[datensicherheit.de, 09.09.2024] Das Bundesamt für Sicherheit in der Informationstechnik (BSI) meldet, dass der Videokonferenzanbieter Zoom am 9. September 2024 zwei IT-Sicherheitskennzeichen des BSI erhalten hat: Für die beiden Dienste „Zoom Workplace Basic“ und „Zoom Workplace Pro“ hat demnach BSI-Vizepräsident Dr. Gerhard Schabhüser diese auf der Internationalen Funkausstellung (IFA) in Berlin offiziell übergeben.

Zoom leistet laut BSI wichtigen Beitrag zur Transparenz bei IT-Sicherheit von Videokonferenzdiensten

Dieses IT-Sicherheitskennzeichen soll laut BSI Verbrauchern dabei helfen, sich beim Kauf von vernetzten Geräten oder bei der Nutzung digitaler Dienste zu orientieren: „Es signalisiert, dass ein Produkt grundlegende IT-Sicherheitsanforderungen erfüllt.“ Hersteller und Anbieter könnten es aktuell für mobile Endgeräte, sogenannte smarte Verbrauchergeräte, Breitbandrouter, E-Mail-Dienste sowie Videokonferenzdienste beantragen.

Dr. Schabhüser gratulierte Zoom zur Erteilung der zwei IT-Sicherheitskennzeichen: „Der Videokonferenzdienste-Anbieter leistet damit einen wichtigen Beitrag zur Transparenz bei der IT-Sicherheit von Videokonferenzdiensten und setzt ein klares Zeichen für die Branche, angemessene Sicherheitsanforderungen für Verbraucherinnen und Verbraucher umzusetzen.“

Mit Erteilung der IT-Sicherheitskennzeichens entspricht nun auch Zoom zunehmendem Verbraucher-Informationssicherheitsbedürfnis

Maßgeblich für die Kennzeichnung von Videokonferenzdiensten sei die DIN SPEC 27008. Diese gebe Mindestanforderungen vor – etwa zu Accountschutz, Update- und Schwachstellenmanagement, Authentisierungsmechanismen, Transparenz, sicherem Rechenzentrumsbetrieb und weiteren Funktionen wie aktuellen Verschlüsselungstechnologien und Kontrolle während der Videokonferenz darüber, wer auf welche Weise zugeschaltet ist. Als erster Anbieter habe die Berliner OpenTalk GmbH im Juli 2024 das IT-Sicherheitskennzeichen für Videokonferenzdienste erhalten.

Mit der Erteilung des IT-Sicherheitskennzeichens entspreche nun auch Zoom dem zunehmenden Informationssicherheitsbedürfnis vieler Verbraucher, welche in Fragen der Cyber-Sicherheit kein unnötiges Risiko eingehen möchten. „Auf der Produktinformationsseite des BSI haben Nutzende die Möglichkeit, aktuelle Informationen zu Updates, Sicherheitseigenschaften und zur Laufzeit des Kennzeichens abzurufen.“ Der Zugang erfolge über den QR-Code auf dem Kennzeichen oder über die Website des BSI. Dort könnten Verbraucher auch alle weiteren Informationen zu den bisher gekennzeichneten Produkten finden.

Weitere Informationen zum Thema:

Bundesamt für Sicherheit in der Informationstechnik
Verzeichnis der erteilten IT-Sicherheitskennzeichen

Bundesamt für Sicherheit in der Informationstechnik
Checken Sie die IT-Sicherheit Ihrer Produkte!

Bundesamt für Sicherheit in der Informationstechnik
Transparente Sicherheit durch das IT-Sicherheitskennzeichen

Bundesamt für Sicherheit in der Informationstechnik, 27.03.2024
IT-Sicherheitskennzeichen des BSI nun auch für Videokonferenzdienste

datensicherheit.de, 08.07.2022
zoom-Videokonferenzen: Hessisches Modell ermöglicht datenschutzkonforme Nutzung an Hochschulen in Hessen / Betrieb darf dabei nicht über zoom-Meeting-Server in den USA erfolgen

datensicherheit.de, 08.05.2020]
Zoom übernimmt Verschlüsselungsspezialisten Keybase / Videomeeting-Anbieter will das am weitesten verbreitete Ende-zu-Ende-Verschlüsselungsangebot für Unternehmen entwickeln

datensicherheit.de, 22.04.2020
Zoom kündigt Version 5.0 mit Updates für Sicherheit und Datenschutz an / Zoom implementiert Sicherheitsverbesserungen als Teil seiner 90-Tage-Sicherheisinitiative / Die Plattform bietet in der neuen Version Unterstützung für eine AES-256-Bit-GCM-Verschlüsselung

[datensicherheit.de, 15.01.2024] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch den it’s.BB e.V., lädt zur nächsten „Awareness“-Veranstaltung ein: „Wie schütze ich mich effizient? Abwehrmechanismen gegen Phishing und Ransomware“ – dieses Web-Seminar zielt darauf ab, einen Überblick über aktuelle Strategien und Gegenmaßnahmen zu geben, um sich gegen die zunehmend raffinierteren Bedrohungen durch Phishing und Ransomware zu verteidigen.

Abbildung: it’s.BB

Web-Seminar am 24.01.2024 in Zusammenarbeit mit der IHK Berlin

Interessanter Einblick zur Stärkung der eigenen digitalen Abwehr

Vom Verständnis der neuesten Phishing-Trends bis hin zur Implementierung robuster Sicherheitsstrategien soll dieses Web-Seminar einen interessanten Einblick zur Stärkung der eigenen digitalen Abwehr bieten.

„Egal, ob Sie technisch Interessierter oder ein proaktiver Geschäftsführer sind, erhalten Sie interessante Informationen, um Ihren Cyber-Raum sicher und widerstandsfähig zu gestalten.“ Dieses Web-Seminar wird wieder in Zusammenarbeit mit der IHK Berlin organisiert.

