von Redaktion IT-A…
Lesezeit
2 Minuten
Seite 2 - Sicherheit bei Videokonferenz-Systemen
Ungeschützte oder unkontrollierte Verschlüsselungsendpunkte
Wird innerhalb einer Videokonferenz verschlüsselt kommuniziert, gibt es in vielen Fällen zwischen den Konferenzteilnehmern zusätzliche Zwischenstationen, die Verschlüsselungsendpunkte realisieren. Beispiel hierfür ist zum Beispiel eine MCU (Multipoint Control Unit), die die Verschlüsselung von Medienströmen terminiert, um auf deren Inhalt zugreifen zu können und so beispielsweise Bildanpassungen vorzunehmen. Werden solche Verschlüsselungsendpunkte nicht ausreichend geschützt, bieten sie Angreifern eine Möglichkeit, verschlüsselte Konferenzen abzuhören.
Solche Verschlüsselungsendpunkte können sich auch in einer Cloud befinden, wenn etwa die MCU in einer Cloud liegt. Dadurch sind diese Verschlüsselungsendpunkte schwerer oder schlimmstenfalls gar nicht kontrollierbar. Besonders Systeme mit den traditionellen H.323- oder SIP-Protokollen gelten als gefährdet, da sie nicht Ende-zu-Ende verschlüsseln, sondern nur von Endgerät bis zum Server (MCU).
Gesetzliche Rahmenbedingungen
Gesetzliche Rahmenbedingungen beziehen sich typischerweise auf den Datenschutz, also den Schutz der persönlichen Daten der Teilnehmer, weniger auf die Inhalte einer Kommunikation und die technischen Möglichkeiten, Angriffe darauf zu verhindern. Bereits vor dem EuGH Urteil zu Schrems II und dem Privacy Shield Abkommen zwischen der EU und den USA am 16. Juli 2020 war klar, dass alle Abkommen in Bezug auf die Datenübertragung in ein Drittland, die einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU, auf die USA auf Grund der dortigen Rechtslage nicht zutreffen können.
Die überwiegend aus den USA kommenden Videokonferenzanbieter sind seit dem sogenannten Schrems-II-Urteil durch den Europäischen Gerichtshof von 2020 nicht mehr datenschutzkonform. Der EuGH erklärte damit den Angemessenheitsbeschluss der EU-Kommission zum EU-US-Datenschutzschild (Privacy-Shield-Beschluss 2016/1250) für ungültig. Dadurch wurde die Übermittlung von personenbezogenen Daten in die USA unter dem Datenschutzschild rechtlich unzulässig.
Auch wenn die Server dieser Anbieter in Europa oder Deutschland stehen, enthält die Software gemäß amerikanischer Gesetzgebung immer eine sogenannte Backdoor, über die amerikanische Geheimdienste ohne Gerichtsbeschluss und ohne Information der Betroffenen Zugriff auf die Inhalte bekommen. Somit laufen Anwender Gefahr, durch die Nutzung von US-Cloudanbietern gegen EU-Recht zu verstoßen. Immer mehr weiten die Aufsichtsbehörden ihre Ermittlungen dazu aus und hohe Bußgelder drohen.
Echte Ende-zu-Ende Verschlüsselung
Des Weiteren bietet nahezu kein Hersteller eine standardmäßige Ende-zu-Ende-Verschlüsselung aller Teilnehmer in Gruppenkonferenzen an. Die Verschlüsselung findet dort jeweils nur bis zum Server statt. Und der kann wiederum Angriffen ausgesetzt werden und dadurch die Inhalte der Kommunikation offenlegen.
Als echte Ende-zu-Ende-Verschlüsselung gilt nur, wenn die durchgängige Verschlüsselung übertragener Daten über alle Endpunkte hinweg erfolgt und nur die jeweiligen Endpunkte der Kommunikation die Nachricht entschlüsseln können. Die Ende-zu-Ende-Verschlüsselung bei einer Videokonferenz stellt sicher, dass nur Befugte teilnehmen und die Inhalte entziffern können. Nur so lassen sich Vertraulichkeit, Authentizität und Integrität sicherstellen.
Verschlüsselungsmethoden gibt es zahlreich. Die komplexeste und sicherste für Videokonferenzen ist der Diffie-Hellman-Schlüsselaustausch, auch exponentieller Schlüsselaustausch genannt. Er ist eine digitale Verschlüsselungsmethode. Die dabei verwendeten Entschlüsselungs-Keys werden aus nicht übermittelten Komponenten berechnet, sodass eine Entschlüsselung durch einen Angreifer mathematisch praktisch unmöglich ist.
Zusammen mit einer allgemein akzeptierten Authentifizierungsmethode wie digitalen Signaturen, um die Identität der Kommunikationspartner über öffentliche Netze überprüfen zu können, hat sich diese Methodik bei der Onlinekommunikation bewährt. Europäische Anbieter, die von der ANSSI gemäß CSPN für diese Verschlüsselungsmethode zertifiziert sind, fallen nicht unter die Schrems-II-Restriktionen, sind also zu 100 Prozent DSGVO-konform.
Fazit
Durch die Corona-Lockdowns ist die Zahl der Videokonferenzen exponentiell gestiegen. In der gebotenen Eile waren viele Unternehmen bei der Wahl der Anwendung aber nicht sonderlich wählerisch und griffen auf einen Anbieter zurück, die nicht DSGVO-konform sind und keine Ende-zu-Ende-Verschlüsselung bieten. Zertifiziert sichere und zu 100 Prozent DSGVO-konforme Videokonferenz-Techniken, oft als SaaS verfügbar, können hier einen Weg aus der Sackgasse bilden.
