sie keine Sicherheitsmaßnahmen bedenken“. Indes: Auch ohne großen Aufwand könnten Unternehmen herausfinden, ob sie während ihrer Videokonferenzen einem erhöhten Risiko von Cyber-Angriffen ausgesetzt sind.

Mangelnde Kontrolle des Zugangs zu Online-Meetings weit verbreiteter Fehler

Häufig versendeten Unternehmen Login-Links an ihre Mitarbeiter, um ihnen Zugang zu Online-Meetings zu gewähren. „Login-Links mögen eine bequeme Zugangsmöglichkeit darstellen, allerdings machen sie es auch Cyber-Kriminellen leichter, an Videokonferenzen teilzunehmen.“ Die Gefahr bestehe weniger darin, dass sich Login-Links einfach kopieren und verbreiten ließen, als vielmehr darin, dass Organisatoren von Online-Meetings es häufig für unwichtig erachteten, die Identität der Personen, die den Link anklicken, zu überprüfen. So könnten sich Cyber-Angreifer Zugang zu Videokonferenzen verschaffen und anschließend Schaden anrichten.

Ein weiteres typisches Zeichen unsicherer Videokonferenzen sei die fehlende Ende-zu-Ende-Verschlüsselung der Kommunikation. Das bedeutet laut Boussin: „Die Kommunikation ist nicht von Client zu Client verschlüsselt und somit entschlüsselt, wenn sie die Server passiert.“ Diese Lücke sei für Cyber-Kriminelle willkommen, da sie leicht sowohl auf die Inhalte der Kommunikation als auch auf ausgetauschte Dateien zugreifen könnten.

Online-Konferenzen: Nicht-europäische Clouds mit Risiko

Viele Videokonferenz-Plattformen böten ihre Dienste über US-amerikanische „Clouds“ an, „die dem in den USA geltenden ,Cloud Act’ unterliegen“. Nach diesem könnten Anbieter verpflichtet werden, die Kommunikation von bestimmten Kunden bereitzustellen. Somit sei die Vertraulichkeit der Kommunikation nicht garantiert. „Es ist deshalb empfehlenswert, Videokonferenzen über Plattformen abzuhalten, die eine europäische ,Cloud’ nutzen.“ Europäische Anbieter wie eben z.B. Tixeo seien DSGVO-konform und übermittelten keine persönlichen Daten der Nutzer in ein Drittland oder an eine andere Einrichtung.

Die eigenen Online-Meetings vor Cyber-Angriffen zu schützen sei einfacher als gedacht: „Unternehmen sind allerdings gut beraten, so früh wie möglich zu beginnen, ihre Videokonferenzen robust gegen unbefugte Zugriffe zu gestalten.“ Eine umfassende Recherche passender Videokonferenz-Anbieter und eine sorgfältige Implementierung von Maßnahmen seien für gut geschützte Online-Meetings unentbehrlich. Boussin betont abschließend: „Sichere Unternehmenskommunikation ist nur dann möglich, wenn Unternehmen den Cyber-Angreifern aktiv voraus sind!“

[datensicherheit.de, 11.08.2022] Der Einsatz sogenannter Collaboration Tools (z.B. „zoom“, „WebEx“ oder „Microsoft Teams“) für Videokonferenzen hat ganz offensichtlich die „Business Continuity“ während der „Pandemie“ deutlich erleichtert – doch Radware warnt auf der anderen Seite davor, dass damit „auch Cyber-Kriminellen ein neues Tor für Angriffe auf die Verfügbarkeit zentraler Kommunikations-Infrastrukturen“ geöffnet werde.

Foto: Radware

Michael Gießelbach: UDP anfällig für Layer-4-Angriffe

Videokonferenzen basieren auf verbindungslosem UDP- Protokoll

Videokonferenzsysteme arbeiteten mit dem sogenannten Real Time Protocol (RTP). RTP basiere auf dem „User Datagram Protocol“ (UDP), einem Protokoll, „das weder eine garantierte Zustellung von Paketen noch einen Mechanismus zur Behandlung von Paketen außerhalb der Reihenfolge bietet“.

UDP sei ein verbindungsloses Protokoll, „das in IP-Pakete eingebettete Datagramme zur Kommunikation verwendet, ohne dass eine Sitzung zwischen zwei Geräten aufgebaut werden muss“. Mit anderen Worten: Es erfordere kein „Handshake-Verfahren“. Dies ermögliche zwar einen Datenverkehr mit geringerem „Overhead“, macht UDP aber auch anfälliger für Missbrauch und eine Vielzahl von „Flutangriffen“, einschließlich „UDP Flood“-Angriffen.