Abwehrmechanismen gegen Phishing und Ransomware

Mittwoch, 24. Januar 2024
16.00 bis 17.00 Uhr, online via „zoom“
kostenlose Teilnahme – Anmeldung erforderlich

Agenda (ohne Gewähr):

• Begrüßung
• „Überblick Phishing und Endring-Strategien“
• „Anatomie von Ransomware“
• „Bedrohungen identifizieren, Risiken erkennen“
• „Technische Präventivmaßnahmen: Sicherheitswerkzeuge und -technologien“
• „Organisatorische Maßnahmen: Eine Kultur der Sicherheit schaffen“
• Fragen / Diskussion / Abschluss

Referenten: Uwe Stanislawski, CASKAN IT-Security GmbH & Co. KG, und Anna Borodenko, IHK Berlin.

Weitere Informationen zum Thema und Anmeldung:

eventbrite
Mittwoch, 24. Januar / Wie schütze ich mich effizient? / Abwehrmechanismen gegen Phishing und Ransomware

[datensicherheit.de, 08.07.2022] Laut einer Pressemitteilung des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) vom 17. Juni 2022 dürfen hessische Hochschulen den Videokonferenzdienst „zoom“ für Lehrveranstaltungen nutzen – wenn dies nach dem sogenannten Hessischen Modell geschieht.

Auftragsverarbeiter mit eigenem Meeting-Server darf keine Video-/Audiodaten an zoom übertragen

Das Hessische Modell sieht demnach unter anderem vor, „dass der Betrieb nicht über Meeting-Server von ,zoom‘ in den USA erfolgt, sondern nur über einen unabhängigen Auftragsverarbeiter, der eigene Meeting-Server betreibt und keine Video-/Audiodaten an ,zoom‘ überträgt“. Diese Anforderungen stellten sicher, „dass US-Behörden nicht auf die Inhaltsdaten der Videokonferenzen zugreifen können“.

Der deutsche Videokonferenz-Dienstleister Connect4Video (C4V) ist nach eigenen Angaben langjähriger Partner von „zoom“ und betreibt bereits seit 2014 eigene Meeting-Server für seine Kunden in der sogenannten DACH-Region. C4V sei daher in der Lage, auch Hochschulen nach den Vorgaben des Hessischen Modells zu betreuen.

Andreas Zenger erläutert Vorteile der zoom-Nutzung über Connect4Video

„Wir freuen uns, dass unsere Arbeitsweise damit vom Datenschutzbeauftragten anerkannt wurde“, kommentiert Andreas Zenger, „Operations Manager“ bei Connect4Video.

Die Vorteile der Nutzung von „zoom“ über Connect4Video sind nach seinen Angaben unter anderem:

• „C4V stellt der Hochschule das Videokonferenzsystem Zoom zur Verfügung.“
• „C4V ist unmittelbarer Abrechnungspartner der Hochschule. Somit kann die Übermittlung von Abrechnungsdaten an den Anbieter Zoom minimiert bzw. pseudonymisiert erfolgen.“
• „Deutsche Hotline und Beratung sowie Schulungen für Nutzer und Administratoren.“
• „Auf Wunsch Premium-Service, in dem C4V sicherheitsrelevante Voreinstellungen im Nutzerkonto vornimmt.“
• „Durch kontinuierliche Skalierung der Server-Kapazitäten stellt Connect4Video den reibungslosen Betrieb auch bei steigendem Bedarf sicher.“

HBDI bewertet verbleibendes Risiko für Teilnehmer an zoom-Videokonferenzen als vereinbar

Eine Grundlage für die Entwicklung des Hessischen Modells sei ein Kundenvertrag von Connect4Video mit der hessischen Universität Kassel im Jahre 2020 gewesen. „Basis des Vertrags war die Nutzung der Connect4Video-Medienserver in D-A-CH, später kamen weitere Sicherheitsmaßnahmen wie etwa eine Ende-zu-Ende-Verschlüsselung hinzu.“

Setzten die Hessischen Hochschulen das Hessische Modell in der praktischen Nutzung von „zoom“ um, „bewertet der HBDI das verbleibende Risiko für die Teilnehmer an ,zoom‘-Videokonferenzen mit den datenschutzrechtlichen Vorgaben als vereinbar“.

Verantwortliche Hochschule in der Pflicht zu umfangreichen Sicherheitsmaßnahmen bei zoom-Abwendung

Der verantwortlichen Hochschule oblägen weitere Sicherheitsmaßnahmen, unter anderem der Betrieb eines lokalen Identitätsmanagements (IDM), um einen Personenbezug unmöglich zu machen.

Ferner gefordert: Bereitstellung einer Ende-zu-Ende-Verschlüsselung und eines „Virtual Private Networks“ (VPN) sowie die Information der Teilnehmer, „durch welche Maßnahmen sie ihre Informationelle Selbstbestimmung schützen können“.

Weitere Informationen zum Thema:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit, 17.06.2022
Mit Schutzmaßnahmen ist Zoom für Lehrveranstaltungen an Hessischen Hochschulen nutzbar

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Videokonferenzsysteme an hessischen Hochschulen / Anforderungen an den datenschutzgerechten Einsatz von Zoom für Lehrveranstaltungen an Hessischen Hochschulen

[datensicherheit.de, 01.09.2021] Das IT-Sicherheitsnetzwerk Berlin-Brandenburg, vertreten durch it’s.BB e.V., lädt zur nächsten „Awareness“-Veranstaltung zum Thema „Cyberangriffe – Neue Verteidigungsstrategien” ein.

