Homeoffice und mobiles Arbeiten sind über Nacht zum neuen Standard geworden, der die verschiedensten Herausforderungen mit sich bringt, besonders was die Kommunikation betrifft.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt ganz aktuell Hinweise an die Hand, um die sichere Kommunikation über Konferenzsoftwares, wie beispielsweise Microsoft Teams, zu gewährleisten und Informationsdiebstahl und Abhörung zu verhindern. (Mehr dazu finden Sie direkt beim BSI.)
Sichern Sie Ihr Home Netzwerk
Bevor Sie sich allerdings um die Sicherheit der Konferenzsoftware kümmern, nicht vergessen: das heimische Netzwerk und Ihr Internetzugang sind in aller Regel nicht so abgesichert, wie es das überwachte und fachlich kompetent administrierte Netzwerk Ihres Unternehmens ist.
Daher gilt, ehe Sie sich mit Ihrem Firmennetzwerk – auch über ein VPN – verbinden, sollten Sie Ihren eigenen Zugang absichern. Ein Standard-Router-Passwort ist hier bereits die erste verbesserungswürdige Schwachstelle. Stellen Sie sicher, dass das Passwort Ihres Routers ausreichend lang und komplex ist.
Prüfen Sie auch Ihre Netzwerkeinstellungen. Wenn Ihr Heimnetzwerk auch als solches konfiguriert ist, sind zahlreiche sicherheitsrelevante Einstellungen in Bezug auf Dateizugriff und Schnittstellen aller im Netzwerk befindlichen Geräten so eingestellt, dass sie eventuellen Angreifern eine ideale Angriffsplattform bieten.
Achten Sie darauf, dass die von Ihnen genutzten Programme, insbesondere Anti-Malware-Programme, Firewalls und natürlich auch die genutzte Konferenzsoftware selbst, aktuell sind. Unabhängig davon, ob es gerade in den Arbeitsablauf passt oder nicht: Patches und Aktualisierungen bewirken nicht nur funktionelle Verbesserungen, sondern sehr häufig auch das Schließen von Sicherheitslücken.
Ihr Gerät kann eine Angriffslücke darstellen
Wenn Sie Ihr eigenes privates Endgerät für die Arbeit im Homeoffice nutzen, verhält es sich mit der Gerätesicherung sehr ähnlich zur Netzwerkabsicherung. Viren, Keylogger, Trojaner und sonstige Schadsoftware können bereits auf Ihrem privaten Gerät vorhanden sein und bei einer Verbindung mit dem Firmennetzwerk Daten und Informationen abschöpfen oder das Netzwerk, in das Sie sich einwählen weiter infizieren – bis hin zu Geräten und Servern des Unternehmens.
Erst nachdem Sie diese grundlegenden Sicherheitslücken geschlossen haben, greifen die Maßnahmen zur Absicherung der Konferenzsoftware.
Wie hoch ist der Schutzbedarf für die Software & wie sicher ist sicher?
Der Schutzbedarf der Software ergibt sich aus den potenziellen Inhalten, die in den Konferenzen besprochen werden. Je sensibler und schützenswerter die Informationen sind, umso stärker ist natürlich die geforderte bereitzustellende Absicherung. Allein das Abhören und Mitschneiden der Konferenzen stellt ein erhebliches Sicherheitsrisiko dar.
Hardwareseitig ist es hier möglich über präparierte Anschlüsse und Anschlussgeräte illegal die Inhalte der Konferenzgespräche und Chats abzugreifen bzw. mitzuschneiden. Es empfiehlt sich daher an Ihrem Gerät zu prüfen, ob sich fremde Anschlussgeräte daran befinden. Besser noch wäre es, wenn jegliche nicht permanent genutzten Anschlüsse (insbesondere USB-Ports) komplett gesperrt werden, um das Anbringen manipulierter Anschlussgeräte nutzlos zu machen.
Besonders Kamera und Mikrofon können über das Netzwerk mitgeschnitten und abgehört werden. Bei externen Webcams übersehen häufig viele Nutzer, dass diese Geräte über eigene IP-Adressen verfügen und damit entsprechend als Einzelgeräte über ein Netzwerk angesprochen werden können. Auch sind viele Webcams mit Zugriffsprofilen und entsprechend auch mit Standardnutzer- bzw. Administratorenprofilen und Passworten versehen, die in den meisten Fällen sehr leicht zu umgehen sind. Sichern Sie also die Übertragung von Video- und Audiosignalen. Nicht umsonst sehen Sie häufig abgeklebte Webcams und Mikrofoneingänge.
Auch jegliche Standardprofile innerhalb der genutzten Software sollten bei der Nutzung über bspw. Unternehmensprofile grundsätzlich blockiert bzw. gesperrt werden. Damit verhindern Sie Hackerangriffe und das Eindringen in das System über diese Profile.
Sicherheitslücke Konferenzaufzeichnungen
Ein kritischer Aspekt ist die Speicherung von Konferenzaufzeichnungen durch die Konferenzteilnehmer. Solche Aufzeichnungen, die zur späteren Referenz dienen sollen oder zum Nachhören/-schauen zur Verfügung gestellt werden, sind zwar gut gemeint, aber ebenso hochwertvolles Ziel für potenzielle Angreifer. Ganz speziell die Verfügbarmachung aller – auch von extern aus dem Homeoffice – zugreifender Personen ist ein kritischer Punkt. Die Archivierung sollte daher nur verschlüsselt mit entsprechender Zugriffsbeschränkung erfolgen. Für den externen Zugriff auf das Archiv sollte eine Authentifizierung – idealerweise über mehrere Faktoren erfolgen.
Fazit
Insgesamt veröffentlicht das BSI gewohnt bedächtige Hinweise und Anforderungen, um mit der Nutzung von Konferenzsoftware möglichst sicher zu bleiben. Viele Sicherheitsanforderungen haben sich umgestellt, andere sind durch die Herausforderungen der Corona-Pandemie neu hinzugekommen. Mit entsprechender Vor- und Weitsicht sind Sie allerdings auch für diese neuen Herausforderungen bestens gewappnet.
Consulting-Angebot: Investieren Sie Zeit in Sicherheit
Das Anlegen eines „Verzeichnisses von Verarbeitungstätigkeiten“ ist mit Inkrafttreten der DSGVO nicht nur notwendig, sondern auch sinnvoll für den sicheren Betrieb eigener Prozesse. In den meisten Unternehmen und Institutionen sind diese Verzeichnisse erstellt. Doch wie vollständig, korrekt und aktuell sind sie?
Mit einer strukturierten Befragung durch Datenschutzspezialisten können Sie Ihre Dokumente, Policies, Datenschutz- und IT-Sicherheitsrichtlinien reviewen und vervollständigen.
Der Vorteil: Diese Befragungen lassen sich ideal über Webmeetings realisieren. Das SoftEd Security-Team unterstützt Sie gern dabei.
Jetzt kurzfristige Termine anfragen unter security@softed.de.
