Woran erkenne ich eine sichere Videokonferenz?

Die Sicherheit von Videokonferenzlösungen ist oft schwer zu beurteilen. Nutzer sind häufig auf die Versprechen der Anbieter angewiesen, ohne zu wissen, ob alle notwendigen Sicherheitsmaßnahmen tatsächlich umgesetzt werden. Sicherheitsprozesse finden auf Protokollebene statt und sind für Nutzer nicht sofort sichtbar oder nachvollziehbar. Dies birgt das Risiko, dass potenzielle Sicherheitslücken übersehen werden.

Wie stelle ich sicher, dass meine Videokonferenz bei verschiedenen Einwahlformaten sicher bleibt?

Die Sicherheit von Videokonferenzen hängt stark von den verwendeten Geräten und Kommunikationsprotokollen ab:

• Desktop/Laptop: Auf diesen Geräten können Schutzmechanismen flexibel implementiert werden, da sie plattformabhängig entwickelt werden. Um die Sicherheit zu gewährleisten, sollten Sie sicherstellen, dass auf allen Geräten aktuelle Betriebssysteme und Sicherheitsupdates installiert sind. Zudem empfiehlt es sich, eine starke Authentifizierung (z.B. Zwei-Faktor-Authentifizierung) sowie Sicherheitsprotokolle wie TLS (Transport Layer Security) und Ende-zu-Ende-Verschlüsselung zu verwenden. Die Auswahl einer vertrauenswürdigen Videokonferenzsoftware, die regelmäßig Sicherheitsprüfungen unterliegt, ist ebenfalls entscheidend.
• Smartphones/Tablets: Diese Geräte bieten ähnliche Sicherheitsmöglichkeiten wie Desktops, jedoch können Einschränkungen wie die Akkulaufzeit Auswirkungen auf die Ende-zu-Ende-Verschlüsselung haben. Dies liegt daran, dass bei niedrigem Akkustand Prozesse wie die kontinuierliche Verschlüsselung möglicherweise ausgesetzt oder eingeschränkt werden, um Energie zu sparen. Um dies zu verhindern, sollten Sie sicherstellen, dass das Gerät immer ausreichend geladen ist und energieeffiziente, sichere Apps verwenden, die auch im Energiesparmodus Verschlüsselung unterstützen.
• SIP-Telefone/Konferenzanlagen: Diese Geräte können durch offene Standards wie SIPS (Session Initiation Protocol Secure) und SRTP (Secure Real-time Transport Protocol) gesichert werden. Allerdings bieten sie keine Ende-zu-Ende-Verschlüsselung, da die Daten auf Servern zwischen den Gesprächspartnern entschlüsselt werden können. Um die Sicherheit zu verbessern, sollten Administratoren darauf achten, dass diese Standards korrekt implementiert und regelmäßig aktualisiert werden.
• H.323-Telefone/Konferenzanlagen: Auch hier ist eine Verschlüsselung nach Standard möglich, allerdings ebenfalls ohne Ende-zu-Ende-Verschlüsselung. Die H.323-Geräte können durch Protokolle wie H.235 gesichert werden, die eine Authentifizierung und Verschlüsselung der Signalisierungsdaten ermöglichen. Um maximale Sicherheit zu gewährleisten, sollten die Geräte auf die neueste Version des Protokolls aktualisiert werden.
• Telefonie (klassische Telefoneinwahl): Die Sicherheitsmöglichkeiten bei klassischer Telefoneinwahl sind stark eingeschränkt, da das öffentliche Telefonnetz keine Verschlüsselung unterstützt. Ein gravierendes Risiko besteht darin, dass Anrufernummern gefälscht werden können (Spoofing). Für maximale Sicherheit sollten alternative, sicherere Einwahlmöglichkeiten wie verschlüsselte VoIP-Dienste in Betracht gezogen werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat detaillierte Vorgaben für die Absicherung von IP-basierter Sprachtelefonie veröffentlicht, die insbesondere von Sicherheitsbehörden genutzt werden. Diese Vorgaben finden sich in den Technischen Richtlinien des BSI, wie der TR-02102-2. Darin werden Standards und Maßnahmen zur sicheren Verschlüsselung von Sprachkommunikation definiert. 

Welche Einstellungen sollten bei einer Videokonferenz aktiviert oder deaktiviert sein?

Bestimmte Sicherheitsfunktionen sollten für jede sichere Videokonferenz immer aktiviert sein:

• Transportverschlüsselung: Alle Kommunikationsdaten inklusive Metadaten müssen verschlüsselt übertragen werden. Eine Ende-zu-Ende-Verschlüsselung ist ideal.
• Infrastruktur-Konfiguration: Server, Firewalls, DNS und Rufnummernfilter müssen richtig konfiguriert sein, um Angriffe zu verhindern.
• Rufnummernverwaltung: Teilnehmer sollten nur gekürzte Rufnummern sehen, um die Privatsphäre zu schützen.

Bei OpenTalk werden diese Sicherheitsmaßnahmen übrigens zentral gesteuert, sodass Nutzer sich nicht mit technischen Details auseinandersetzen müssen.

Was muss ein Benutzer unabhängig von der Software beachten?

Endnutzer sollten im Allgemeinen vorsichtig mit Links und Anhängen umgehen, die sie aus unbekannten Quellen erhalten. Ansonsten haben sie wenig Einfluss auf die Sicherheit der verwendeten Videokonferenzsysteme. Entscheidender sind zentral gesteuerte Sicherheitsmaßnahmen, die transparent implementiert werden.

OpenTalk bietet durch die Veröffentlichung des Quellcodes auf OpenCoDE.de und die Nutzung der European Public License (EUPL) volle Transparenz.

Woran erkenne ich einen sicheren Anbieter?

Ein sicherer Anbieter einer Videokonferenzlösung sollte folgende Kriterien erfüllen:

• Serverstandort in Europa: Um den Anforderungen der DSGVO zu entsprechen, sollten die Server innerhalb der EU, idealerweise in Deutschland, liegen.
• Auftragsverarbeitungsvertrag (AVV): Ein AVV ist notwendig, um sicherzustellen, dass der Anbieter die Datenschutzrichtlinien einhält.
• On-Premise-Option: Eine Lösung, die auch in der eigenen Infrastruktur installiert werden kann, garantiert digitale Souveränität. Dies ist besonders für Unternehmen und Behörden wichtig, die volle Kontrolle über ihre Daten und Sicherheit wünschen.

OpenTalk bietet sowohl SaaS- als auch On-Premise-Lösungen an, um je nach Bedarf eine vollständige Kontrolle über Systeme, Daten und Sicherheit zu ermöglichen.