Praxisbeispiel zur Entgegnung von Cyber-Angriffen

Die Zentralstelle zur Bekämpfung der Internet- und Computerkriminalität (ZIT) der Generalstaatsanwaltschaft Frankfurt a.M. werde über Ermittlungserfolge beim Erpressungssoftware-Angriff berichten.
In dieser Hybrid-Veranstaltung besteht die Möglichkeit, neue Strategien zur Entgegnung von Cyber-Angriffen kennenzulernen und zu diskutieren.
An einem Praxisbeispiel erläuterten Fachleute von Dentons, HiSolutions AG, M&H IT-Security, ObjectSecurity OSA gemeinsam mit den Experten der ZIT neue Ansätze bei der Verteidigung gegen Cyber-Angriffe.

Veranstaltung als Cyber- und Vor-Ort-Format

„Cyberangriffe – Neue Verteidigungsstrategien”
Donnerstag, 16. September 2021, 16.00 bis 18.00 Uhr
Teilnahme kostenlos, Anmeldung erforderlich.

Die Veranstaltung werde von den Mitgliedern des IT-Security Netzwerks für Berlin und Brandenburg „it’s.BB e.V.“ in Zusammenarbeit mit der IHK Berlin organisiert.
Eine Anmeldung zur kostenfreien virtuellen oder Vor-Ort-Teilnahme sei erforderlich – für die virtuelle Option werde die „Zoom“-Plattform verwende. Für die Teilnahme vor Ort sei der Anmeldeschluss der 14. September 2021.

Weitere Informationen zum Thema:

DENTONS – IHK Berlin – it’s.BB
Cyberangriffe – Neue Verteidigungsstrategien

[datensicherheit.de, 08.05.2020] Das Unternehmen Zoom Video Communications hat die Übernahme des Messaging- und File-Sharing-Dienst Keybase übernommen hat. Die Übernahme des Teams von Sicherheits- und Verschlüsselungs­ingenieuren soll nach eigenen Angaben den Plan beschleunigen, eine Ende-zu-Ende-Verschlüsselung aufzubauen, die dem aktuellen Skalierungsgrad der eigenen Videokonferenz-Lösung entspricht.

„Es gibt Ende-zu-Ende-Verschlüsselungs-Kommunikationsplattformen. Es gibt Kommunikations­plattformen mit leicht zu implementierender Sicherheit. Es gibt Kommunikationsplattformen für Großunternehmen. Es gibt aus unserer Sicht aber keine Lösung, die all diese Aspekte vereint. Das ist es, was Zoom aufbauen will: Sicherheit, Benutzerfreundlichkeit und Skalierbarkeit in einer Plattform vereint“, sagt Eric S. Yuan, CEO von Zoom. „Der erste Schritt besteht darin, das richtige Team zusammenzustellen. Keybase bringt tiefgreifende Verschlüsselungs- und Sicherheitsexpertise zu Zoom, und wir freuen uns, Max Krohn und sein Team willkommen zu heißen. Mit einem Team von Sicherheitsingenieuren wie diesem an Bord kommen wir in unserem 90-Tage-Plan zur Verbesserung unserer Sicherheitsbemühungen erheblich voran.“

„Keybase freut sich, Teil des Zoom-Teams zu werden“, so Max Krohn, Mitbegründer und Entwickler von Keybase.io. „Unser Team setzt sich leidenschaftlich für Sicherheit und Datenschutz ein, und es ist uns eine Ehre, unser Verschlüsselungs-Know-how auf eine Plattform zu bringen, die täglich von Hunderten von Millionen Teilnehmern genutzt wird.“

Beitrag zum 90-Tage-Plan des Unternehmens

Als Mitglieder des Zoom-Sicherheitsteams soll das Keybase-Team wichtige Beiträge zum 90-Tage-Plan leisten, um die Sicherheits- und Datenschutzfunktionen der Plattform proaktiv zu verbessern. Max Krohn wird das Team für Sicherheitstechnik leiten und direkt an Eric S. Yuan berichten. Führungskräfte sollen gemeinsam die Zukunft des Keybase-Produkts definieren. Die Rahmenbedingungen der Transaktion wurden nicht bekannt gegeben.

Weitere Informationen zum Thema:

Zoom
Einzelheiten zu den Plänen für den Aufbau des Ende-zu-Ende-Verschlüsselungsangebots (Zoom-Blog)

datensicherheit.de, 22.04.2020
Zoom kündigt Version 5.0 mit Updates für Sicherheit und Datenschutz an

datensicherheit.de, 22.04.2020
Malware: Falsche Zoom-App installiert Cryptominer

datensicherheit.de, 21.04.2020
Zoom-Konferenzen: Sechs Tipps für den sicheren Umgang

datensicherheit.de, 15.04.2020
Sicherheit: Zoom ist keine Malware

datensicherheit.de, 27.03.2020
Zoom, Skype, Teams und Co. – Sicherer Gebrauch von Web-Konferenzensystemen

datensicherheit.de, 24.03.2020
Webinare: Innovatives Lernen in Corona-Zeiten

datensicherheit.de, 20.05.2019
Tenable Research: Download-Schwachstelle in Slack entdeckt

datensicherheit.de, 29.11.2018
Zoom-Konferenzsystem: Tenable Research entdeckt Schwachstelle

[datensicherheit.de, 22.04.2020] Zoom Video Communications implementiert nach eigenen Angaben Sicherheitsverbesserungen in die Version Zoom 5.0 seiner Videokonferenz-Lösung. Dies ist ein wichtiger Meilenstein im Kontext der kürzlich kommunizierten 90-Tage-Fokusinitiative zur Verbesserung der Sicherheit und des Datenschutzes seiner Plattform. Durch die zusätzliche Unterstützung der AES-256-Bit-GCM-Verschlüsselung biete Zoom einen besseren Schutz der Sitzungsdaten.