Schutz für Videokonferenzen: Spezielle UDP-Tools zur Erkennung und Entschärfung von -Floods implementieren

„Mit einfachen Lösungen gegen DDoS-Angriffe wird man solcher Attacken nicht Herr“, betont Michael Gießelbach, „Regional Director DACH“ bei Radware, und führt aus:

„Um diese Angriffe zu bekämpfen, müssen in der DDoS-Engine spezielle Tools zur Erkennung und Entschärfung von UDP-Floods implementiert werden. Nur so kann man sicherstellen, dass ein UDP-Flood-Angriff keine Auswirkungen auf den Videokonferenz-Dienst hat.“

Videokonferenzen droht Überlastung des Zielnetzes

Bei einem „UDP Flood“-Angriff werde keine spezifische Schwachstelle ausgenutzt. „Stattdessen wird einfach das normale Verhalten missbraucht, und zwar in einem Ausmaß, das zu einer Überlastung des Zielnetzes führt.“ Dabei werde eine große Anzahl von UDP-Datagrammen von meist gefälschten IP-Adressen an zufällige Ports auf einem Zielserver gesendet.

„Der Server, der diesen Datenverkehr empfängt, ist nicht in der Lage, jede Anfrage zu bearbeiten.“ Der Datenverkehr verbrauche die gesamte Bandbreite des Servers, „da er versucht, ICMP-Antworten auf ,destination unreachable‘-Pakete zu senden, um zu bestätigen, dass keine Anwendung an den Zielports lauscht“. Dieses Protokoll sei anfällig für Layer-4-Angriffe wie z.B. „UDP Floods“, „UDP Garbage-Floods“, „RTP Floods“ und andere.

[datensicherheit.de, 08.05.2020] Das Unternehmen Zoom Video Communications hat die Übernahme des Messaging- und File-Sharing-Dienst Keybase übernommen hat. Die Übernahme des Teams von Sicherheits- und Verschlüsselungs­ingenieuren soll nach eigenen Angaben den Plan beschleunigen, eine Ende-zu-Ende-Verschlüsselung aufzubauen, die dem aktuellen Skalierungsgrad der eigenen Videokonferenz-Lösung entspricht.

„Es gibt Ende-zu-Ende-Verschlüsselungs-Kommunikationsplattformen. Es gibt Kommunikations­plattformen mit leicht zu implementierender Sicherheit. Es gibt Kommunikationsplattformen für Großunternehmen. Es gibt aus unserer Sicht aber keine Lösung, die all diese Aspekte vereint. Das ist es, was Zoom aufbauen will: Sicherheit, Benutzerfreundlichkeit und Skalierbarkeit in einer Plattform vereint“, sagt Eric S. Yuan, CEO von Zoom. „Der erste Schritt besteht darin, das richtige Team zusammenzustellen. Keybase bringt tiefgreifende Verschlüsselungs- und Sicherheitsexpertise zu Zoom, und wir freuen uns, Max Krohn und sein Team willkommen zu heißen. Mit einem Team von Sicherheitsingenieuren wie diesem an Bord kommen wir in unserem 90-Tage-Plan zur Verbesserung unserer Sicherheitsbemühungen erheblich voran.“

„Keybase freut sich, Teil des Zoom-Teams zu werden“, so Max Krohn, Mitbegründer und Entwickler von Keybase.io. „Unser Team setzt sich leidenschaftlich für Sicherheit und Datenschutz ein, und es ist uns eine Ehre, unser Verschlüsselungs-Know-how auf eine Plattform zu bringen, die täglich von Hunderten von Millionen Teilnehmern genutzt wird.“

Beitrag zum 90-Tage-Plan des Unternehmens

Als Mitglieder des Zoom-Sicherheitsteams soll das Keybase-Team wichtige Beiträge zum 90-Tage-Plan leisten, um die Sicherheits- und Datenschutzfunktionen der Plattform proaktiv zu verbessern. Max Krohn wird das Team für Sicherheitstechnik leiten und direkt an Eric S. Yuan berichten. Führungskräfte sollen gemeinsam die Zukunft des Keybase-Produkts definieren. Die Rahmenbedingungen der Transaktion wurden nicht bekannt gegeben.

