Dieser Beitrag wurde von Lukas Studer der first frame networkers ag für secnovum verfasst.
Tools wie Teams, Zoom oder Webex bieten die Möglichkeit, sich miteinander zu verbinden und Sprache in Ton und Schrift, Realtime-Videos aber auch Dateien und Bildschirminhalte miteinander auszutauschen. Zur Sicherung der Verbindung kommen unterschiedliche Verfahren zum Einsatz, deshalb ist eine genaue Evaluation des einzusetzenden Tools empfohlen.
Welche Gefahren gehen von Collaboration-Tools aus?
Die grösste Gefahr geht vom ungewollten Offenlegen geheimer Informationen aus. Sie hat verschiedene Ursachen. Zur Verdeutlichung nutzen wir hier Analogien mit der realen Welt:
- Meetings auf dem Vorplatz: Werden Einladungen als Link versendet, kann sich jeder, der den Link kennt oder erraten kann, ins Meeting einwählen und alle geteilten Informationen mitlesen.
- Geheime Dokumente auf dem Sitzungstisch: Wird beim Präsentieren vergessen, dass der eigene Bildschirm für alle Teilnehmer einsehbar ist und es werden während des Meetings vertrauliche Informationen am Bildschirm angezeigt, können die alle Teilnehmer abgreifen.
- Geheime Dokumente im Werbeversand: Die Möglichkeit Dateien zu teilen und ganze Ordner freizugeben, kann bei unvorsichtiger Anwendung dazu führen, dass geheime Informationen veröffentlicht werden.
- Offene Türen: Werden Browserplugins genutzt, können Sicherheitsfunktionen umgangen werden.
Good Practice Guide für IT und Endbenutzer am Beispiel von Zoom
In diesem Kapitel wird die Empfehlung für die Nutzung von Zoom abgegeben. Wichtig ist, dass dieses Dokument nicht abschliessend ist, da die Lösung tagtäglich weiterentwickelt wird. Die folgenden Punkte sind als Sicherheitstipps zu verstehen und gelten grundsätzlich für alle Meeting-Lösungen, wenn die Funktionen verfügbar sind.
Ein Collaboration-Tool unternehmensweit bestimmen
Das Unternehmen sollte festlegen, welche Anwendungen es für Collaboration zulässt. Die Mitarbeitenden sollten in der Nutzung der Tools geschult und mit den Risiken vertraut gemacht werden. Nicht gestattete Meeting-Anwendungen sollten, beispielsweise mittels Applocker, blockiert werden.
Basis-Einstellungen durch die IT-Abteilung
Zum sichern Betrieb von Zoom sollte Folgendes geprüft werden, um eine grundsätzliche Sicherheitsbasis zu gewährleisten. Die Massnahmen sind nicht als Hardening von Zoom zu verstehen und gelten analog auch für andere Lösungen:
- Empfohlenes Abo: Zoom Business, hier sind alle sicherheitsspezifischen Features vorhanden
- Aktuelle "Zoom-Client für Meetings" ausrollen und falls möglich: Zoom-Webclient unterbinden
- Sicherheitsrelevante Einstellung über GPO durchsetzen
- GPO und Zoom Client aktuell halten: Release Notes periodisch prüfen
- Release-Management der App führen
- Übersicht der aktuellen Zoom-Nutzer führen und Nutzer über die sichere Nutzung informieren
Empfehlungen für den Meeting Organisator/Hoster
- Wartebereich einschalten & nur authentifizierte Teilnehmer in das Meeting lassen
- Meeting nur mit Einwahl-PIN erstellen.
- Beitritt nur authentisierten oder vertrauenswürdigen Domänen erlauben.
- Sind alle Eingeladenen im Meeting -> virtuellen Meetingraum schliessen.
- Desktop-Sharing bewusst nutzen und vorübergehend anhalten, wenn ein neues Fenster geöffnet wird.
- Wasserzeichen für Bildschirmfreigaben einblenden.
- Keine Dokumente über Zoom teilen oder entnehmen → E-Mail nutzen.
Empfehlungen für Meeting Teilnehmer
- Keine Dokumente über Zoom teilen oder entnehmen → E-Mail nutzen.
- Wasserzeichen für Bildschirmfreigaben einblenden.
- Desktop-Sharing vorübergehend anhalten, wenn ein neues Fenster geöffnet wird.