Optimierung bei den Kontrollfunktionen

Auch in Bezug auf die Kontrollfunktionen für Nutzer habe man die Lösung optimiert: So biete ein neues „Sicherheit“-Icon in der Hauptschaltfläche direkten Zugriff auf alle Sicherheitsfeatures, beispielsweise das sperren des Meetings oder die Kontrolle der Bildschirmfreigabe. Die Version 5.0 soll diese Woche für alle Kunden bereitstehen.

„Ich bin froh, dass wir in Bezug auf unseren 90-Tage-Plan im Soll liegen, doch das ist erst der Anfang“, so Eric S. Yuan, CEO von Zoom. „Wir haben Zoom maximal nutzerfreundlich gebaut. Nun sind wir dabei, auch die sicherste Plattform zu schaffen, um das Vertrauen unserer Kunden zu sichern.“

„Wir betrachten die Privatsphäre unserer Benutzer und die Sicherheit unserer Plattform ganzheitlich“, sagte Oded Gal, Chief Product Officer von Zoom. „Von unserem Netzwerk über den Funktionsumfang bis hin zur Benutzererfahrung unterliegt alles strengen Prüfungen. Im Backend wird die AES-256-Bit-GCM-Verschlüsselung die Messlatte für die Sicherheit der Daten unserer Nutzer bei der Übertragung höher legen. Was das Front-End betrifft, so freue ich mich am meisten über das ‚Sicherheit‘-Icon in der zentralen Menüleiste. Damit haben alle Zoom-Gastgeber die Sicherheitsfunktionen immer sofort parat. Diese Vereinfachung ist gerade angesichts der Millionen an neuen Nutzern wichtig.“

Updates im Bezug auf das Netzwerk

• AES 256-Bit-GCM-Verschlüsselung: Zoom rüstet auf den AES-256-Bit-GCM-Verschlüsselungsstandard auf, der einen verbesserten Schutz der Sitzungsdaten während der Übertragung und einen höheren Widerstand gegen Manipulationen bietet. Dadurch soll die Vertraulichkeit und Integrität der Zoom-Meeting-, Zoom-Video-Webinar- und Zoom-Telefon-Daten gewährleistet werden. Zoom 5.0, das innerhalb dieser Woche veröffentlicht werden soll, unterstützt die GCM-Verschlüsselung sobald alle Konten mit GCM aktiviert sind. Die systemweite Kontoaktivierung ist für den 30. Mai angekündigt.
• Steuerung der Datenweiterleitung: Account-Administratoren können nun das Data Routing für ihre Meetings kontrollieren. Sie können auswählen, welche Rechenzentrumsregionen die von seinem Account veranstalteten Meetings und Webinare für den Echtzeitverkehr auf Account-, Gruppen- oder Benutzerebene nutzen.

Updates in Bezug auf die Benutzererfahrung und Kontrollfunktionen

• „Sicherheit“-Icon: Die Sicherheitsfunktionen von Zoom, auf die zuvor über die Konferenzmenüs zugegriffen werden konnte, sind jetzt gruppiert und können durch Klicken auf das Sicherheitssymbol in der Konferenzmenüleiste auf der Benutzeroberfläche des Gastgebers gefunden werden.
• Gastgebersteuerung: Gastgeber werden in der Lage sein, über das Sicherheitssymbol einen Benutzer an Zoom zu melden. Sie können auch die Möglichkeit für Teilnehmer deaktivieren, sich selbst umzubenennen. Für Kunden aus dem Bildungsbereich ist die Bildschirmfreigabe jetzt standardmäßig nur für den Gastgeber aktiviert.
• Warteraum: Eine bereits vorhandene Funktion, die es dem Gastgeber ermöglicht, Teilnehmer in virtuellen Warteräumen zu halten, bevor sie zu einer Besprechung zugelassen werden, ist jetzt standardmäßig für die Konten Education, Basic und Pro mit Einzellizenz aktiviert. Alle Gastgeber können nun auch den Wartesaal einschalten, während ihre Sitzung bereits läuft.
• Passwortkomplexität und Default-Setting: Die Meeting-Passwörter, eine vorhandene Zoom-Funktion, ist jetzt für die meisten Kunden, einschließlich aller Education-, Basic- und Pro-Kunden mit Einzellizenz, standardmäßig aktiviert. Für verwaltete Konten haben Administratoren jetzt die Möglichkeit, die Passwortkomplexität zu definieren (z. B. Länge, alphanumerische und Sonderzeichenanforderungen). Darüber hinaus können Zoom Phone-Administratoren jetzt die Länge der für den Zugriff auf die Voicemail erforderlichen PIN anpassen.
• Passwörter für Cloud-Aufzeichnungen: Passwörter werden jetzt standardmäßig für alle Personen festgelegt, die neben dem Sitzungsleiter auf Cloud-Aufzeichnungen zugreifen und erfordern ein komplexes Passwort. Für verwaltete Konten haben Konto-Administratoren jetzt die Möglichkeit, die Passwortkomplexität zu definieren.
• Sicheres Teilen von Kontokontakten: Zoom 5.0 wird eine neue Datenstruktur für größere Organisationen unterstützen, die es ihnen ermöglicht, Kontakte über mehrere Konten hinweg zu verknüpfen, so dass Personen Meetings, Chat- und Telefonkontakte einfach und sicher suchen und finden können.
• Dashboard-Erweiterung: Administratoren von Geschäfts-, Unternehmens- und Bildungslizenzen können in ihrem Zoom-Dashboard anzeigen, wie ihre Meetings mit Zoom-Rechenzentren verbunden sind. Dazu gehören alle Rechenzentren, die mit HTTP-Tunnel-Servern verbunden sind, sowie Konferenzraum-Verbindungen und Gateways.
• Zusätzlich: Benutzer können sich jetzt dafür entscheiden, dass ihre Zoom-Chat-Benachrichtigungen keinen Ausschnitt ihres Chats zeigen; neue Nicht-PMI-Meetings haben jetzt 11-stellige IDs für zusätzliche Komplexität; und während eines Meetings wurde die Meeting-ID und die Einladungsoption vom Zoom-Interface in das Teilnehmermenü verschoben, wodurch es für einen Benutzer schwieriger wird, versehentlich seine Meeting-ID weiterzugeben.

