Haben Sie heute auch schon mit den Kollegen gezoomt? Oder steht noch ein Feierabendrink via Skype an? Zigtausendfach treffen sich seit Wochen über die Homeoffices dieser Republik verstreute Beschäftigte vor den Kameras ihrer Laptops oder Smartphones, versammeln sich Kinder und (Groß-) Eltern zu virtuellen Familientreffen beim Gruppenvideo.
Das Ärgerlich ist nur: Viele Videokonferenzen sind so schlecht geschützt, dass sich unerwünschte Zuschauer in die Verbindungen einschalten können. Weil die Programme Sicherheitslücken haben, aber auch weil die Nutzer wichtige Sicherheitseinstellungen schlicht nicht aktiviert haben.
Die Attacken sind inzwischen so zahlreich, dass Fachleute schon von „Zoom-Bombing“ sprechen, ganz so als platzierten die digitalen Spione eine Art tickende Zeitbombe bei dem beliebtesten Dienst für die omnipräsenten Videokonferenzen – aber auch dem am schlechtesten geschützten.
Die US-Bundespolizei FBI hat inzwischen eine offizielle Warnung ausgesprochen, das BSI in Deutschland Sicherheitsempfehlungen für Videokonferenzen veröffentlicht.
Hetze, Porno und Spionage via Videokonferenz
Vor wenigen Tagen erst schalteten sich Hacker in eine Videokonferenz in Berlin zum Holocaust-Gedenken ein und störten die Veranstaltung mit antijüdischen Parolen. In Großbritannien hörten Journalisten in internen Mitarbeiterkonferenzen konkurrierender Medien mit. Und in den USA gelang es Hackern sogar, Pornovideos in die virtuelle Konferenz einer Schulbehörde einzuschleusen.
Wer solche Attacken verhindern will, sollte die folgenden Regeln beherzigen, mit denen sich Videokonferenzen sichern lassen.
Sechs Tipps für sichere Videokonferenzen
1. Einzeln zum Meeting einladen
Nutzen Sie – auch wenn Sie sich regelmäßig zu Online-Meetings treffen – nicht immer die gleichen Konferenzkennungen, sondern legen Sie diese immer wieder neu fest. Das verhindert, dass Zugangsdaten früherer Veranstaltungen, die in falsche Hände geraten sind, von Hackern zur Einwahl in künftige Treffen missbraucht werden können.
Verwenden Sie, speziell bei Zoom, auch nicht die persönliche Konferenz-ID Ihres Nutzerkontos. Erzeugen Sie stattdessen für alle Meetings neue Kennungen, die Sie dann an die Teilnehmer verschicken.
2. Aufs Passwort achten
Vergeben Sie für jede Konferenz auch Zugangspassworte – und vor allem für jedes Meeting neu. Wie Sie sichere Passwörter finden, lesen Sie hier.
Im Fall der Zoom-App war es anfangs möglich, Meetings anzusetzen, ohne dass die Teilnehmer beim Zuschalten ein Passwort eingeben mussten. Inzwischen ist die Passwortabfrage zwar standardmäßig aktiviert. Aber wer schon länger regelmäßige Meetings angesetzt hat und den immer gleichen Einladungslink benutzt, riskiert, dass die Teilnehmer sich weiterhin weiter ohne Zugangscodes einwählen. Laden Sie lieber neu ein und dann mit Passwort. Im Fall von Zoom beispielsweise ist das über die Funktion „Meeting planen“ möglich.
Packen Sie die Zugangsdaten nicht als kompletten Einladungslink in die E-Mail, denn der kann auch das Passwort für die Einwahl enthalten. Sicherer ist es, die sogenannte Meeting-ID und den Zugangscode mit getrennten Nachrichten zu versenden.
3. Unbekannte aussperren
Nicht immer allerdings lässt sich der Versand trennen. Microsofts Teams-App etwa verschickt komplette Einladungslinks. Wer diese abfängt oder mitliest, kann sich zuschalten. Immerhin ist es dort aber möglich, anonyme Teilnehmer zu blockieren, die ohne Nutzerkennung zusehen oder mithören wollen. Diese Funktion, nur eingeladene und bekannte Nutzer zuzulassen, lässt sich auch in anderen Anwendungen aktivieren.
Wer solch eine Einstellung nutzt, behält im Blick, wer online ist. Ein weiterer Vorteil: Es fällt auf, wenn sich mehrere Nutzer mit dem gleichen Namen und den gleichen Zugangsdaten anmelden wollen. Teilweise lässt sich auch ein Signalton aktivieren, der ertönt, wenn sich ein neuer Teilnehmer zuschaltet. Das verhindert, dass jemand unbemerkt mithört.
Noch mehr Sicherheit bietet die Option, dass sich überhaupt nur die Teilnehmer anmelden können, die ein eigenes Nutzerkonto bei der verwendeten App besitzen – egal, ob das Teams, Skype oder Zoom ist. Diese Funktion findet sich jeweils in den Programmeinstellungen.
4. Nie über soziale Medien einladen
Geben Sie Links zu Video- oder Telefonkonferenzen nie über Social-Media-Plattformen wie Twitter, LinkedIn oder Facebook weiter. Auch nicht über deren persönliche Nachrichtenfunktionen. Zu groß ist das Risiko, dass Empfänger diese Links anschließend – und sei es versehentlich – weitergeben.
Teilen Sie auch keine Screenshots aus Konferenzen in sozialen Netzwerken! Denn in den Programmfenster sind die Konferenz-IDs zu erkennen. Wer die besitzt, kann mithilfe bekannter Hacker-Werkzeuge versuchen, auch die Zugangspasswörter zu knacken.
5. Bleiben Sie sparsam
Deaktivieren Sie die Webkameras und Mikrofone der Teilnehmer, wenn diese gerade nicht nötig sind. Das lässt sich bei Zoom, WebEx, GoToMeeting und anderen Systemen schon bei der Planung der Meetings voreinstellen. Und es verhindert, dass Fremde unerwünschten Einblick in private Arbeitszimmer bekommen oder bei persönlichen Gesprächen mithören.
Auch die Optionen, Meetings aufzuzeichnen oder den eigenen Computer-Bildschirm für andere Konferenzteilnehmer freizugeben, lassen sich vom Moderator deaktivieren, sofern sie nicht erforderlich sind. Das hält Privates privat und unterbindet, dass Informationen versehentlich veröffentlicht werden oder Daten nachträglich an Unbefugte weitergereicht werden.
6. Machen Sie Updates
Gerade im Fall der noch sehr neuen App Zoom gab es zu Beginn der Coronakrise mehrfach wöchentlich Sicherheitslücken. Doch auch bei etablierteren Konferenzsystemen entdecken Sicherheitsexperten immer wieder Schwachstellen.
Um zu verhindern, dass die von Angreifern ausgenutzt werden, veröffentlichen die Software-Anbieter regelmäßig Reparaturprogramme. Spielen Sie die möglichst zügig ein und verwenden Sie grundsätzlich immer die aktuellste Software-Version, um immer auf dem neuesten Sicherheitsstand zu sein.
