Tools wie Teams, Zoom oder Webex bieten die Möglichkeit, sich miteinander zu verbinden und Sprache in Ton und Schrift, Realtime-Videos aber auch Dateien und Bildschirminhalte miteinander auszutauschen. Zur Sicherung der Verbindung kommen unterschiedliche Verfahren zum Einsatz, deshalb ist eine genaue Evaluation des einzusetzenden Tools empfohlen.
Die grösste Gefahr geht vom ungewollten Offenlegen geheimer Informationen aus. Sie hat verschiedene Ursachen. Zur Verdeutlichung nutzen wir hier Analogien mit der realen Welt:
Meetings auf dem Vorplatz: Werden Einladungen als Link versendet, kann sich jeder, der den Link kennt oder erraten kann, ins Meeting einwählen und alle geteilten Informationen mitlesen.
Geheime Dokumente auf dem Sitzungstisch: Wird beim Präsentieren vergessen, dass der eigene Bildschirm für alle Teilnehmer einsehbar ist und es werden während des Meetings vertrauliche Informationen am Bildschirm angezeigt, können die alle Teilnehmer abgreifen.
Geheime Dokumente im Werbeversand: Die Möglichkeit Dateien zu teilen und ganze Ordner freizugeben, kann bei unvorsichtiger Anwendung dazu führen, dass geheime Informationen veröffentlicht werden.
Offene Türen: Werden Browserplugins genutzt, können Sicherheitsfunktionen umgangen werden.
In diesem Kapitel wird die Empfehlung für die Nutzung von Zoom abgegeben. Wichtig ist, dass dieses Dokument nicht abschliessend ist, da die Lösung tagtäglich weiterentwickelt wird. Die folgenden Punkte sind als Sicherheitstipps zu verstehen und gelten grundsätzlich für alle Meeting-Lösungen, wenn die Funktionen verfügbar sind.
Das Unternehmen sollte festlegen, welche Anwendungen es für Collaboration zulässt. Die Mitarbeitenden sollten in der Nutzung der Tools geschult und mit den Risiken vertraut gemacht werden. Nicht gestattete Meeting-Anwendungen sollten, beispielsweise mittels Applocker, blockiert werden.
Zum sichern Betrieb von Zoom sollte Folgendes geprüft werden, um eine grundsätzliche Sicherheitsbasis zu gewährleisten. Die Massnahmen sind nicht als Hardening von Zoom zu verstehen und gelten analog auch für andere Lösungen:
Empfohlenes Abo: Zoom Business, hier sind alle sicherheitsspezifischen Features vorhanden
Aktuelle "Zoom-Client für Meetings" ausrollen und falls möglich: Zoom-Webclient unterbinden
GPO und Zoom Client aktuell halten: Release Notes periodisch prüfen
Release-Management der App führen
Übersicht der aktuellen Zoom-Nutzer führen und Nutzer über die sichere Nutzung informieren
Wartebereich einschalten & nur authentifizierte Teilnehmer in das Meeting lassen
Meeting nur mit Einwahl-PIN erstellen.
Beitritt nur authentisierten oder vertrauenswürdigen Domänen erlauben.
Sind alle Eingeladenen im Meeting -> virtuellen Meetingraum schliessen.
Desktop-Sharing bewusst nutzen und vorübergehend anhalten, wenn ein neues Fenster geöffnet wird.
Wasserzeichen für Bildschirmfreigaben einblenden.
Keine Dokumente über Zoom teilen oder entnehmen → E-Mail nutzen.
Keine Dokumente über Zoom teilen oder entnehmen → E-Mail nutzen.
Wasserzeichen für Bildschirmfreigaben einblenden.
Desktop-Sharing vorübergehend anhalten, wenn ein neues Fenster geöffnet wird.