„Wenn Zoom mit Fragen zu Sicherheit und Datenschutz konfrontiert wurde, reagierte das Unternehmen schnell und öffentlich, einschließlich wöchentlicher Webinare zum Thema Sicherheit mit dem CEO“, kommentiert Wayne Kurtzman, IDC-Research Director für Social, Communities und Collaboration. „Zoom hat auch sehr schnell Standardeinstellungen geändert, was Datenschutzaspekte direkt verbessert hat und hat in kurzer Zeit einen 90-Tage-Plan rund um tiefer gehende Maßnahmen aufgestellt und kommuniziert.“

Weitere Informationen zum Thema:

Zoom
Zoom-Client 5.0 Download

Zoom
Fortschritte in Bezug auf den 90-Tage-Plan veröffentlicht Zoom im Zoom-Blog

datensicherheit.de, 22.04.2020
Malware: Falsche Zoom-App installiert Cryptominer

datensicherheit.de, 21.04.2020
Zoom-Konferenzen: Sechs Tipps für den sicheren Umgang

datensicherheit.de, 15.04.2020
Sicherheit: Zoom ist keine Malware

datensicherheit.de, 27.03.2020
Zoom, Skype, Teams und Co. – Sicherer Gebrauch von Web-Konferenzensystemen

datensicherheit.de, 24.03.2020
Webinare: Innovatives Lernen in Corona-Zeiten

datensicherheit.de, 20.05.2019
Tenable Research: Download-Schwachstelle in Slack entdeckt

datensicherheit.de, 29.11.2018
Zoom-Konferenzsystem: Tenable Research entdeckt Schwachstelle

[datensicherheit.de, 22.04.2020] Bedingt durch die Corona-Pandemie (COVID-19) haben Videokonferenzen enorm an Popularität gewonnen. Insbesondere die Videokonferenzsoftware Zoom wird derzeit von Cyberkriminellen als Angriffsweg für ihre Aktivitäten genutzt.

Cryptomining-Software gibt sich als Zoom-Installationsdatei aus

Aktuell befindet sich eine schädliche Cryptomining-Software im Umlauf, die sich als Zoom-Installationsdatei ausgibt. Statt Videokonferenzen zu ermöglichen, greift die Malware jedoch auf die Ressourcen des befallenen Rechners zu, um Kryptowährungen zu schürfen.

Weitere Informationen zum Thema:

SonicWall
Fake Zoom App installs a Cryptominer

datensicherheit.de, 15.04.2020
Sicherheit: Zoom ist keine Malware

datensicherheit.de, 27.03.2020
Zoom, Skype, Teams und Co. – Sicherer Gebrauch von Web-Konferenzensystemen

datensicherheit.de, 24.03.2020
Webinare: Innovatives Lernen in Corona-Zeiten

datensicherheit.de, 20.05.2019
Tenable Research: Download-Schwachstelle in Slack entdeckt

datensicherheit.de, 29.11.2018
Zoom-Konferenzsystem: Tenable Research entdeckt Schwachstelle

Ein Beitrag von unserem Gastautor Dietmar Schnabel, Regional Director Central Europe bei Check Point Software Technologies GmbH

[datensicherheit.de, 21.04.2020] Trotz negativer Schlagzeilen über mangelnde Sicherheit und Lücken beim Datenschutz, ist die Zahl der aufgesetzten Konferenzen bei Zoom weiterhin ungebrochen hoch, denn technisch funktioniert der Streaming-Dienst gut. Dennoch machten Berichte die Runde, dass sich Fremde in Telefonkonferenzen einwählen konnten, wenn diese nicht als private Sitzungen eingerichtet wurden. Der Begriff ‚Zoomboming‘ breitet sich in den Vereinigten Staaten aus. Außerdem wurde bekannt, dass die iOS-Anwendung des Dienstes einige Informationen über das benutzte Gerät – wie Modell, freier Speicherplatz und Display-Größe – an Facebook übermittelte. Zoom nannte Facebook-Werkzeuge bei der Anmeldung als Grund und entfernte die Datenweitergabe. Man muss den Kaliforniern keine Böswilligkeit vorwerfen, denn der enorme Zuwachs von Nutzern in den letzten Wochen kann schnell die Strukturen überfordern und manche Lücke wird übersehen. Die schnelle Einsicht und Reaktion des Unternehmens unterstreichen diese Interpretation.

© Check Point

Dietmar Schnabel, Regional Director Central Europe bei Check Point Software Technologies GmbH

Dennoch lohnt es sich, diese sechs Ratschläge zu beachten, um ruhigen Gewissens die nächste Konferenz aufsetzen zu können.

1. Zoom reagierte umgehend auf die Kritik und sendete zum ersten April ein neues Update raus, dass viele Probleme beim Datenschutz löst und bessere Richtlinien für Gruppen einführt. Die Installation empfiehlt sich also umgehend.
2. Der Zugang zu Konferenzen sollte durch Passwörter geschützt sein, am besten über SSO, falls das Unternehmen diese Methode unterstützt.
3. Zoom hat nun Warteräume eingeführt, die aktiviert werden können. Dorthin gelangen dann neue Nutzer zuerst und der Gastgeber kann sie überprüfen, bevor er sie zur eigentlichen Sitzung zulässt. Ungebetene Gäste können so ferngehalten werden.
4. Gastgeber sollten von ihren Werkzeugen Gebrauch machen, um die Video- und Audio-Übertragungen der Teilnehmer zu kontrollieren. So können ungewollte Nebengeräusche oder Videos abgeschaltet werden.
5. Alle Teilnehmer sollten stets daran denken, dass für Zoom das gleiche gilt, wie für jeden Online-Dienst: Im Zweifel bleibt nichts privat und nur innerhalb des Dienstes zurück, sondern kann nach außen gelangen. Es lohnt sich daher, das eigene Verhalten in Bezug auf die preisgegebenen Informationen dauernd zu prüfen.
6. Aufgrund der zunehmenden Phishing-Attacken über gefälschte Links empfiehlt es sich, die Zoom-Webseite oder -Anwendung direkt aufzurufen und die Meeting-ID dort einzugeben, statt Links zur Konferenz zu folgen. Mittlerweile ist bekannt, dass 90 Prozent aller Cyber-Angriffe mit einem Phishing-Versuch beginnen und 25 Prozent mehr Zoom-Domänen in den letzten zwei Wochen registriert wurden, wovon 4 Prozent bereits als gefälscht gelten. Viele weitere stehen unter Verdacht.