Weitere Informationen zum Thema:

Zoom
Einzelheiten zu den Plänen für den Aufbau des Ende-zu-Ende-Verschlüsselungsangebots (Zoom-Blog)

datensicherheit.de, 22.04.2020
Zoom kündigt Version 5.0 mit Updates für Sicherheit und Datenschutz an

datensicherheit.de, 22.04.2020
Malware: Falsche Zoom-App installiert Cryptominer

datensicherheit.de, 21.04.2020
Zoom-Konferenzen: Sechs Tipps für den sicheren Umgang

datensicherheit.de, 15.04.2020
Sicherheit: Zoom ist keine Malware

datensicherheit.de, 27.03.2020
Zoom, Skype, Teams und Co. – Sicherer Gebrauch von Web-Konferenzensystemen

datensicherheit.de, 24.03.2020
Webinare: Innovatives Lernen in Corona-Zeiten

datensicherheit.de, 20.05.2019
Tenable Research: Download-Schwachstelle in Slack entdeckt

datensicherheit.de, 29.11.2018
Zoom-Konferenzsystem: Tenable Research entdeckt Schwachstelle

[datensicherheit.de, 22.04.2020] Zoom Video Communications implementiert nach eigenen Angaben Sicherheitsverbesserungen in die Version Zoom 5.0 seiner Videokonferenz-Lösung. Dies ist ein wichtiger Meilenstein im Kontext der kürzlich kommunizierten 90-Tage-Fokusinitiative zur Verbesserung der Sicherheit und des Datenschutzes seiner Plattform. Durch die zusätzliche Unterstützung der AES-256-Bit-GCM-Verschlüsselung biete Zoom einen besseren Schutz der Sitzungsdaten.

Optimierung bei den Kontrollfunktionen

Auch in Bezug auf die Kontrollfunktionen für Nutzer habe man die Lösung optimiert: So biete ein neues „Sicherheit“-Icon in der Hauptschaltfläche direkten Zugriff auf alle Sicherheitsfeatures, beispielsweise das sperren des Meetings oder die Kontrolle der Bildschirmfreigabe. Die Version 5.0 soll diese Woche für alle Kunden bereitstehen.

„Ich bin froh, dass wir in Bezug auf unseren 90-Tage-Plan im Soll liegen, doch das ist erst der Anfang“, so Eric S. Yuan, CEO von Zoom. „Wir haben Zoom maximal nutzerfreundlich gebaut. Nun sind wir dabei, auch die sicherste Plattform zu schaffen, um das Vertrauen unserer Kunden zu sichern.“

„Wir betrachten die Privatsphäre unserer Benutzer und die Sicherheit unserer Plattform ganzheitlich“, sagte Oded Gal, Chief Product Officer von Zoom. „Von unserem Netzwerk über den Funktionsumfang bis hin zur Benutzererfahrung unterliegt alles strengen Prüfungen. Im Backend wird die AES-256-Bit-GCM-Verschlüsselung die Messlatte für die Sicherheit der Daten unserer Nutzer bei der Übertragung höher legen. Was das Front-End betrifft, so freue ich mich am meisten über das ‚Sicherheit‘-Icon in der zentralen Menüleiste. Damit haben alle Zoom-Gastgeber die Sicherheitsfunktionen immer sofort parat. Diese Vereinfachung ist gerade angesichts der Millionen an neuen Nutzern wichtig.“

Updates im Bezug auf das Netzwerk

• AES 256-Bit-GCM-Verschlüsselung: Zoom rüstet auf den AES-256-Bit-GCM-Verschlüsselungsstandard auf, der einen verbesserten Schutz der Sitzungsdaten während der Übertragung und einen höheren Widerstand gegen Manipulationen bietet. Dadurch soll die Vertraulichkeit und Integrität der Zoom-Meeting-, Zoom-Video-Webinar- und Zoom-Telefon-Daten gewährleistet werden. Zoom 5.0, das innerhalb dieser Woche veröffentlicht werden soll, unterstützt die GCM-Verschlüsselung sobald alle Konten mit GCM aktiviert sind. Die systemweite Kontoaktivierung ist für den 30. Mai angekündigt.
• Steuerung der Datenweiterleitung: Account-Administratoren können nun das Data Routing für ihre Meetings kontrollieren. Sie können auswählen, welche Rechenzentrumsregionen die von seinem Account veranstalteten Meetings und Webinare für den Echtzeitverkehr auf Account-, Gruppen- oder Benutzerebene nutzen.

