Sicherheitsrisiko Zoom

Gefahren und Anwendertipps für mehr Sicherheit mit Kollaborationstools

Werkzeuge, die die digitale Zusammenarbeit fördern, werden immer wichtiger. Man setzt sie für die Kommunikation innerhalb des Unternehmens und für externe Zusammenarbeit mit Dritten ein. Dieser Ratgeber gibt ein paar einfache Tipps für Teilnehmer und Organisatoren von Online-Meetings und IT-Administratoren, welche diese Tools im Firmennetz freigeben müssen.

Wie funktionieren Kollaborationstools wie Zoom?

Tools wie Teams, Zoom oder Webex bieten die Möglichkeit, sich miteinander zu verbinden und Sprache in Ton und Schrift, Realtime-Videos, aber auch Dateien und Bildschirminhalte miteinander auszutauschen. Zur Sicherung der Verbindung kommen unterschiedliche Verfahren zum Einsatz, deshalb ist eine genaue Evaluation des einzusetzenden Tools empfohlen. Sicherheitsrisiko Zoom

Welche Gefahren lauern bei der Verwendung von Kollaborationstools wie Zoom?

Die grösste Gefahr geht vom ungewollten Offenlegen geheimer Informationen aus. Sie hat verschiedene Ursachen. Zur Verdeutlichung nutzen wir hier Analogien mit der realen Welt:

  • Meetings auf dem Vorplatz: Werden Einladungen als Link versendet, kann sich jeder, der den Link kennt oder erraten kann, ins Meeting einwählen und alle geteilten Informationen mitlesen.
  • Geheime Dokumente auf dem Sitzungstisch: Wird beim Präsentieren vergessen, dass der eigene Bildschirm für alle Teilnehmenden einsehbar ist und es werden während des Meetings vertrauliche Informationen am Bildschirm angezeigt, können alle Teilnehmenden diese Informationen abgreifen.
  • Geheime Dokumente im Werbeversand: Die Möglichkeit Dateien zu teilen und ganze Ordner freizugeben, kann bei unvorsichtiger Anwendung dazu führen, dass geheime Informationen veröffentlicht werden.
  • Offene Türen: Werden Browserplugins genutzt, können Sicherheitsfunktionen umgangen werden.

Ratgeber für die Installation von Kollborationstools wie Zoom, für IT und Endbenutzer

In diesem Kapitel geben wir Empfehlungen für die Nutzung von Zoom. Wichtig ist, dass diese Auflistung nicht abschliessend ist, da Zoom tagtäglich weiterentwickelt wird und sich damit stetig verändert. Die folgenden Punkte sind als Sicherheitstipps zu verstehen und gelten grundsätzlich für alle Meeting-Lösungen, wenn die Funktionen verfügbar sind.

1. Unternehmensweite Vorgabe eines Colaborations-Tools

Das Unternehmen sollte festlegen, welche Anwendungen es für die Zusammenarbeit zulässt. Die Mitarbeitenden sollten in der Nutzung der Tools geschult und mit den Risiken vertraut gemacht werden. Nicht gestattete Meeting-Anwendungen sollten, beispielsweise mittels Appblocker, blockiert werden.

2. Wahl und Konfiguration des Abos

Zum sichern Betrieb von Zoom sollte Folgendes geprüft werden, um eine grundsätzliche Sicherheitsbasis zu gewährleisten. Die Massnahmen sind nicht als Hardening von Zoom zu verstehen und gelten analog auch für andere Lösungen:

3. Sicherheitsmassnahmen des Organisators

  • Wartebereich einschalten & nur authentifizierte Teilnehmer in das Meeting lassen
  • Meeting nur mit Einwahl-PIN erstellen
  • Beitritt nur authentisierten oder vertrauenswürdigen Domänen erlauben
  • Sind alle eingeladenen Personen im Meeting → virtuellen Meetingraum schliessen
  • Desktop-Sharing bewusst nutzen und vorübergehend anhalten, wenn ein neues Fenster geöffnet wird
  • Wasserzeichen für Bildschirmfreigaben einblenden
  • Keine Dokumente über Zoom teilen oder entnehmen → E-Mail nutzen

4. Sicherheitsmassnahmen der Teilnehmenden

  • Keine Dokumente über Zoom teilen oder entnehmen → E-Mail nutzen
  • Wasserzeichen für Bildschirmfreigaben einblenden
  • Desktop-Sharing vorübergehend anhalten, wenn ein neues Fenster geöffnet wird

Empfehlung zur Teilnahme:

sec&opinion der Cyberfitness Event für KMU

22. September 2020, ab 13.00 Uhr in der Hochschule Luzern

Mehr erfahren & anmelden!

Portrait Lukas Studer

Autor dieses Beitrags: Lukas Studer

Menschen sind der wichtigste Faktor, auch in der Informations-Sicherheit. Gute Technik ist nötig, um uns zu unterstützen. Entscheiden muss aber jeder selbst. Daher ist eine kontinuierliche Weiterbildung aller Mitarbeitenden enorm wichtig.