Es mag zwar der eine oder andere Ratschlag den Komfort beschneiden, doch gibt man lieber die Meeting-ID manuell ein, statt auf einen Phishing-Link zu drücken; oder man macht sich als Gastgeber mehr Mühe, um seine Rolle auszufüllen und die Sitzung wirklich zu kontrollieren, statt ungewollte Gäste zu dulden. Im besseren Fall stören diese die Konferenz, im schlimmsten Fall stehlen sie Informationen und richten einen hohen Schaden an.

Weitere Informationen zum Thema:

datensicherheit.de, 15.04.2020
Sicherheit: Zoom ist keine Malware

datensicherheit.de, 27.03.2020
Zoom, Skype, Teams und Co. – Sicherer Gebrauch von Web-Konferenzensystemen

datensicherheit.de, 24.03.2020
Webinare: Innovatives Lernen in Corona-Zeiten

datensicherheit.de, 20.05.2019
Tenable Research: Download-Schwachstelle in Slack entdeckt

datensicherheit.de, 29.11.2018
Zoom-Konferenzsystem: Tenable Research entdeckt Schwachstelle

Ein Beitrag von unseren Gastautoren Amit Serper, VP Security Strategy bei Cybereason, David Kennedy, TrustedSec und Russ Handorf, PhD. Principal Threat Intelligence Hacker, WhiteOps

[datensicherheit.de, 15.04.2020] Entgegen anders lautenden Annahmen: Nein, Zoom ist keine Malware. Und ja, man kann Zoom sicher benutzen. In den letzten Tagen brodelte es in den sozialen Netzwerken (vor allem auf Zoom ist keine Malware). Hier trafen die unterschiedlichsten Meinungen und Auffassungen zu den zahlreichen Sicherheitsproblemen bei Zoom aufeinander. Einige davon sind in der Tat schwerwiegender (und werden/wurden von Zoom behoben). Einige andere sind aber nicht ursächlich Fehler von Zoom selbst, sondern sie hängen mit der Funktionsweise von Betriebssystemen zusammen.

Identifizierte Sicherheitsrisiken müssen behoben werden

Natürlich sollte man identifizierte Sicherheitsrisiken beheben, und bisher hat Zoom das auch getan. Nach Aussagen des CEO will das Unternehmen zusätzliche Schritte unternehmen, um Bedenken auszuräumen und den Datenschutz zu gewährleisten. Möglicherweise werden im Laufe der nächsten Tage, Wochen, Monate oder Jahre weitere Schwachstellen und Risiken identifiziert – wichtig ist aber zunächst, wie das Unternehmen darauf reagiert.

Bild: Cybereason

Amit Serper, VP Security Strategy bei Cybereason

Problematische Auslegung des Begriffs Ende-zu-Ende-Verschlüsselung

Ein Teil der Kritik war allerdings berechtigt. So hatte das Marketing des Unternehmens die Ende-zu-Ende-Verschlüsselung quasi neu ausgelegt: Sie war lediglich bei der Chat-Funktion aktiv, bei den Videokonferenzen kam nur die Transportverschlüsselung per TLS zum Einsatz. Das ist inzwischen geklärt und spiegelt sich in der geänderten Terminologie des letzten Updates wider. Umgekehrt unterstützt Ciscos WebEx End-to-End (E2E), beeinträchtigt dadurch jedoch die normale Funktionalität der Lösung erheblich. Sinnvoll wäre an dieser Stelle eine branchenweit einheitliche, verbindliche Terminologie. Das würde verhindern, dass Unternehmen Standards umbenennen oder neu definieren, damit sie besser zu ihren Produkten passen. Wie im seriösen Teil der Berichterstattung behandelt, sind einige Schwachstellen schwerwiegender als andere, und es besteht die Möglichkeit, sie mittels Social Engineering auszunutzen. Viele der Probleme lassen sich aber gut eindämmen, und wir empfehlen dem Unternehmen vorausschauender als bisher zu agieren.

Zero-Day-Exploits durch Eskalation lokaler Berechtigungen

Innerhalb eines Tages und nach zwei Zero-Day-Exploits (ohne Patch), veröffentlichte Zoom bereits eine neue Version. Die Angriffe resultierten zum einen aus der Eskalation lokaler Berechtigungen. War es einem Angreifer bereits gelungen, ein System zu kompromittieren, konnte er auf diesem Weg weitergehende Zugriffe erlangen. Der zweite Vorfall geht auf ein Problem innerhalb des Windows-Designs zurück, eine Schwachstelle, über die sich Remote-Dateien ausführen lassen. Das betrifft folglich nicht nur Zoom.