Updates in Bezug auf die Benutzererfahrung und Kontrollfunktionen

• „Sicherheit“-Icon: Die Sicherheitsfunktionen von Zoom, auf die zuvor über die Konferenzmenüs zugegriffen werden konnte, sind jetzt gruppiert und können durch Klicken auf das Sicherheitssymbol in der Konferenzmenüleiste auf der Benutzeroberfläche des Gastgebers gefunden werden.
• Gastgebersteuerung: Gastgeber werden in der Lage sein, über das Sicherheitssymbol einen Benutzer an Zoom zu melden. Sie können auch die Möglichkeit für Teilnehmer deaktivieren, sich selbst umzubenennen. Für Kunden aus dem Bildungsbereich ist die Bildschirmfreigabe jetzt standardmäßig nur für den Gastgeber aktiviert.
• Warteraum: Eine bereits vorhandene Funktion, die es dem Gastgeber ermöglicht, Teilnehmer in virtuellen Warteräumen zu halten, bevor sie zu einer Besprechung zugelassen werden, ist jetzt standardmäßig für die Konten Education, Basic und Pro mit Einzellizenz aktiviert. Alle Gastgeber können nun auch den Wartesaal einschalten, während ihre Sitzung bereits läuft.
• Passwortkomplexität und Default-Setting: Die Meeting-Passwörter, eine vorhandene Zoom-Funktion, ist jetzt für die meisten Kunden, einschließlich aller Education-, Basic- und Pro-Kunden mit Einzellizenz, standardmäßig aktiviert. Für verwaltete Konten haben Administratoren jetzt die Möglichkeit, die Passwortkomplexität zu definieren (z. B. Länge, alphanumerische und Sonderzeichenanforderungen). Darüber hinaus können Zoom Phone-Administratoren jetzt die Länge der für den Zugriff auf die Voicemail erforderlichen PIN anpassen.
• Passwörter für Cloud-Aufzeichnungen: Passwörter werden jetzt standardmäßig für alle Personen festgelegt, die neben dem Sitzungsleiter auf Cloud-Aufzeichnungen zugreifen und erfordern ein komplexes Passwort. Für verwaltete Konten haben Konto-Administratoren jetzt die Möglichkeit, die Passwortkomplexität zu definieren.
• Sicheres Teilen von Kontokontakten: Zoom 5.0 wird eine neue Datenstruktur für größere Organisationen unterstützen, die es ihnen ermöglicht, Kontakte über mehrere Konten hinweg zu verknüpfen, so dass Personen Meetings, Chat- und Telefonkontakte einfach und sicher suchen und finden können.
• Dashboard-Erweiterung: Administratoren von Geschäfts-, Unternehmens- und Bildungslizenzen können in ihrem Zoom-Dashboard anzeigen, wie ihre Meetings mit Zoom-Rechenzentren verbunden sind. Dazu gehören alle Rechenzentren, die mit HTTP-Tunnel-Servern verbunden sind, sowie Konferenzraum-Verbindungen und Gateways.
• Zusätzlich: Benutzer können sich jetzt dafür entscheiden, dass ihre Zoom-Chat-Benachrichtigungen keinen Ausschnitt ihres Chats zeigen; neue Nicht-PMI-Meetings haben jetzt 11-stellige IDs für zusätzliche Komplexität; und während eines Meetings wurde die Meeting-ID und die Einladungsoption vom Zoom-Interface in das Teilnehmermenü verschoben, wodurch es für einen Benutzer schwieriger wird, versehentlich seine Meeting-ID weiterzugeben.

„Wenn Zoom mit Fragen zu Sicherheit und Datenschutz konfrontiert wurde, reagierte das Unternehmen schnell und öffentlich, einschließlich wöchentlicher Webinare zum Thema Sicherheit mit dem CEO“, kommentiert Wayne Kurtzman, IDC-Research Director für Social, Communities und Collaboration. „Zoom hat auch sehr schnell Standardeinstellungen geändert, was Datenschutzaspekte direkt verbessert hat und hat in kurzer Zeit einen 90-Tage-Plan rund um tiefer gehende Maßnahmen aufgestellt und kommuniziert.“

Weitere Informationen zum Thema:

Zoom
Zoom-Client 5.0 Download

Zoom
Fortschritte in Bezug auf den 90-Tage-Plan veröffentlicht Zoom im Zoom-Blog

datensicherheit.de, 22.04.2020
Malware: Falsche Zoom-App installiert Cryptominer

datensicherheit.de, 21.04.2020
Zoom-Konferenzen: Sechs Tipps für den sicheren Umgang

datensicherheit.de, 15.04.2020
Sicherheit: Zoom ist keine Malware

datensicherheit.de, 27.03.2020
Zoom, Skype, Teams und Co. – Sicherer Gebrauch von Web-Konferenzensystemen

datensicherheit.de, 24.03.2020
Webinare: Innovatives Lernen in Corona-Zeiten

datensicherheit.de, 20.05.2019
Tenable Research: Download-Schwachstelle in Slack entdeckt

datensicherheit.de, 29.11.2018
Zoom-Konferenzsystem: Tenable Research entdeckt Schwachstelle