Zoom hat beide Probleme fast sofort behoben und die Updates an seine Kunden weitergegeben. Um das Ganze etwas zu relativieren: jede einzelne Software birgt Sicherheitsrisiken oder hat Schwachstellen. In der Regel dauert es mehrere Wochen oder Monate, bis Unternehmen eine Sicherheitslücke erkennen, offenlegen und patchen. In diesem Fall hatte Zoom dazu keine Gelegenheit mehr, denn der Exploit-Code wurde online veröffentlicht. Es sei am Rande darauf hingewiesen, dass kein anderer Anbieter von Video-Telefonkonferenzen so genau unter die Lupe genommen wurde wie Zoom. Sieht man sich die Sicherheitslücken der vergangenen Jahre an, sind einige der großen Player ebenfalls nicht verschont geblieben. Und alle diese Systeme werden weiterhin genutzt:

https://www.cvedetails.com/product/18500/Cisco-Webex.html?vendor_id=16

https://www.notebookcheck.net/GoToMeeting-ist-found-to-be-potential-susceptible-to-hacking.442684.0.html

https://www.exploit-db.com/exploits/39061

Was in den letzten Tagen passiert ist, ist insofern alarmierend, als dass die meisten der identifizierten Schwachstellen als geringes bis mittleres Risiko eingestuft würden. In der Berichterstattung wurde Zoom in die Nähe einer Malware gerückt, die jedem gefährlich wird, der die Lösung benutzt. Das ist schlicht falsch. Ein Angreifer muss bereits direkten Zugriff auf ein System haben oder eine Phishing-Kampagne mit einem klickbaren Link nutzen. Nichts, was bis zu diesem Zeitpunkt veröffentlicht wurde, würde man als substanzielles Risiko für einen Nutzer einordnen. Und welche Auswirkungen es haben kann auf bösartige Links zu klicken, das ist schon gar nicht „exklusiv“ für Zoom. Damit haben wir es seit den Anfängen des Internets zu tun. Man sollte hinsichtlich Links bewährte Sicherheitspraktiken eben auch in Zoom-Sitzungen anwenden. Das gilt besonders in der komplexen Situation, in der wir uns gerade alle befinden. Zoom ist zu einem kritischen Tool geworden, mit dem viele von uns arbeiten. Und wie fast jedes andere Tool oder Programm auf dem Markt, kann es missbraucht werden.

Zusätzlich wurde über „Zoom Bombing“ berichtet. Darunter versteht man, wenn jemand einen Link oder eine persönliche Meeting-ID (PMI) öffentlich zugänglich macht. Eines der Hauptprobleme von Zoom besteht darin, dass es einfach zu nutzen IST. Es ist so konzipiert, damit Benutzer mit unterschiedlichen Vorkenntnissen problemlos zusammenarbeiten können. Bleiben solche Konfigurationen offen, werden sie zum Risiko, wenn anonyme Teilnehmer an den Meetings teilnehmen.

Was Sie tun können, um Zoom-Sitzungen zu schützen:

•  Schützen Sie eine persönlichen Meeting-ID (PMI) mit einer PIN oder einem Passcode

  https://support.zoom.us/hc/en-us/articles/360033559832-Meeting-and-Webinar-Passwords

• Nutzen Sie nur geplante Meetings. Diese generieren eindeutige IDs, die schwieriger zu erraten sind. Stellen Sie außerdem sicher, dass die Meeting-ID einen Passcode enthält.

  https://support.zoom.us/hc/en-us/articles/360033331271-Account-Setting-Update-Password-Default-for-Meeting-and-Webinar

• Wenn Sie der Meeting-Host oder Moderator sind, verwenden Sie die Webinar-Funktion, um ein Zoom-Meeting zu erstellen, nicht das Meeting selbst. Dann ist eingeschränkt, wer den Bildschirm teilen kann, was ein „Zoom Bombing“ verhindert.

  https://support.zoom.us/hc/en-us/articles/200917029-Getting-Started-With-Webinar

• Verwenden Sie für das Zoom-Konto eine Multi-Faktor-Authentifizierung (MFA). Falls ein Passwort kompromittiert wird, hat der Angreifer keinen Zugriff auf das Zoom-Konto.

  https://support.zoom.us/hc/en-us/articles/360038247071-Setting-up-and-using-two-factor-authentication

• Sperren Sie virtuelle Klassenzimmer für Schüler.

  https://blog.zoom.us/wordpress/2020/03/27/best-practices-for-securing-your-virtual-classroom/

• Aktivieren Sie eine Wartezimmerfunktion, um die Teilnehmer zu überprüfen, die in Ihren Meeting-Raum kommen. So verhindern Sie, dass ihnen unbekannte Personen am Meeting teilnehmen.

  https://blog.zoom.us/wordpress/2020/03/27/best-practices-for-securing-your-virtual-classroom/

In vielen Programmen gibt es Sicherheitslücken, und kein Code ist immun. Nicht jede Sicherheitslücke oder Exposition ist kritisch und birgt ein hohes Risiko. Das Wissen um die eigene Bedrohungslage und ein sorgfältiges Threat Modeling sind ein entscheidender Teil, wenn man Probleme und ihre möglichen Auswirkungen wirklich verstehen will. Zudem sollte man Informationen genau und verständlich vermitteln, statt unbegründete Ängste zu schüren. Zoom unterscheidet sich nicht grundsätzlich von anderen Unternehmen, und hat bereits gezeigt, dass es für Verbesserungen offen ist. Zoom lässt sich privat und im geschäftlichen Umfeld sicher einsetzen, gerade in einer Zeit der erschwerten Arbeitsbedingungen.

In diesem Zusammenhang sollte man auch einen Gedanken an diejenigen verschwenden, die dieses und andere Systeme trollen (zum Beispiel durch „Zoom Bombing“). Unter allen anderen Umständen werden Trolle ignoriert, sie bekommen für einen Moment das, was sie wollen und 15-Sekunden zweifelhaften Online-Ruhm, dann ziehen sie weiter zur nächsten Plattform. Aber in Zeiten wie diesen wirken sich solche Aktivitäten stärker auf die legitimen Nutzer eines Systems aus und führen unter Umständen zu Störungen. Wer in einem Unternehmen mit massiven Code-Pushs und Systemänderungen umgehen muss, wird daran nicht viel Freude haben. Vor jedem Computer sitzt ein Mensch, der den Betrieb aufrechterhält. Diese Einsicht sollte man beherzigen und sich entsprechend verhalten.

Sonstige Quellen:

https://www.theverge.com/interface/2020/4/3/21203720/zoom-backlash-apology-zoom-bombings-eric-yuan

https://www.wired.com/story/zoom-backlash-zero-days/

https://www.forbes.com/sites/kateoflahertyuk/2020/04/03/use-zoom-here-are-7-essential-steps-you-can-take-to-secure-it/#2f6fe5387ae1

Weitere Informationen zum Thema:

datensicherheit.de, 27.03.2020
Zoom, Skype, Teams und Co. – Sicherer Gebrauch von Web-Konferenzensystemen

datensicherheit.de, 24.03.2020
Webinare: Innovatives Lernen in Corona-Zeiten

datensicherheit.de, 20.05.2019
Tenable Research: Download-Schwachstelle in Slack entdeckt

datensicherheit.de, 29.11.2018
Zoom-Konferenzsystem: Tenable Research entdeckt Schwachstelle

 [datensicherheit.de, 29.11.2018] Tenable hat gemeldet, dass das hauseigene Forschungsteam eine ernstzunehmende Schwachstelle in der „Zoom“-Anwendung für Desktop-Konferenzen entdeckt hat: Externen Angreifern oder betrügerischen Meeting-Teilnehmern ermögliche diese Schwachstelle, Bildschirme zu kontrollieren, sich als anderer Teilnehmer in Chats auszugeben oder andere aus der Konferenz auszuschließen. Betroffen seien bis zu 750.000 Unternehmen weltweit, die „Zoom“ täglich einsetzten.

Vertrauliche Online-Meetings in Gefahr

Die Digitale Transformation schreitet voran und in deren Kontext werden auch mobile Angestellte zunehmend zur Normalität: Konferenzsysteme wie z.B. „Zoom“ seien deshalb fast allgegenwärtig.
Diese seien für viele Unternehmen der neue Konferenzraum, in dem sie auch vertrauliche Meetings abhielten, die aufgezeichnet und in der Cloud gespeichert würden.
Nutzen Angreifer die Schwachstelle aus, könne das nicht nur Geschäftsprozesse stören, sondern auch erheblichen Schaden für das Ansehen des Unternehmens bedeuten – gerade dann, wenn es um wichtige Konferenzen, etwa des Managements, mit Kunden oder Interessenten, geht.

Malware laden, Chats manipulieren oder Teilnehmer abblocken…

Cyber-Kriminelle können laut Tenable Research durch diese „Vulnerability“ die Kontrolle über Bildschirme übernehmen: Indem sie die Zugriffsrechte für die geteilten Bildschirme umgingen, könnten Angreifer den Desktop eines Opfers vollständig kontrollieren, Malware herunterladen und ausführen.
Auch Chat-Nachrichten könnten gefälscht werden: Während des Meetings könnten Chat-Nachrichten im Namen anderer Nutzer verschickt werden.
Auch seien Teilnehmer aus einer Konferenz auszuschließen: Selbst Personen ohne Host-Rechte könnten andere aus der Konferenz „werfen“.

Angriffsoberfläche vergrößert

„Wer in der heutigen, digitalen Wirtschaft erfolgreich Geschäfte treiben will, muss auf neue Technologien und Services für die Vernetzung setzen. Zugleich eröffnet jede neue Technologie potenzielle Angriffsmöglichkeiten. Die ,Zoom‘-Schwachstelle ist das perfekte Beispiel für eine scheinbar harmlose Lösung, die allerdings die Angriffsoberfläche vergrößert“, erläutert Renaud Deraison, Mitgründer und „Chief Technology Officer“ von Tenable.
Tenable Research konzentriere sich darauf, Schwachstellen zu finden und diese gemeinsam mit den Anbietern zu beheben. Deraison: „Nur so können wir erreichen, dass die Technologie sicher ist, auf die wir als Kunden und Unternehmen angewiesen sind.“

Anbieter Zoom hat nach Information umgehend reagiert

Tenable Research hat nach eigenen Angaben die entdeckte Schwachstelle gegenüber dem Anbieter Zoom gemäß den Standardverfahren der „Tenable Vulnerability Disclosure Policy“ offengelegt.
Diese Schwachstelle betrifft demnach die „Zoom“-Version 4.1.33259.0925 für „MacOS“ und „Windows“ sowie 2.4.129780.0915 für „Ubuntu“. Zoom habe schnell reagiert und Version 4.1.34814.1119 veröffentlicht, um die Schwachstelle in „Windows“ zu schließen. Für „MacOS“ sei die Vulnerabilität mit Version 4.1.34801.1116 behoben worden. Nutzer sollten sicherstellen, dass ihr Desktop-Konferenzsystem auf dem neuesten Stand ist.
Tenable habe selbst ein Plugin veröffentlicht, mit dem Unternehmen herausfinden könnten, ob sie verwundbar sind.

Weitere Informationen zum Thema:

tenable, David Wells, 29.11.2018
Tenable Research Advisory: Zoom Unauthorized Command Execution (CVE-2018-15715)

tenable
Zoom Client for Meetings 4.x < 4.1.34801.1116 Message Spoofing Vulnerability (macOS)

tenable
Zoom Client for Meetings 4.x < 4.1.34814.1119 Message Spoofing Vulnerability

datensicherheit.de, 02.10.2018
Unternehmensschutz: DevOps in IT-Sicherheitsmaßnahmen einbeziehen

datensicherheit.de, 13.08.2017
EU-Datenschutz-Grundverordnung: Tenable Inc. stellt drei essentielle Schritte vor