Seite 1: Mit der Pandemie wird Sicherheit zum Thema
Seite 2: Echte Ende-zu-Ende Verschlüsselung
ln/Valentin Boussin, Country Manager TIXEO Deutschland
Wird innerhalb einer Videokonferenz verschlüsselt kommuniziert, gibt es in vielen Fällen zwischen den Konferenzteilnehmern zusätzliche Zwischenstationen, die Verschlüsselungsendpunkte realisieren. Beispiel hierfür ist zum Beispiel eine MCU (Multipoint Control Unit), die die Verschlüsselung von Medienströmen terminiert, um auf deren Inhalt zugreifen zu können und so beispielsweise Bildanpassungen vorzunehmen. Werden solche Verschlüsselungsendpunkte nicht ausreichend geschützt, bieten sie Angreifern eine Möglichkeit, verschlüsselte Konferenzen abzuhören.
Solche Verschlüsselungsendpunkte können sich auch in einer Cloud befinden, wenn etwa die MCU in einer Cloud liegt. Dadurch sind diese Verschlüsselungsendpunkte schwerer oder schlimmstenfalls gar nicht kontrollierbar. Besonders Systeme mit den traditionellen H.323- oder SIP-Protokollen gelten als gefährdet, da sie nicht Ende-zu-Ende verschlüsseln, sondern nur von Endgerät bis zum Server (MCU).
Gesetzliche Rahmenbedingungen
Gesetzliche Rahmenbedingungen beziehen sich typischerweise auf den Datenschutz, also den Schutz der persönlichen Daten der Teilnehmer, weniger auf die Inhalte einer Kommunikation und die technischen Möglichkeiten, Angriffe darauf zu verhindern. Bereits vor dem EuGH Urteil zu Schrems II und dem Privacy Shield Abkommen zwischen der EU und den USA am 16. Juli 2020 war klar, dass alle Abkommen in Bezug auf die Datenübertragung in ein Drittland, die einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU, auf die USA auf Grund der dortigen Rechtslage nicht zutreffen können.
Die überwiegend aus den USA kommenden Videokonferenzanbieter sind seit dem sogenannten Schrems-II-Urteil durch den Europäischen Gerichtshof von 2020 nicht mehr datenschutzkonform. Der EuGH erklärte damit den Angemessenheitsbeschluss der EU-Kommission zum EU-US-Datenschutzschild (Privacy-Shield-Beschluss 2016/1250) für ungültig. Dadurch wurde die Übermittlung von personenbezogenen Daten in die USA unter dem Datenschutzschild rechtlich unzulässig.
Auch wenn die Server dieser Anbieter in Europa oder Deutschland stehen, enthält die Software gemäß amerikanischer Gesetzgebung immer eine sogenannte Backdoor, über die amerikanische Geheimdienste ohne Gerichtsbeschluss und ohne Information der Betroffenen Zugriff auf die Inhalte bekommen. Somit laufen Anwender Gefahr, durch die Nutzung von US-Cloudanbietern gegen EU-Recht zu verstoßen. Immer mehr weiten die Aufsichtsbehörden ihre Ermittlungen dazu aus und hohe Bußgelder drohen.
Echte Ende-zu-Ende Verschlüsselung
Des Weiteren bietet nahezu kein Hersteller eine standardmäßige Ende-zu-Ende-Verschlüsselung aller Teilnehmer in Gruppenkonferenzen an. Die Verschlüsselung findet dort jeweils nur bis zum Server statt. Und der kann wiederum Angriffen ausgesetzt werden und dadurch die Inhalte der Kommunikation offenlegen.
Als echte Ende-zu-Ende-Verschlüsselung gilt nur, wenn die durchgängige Verschlüsselung übertragener Daten über alle Endpunkte hinweg erfolgt und nur die jeweiligen Endpunkte der Kommunikation die Nachricht entschlüsseln können. Die Ende-zu-Ende-Verschlüsselung bei einer Videokonferenz stellt sicher, dass nur Befugte teilnehmen und die Inhalte entziffern können. Nur so lassen sich Vertraulichkeit, Authentizität und Integrität sicherstellen.
Verschlüsselungsmethoden gibt es zahlreich. Die komplexeste und sicherste für Videokonferenzen ist der Diffie-Hellman-Schlüsselaustausch, auch exponentieller Schlüsselaustausch genannt. Er ist eine digitale Verschlüsselungsmethode. Die dabei verwendeten Entschlüsselungs-Keys werden aus nicht übermittelten Komponenten berechnet, sodass eine Entschlüsselung durch einen Angreifer mathematisch praktisch unmöglich ist.
Zusammen mit einer allgemein akzeptierten Authentifizierungsmethode wie digitalen Signaturen, um die Identität der Kommunikationspartner über öffentliche Netze überprüfen zu können, hat sich diese Methodik bei der Onlinekommunikation bewährt. Europäische Anbieter, die von der ANSSI gemäß CSPN für diese Verschlüsselungsmethode zertifiziert sind, fallen nicht unter die Schrems-II-Restriktionen, sind also zu 100 Prozent DSGVO-konform.
Fazit
Durch die Corona-Lockdowns ist die Zahl der Videokonferenzen exponentiell gestiegen. In der gebotenen Eile waren viele Unternehmen bei der Wahl der Anwendung aber nicht sonderlich wählerisch und griffen auf einen Anbieter zurück, die nicht DSGVO-konform sind und keine Ende-zu-Ende-Verschlüsselung bieten. Zertifiziert sichere und zu 100 Prozent DSGVO-konforme Videokonferenz-Techniken, oft als SaaS verfügbar, können hier einen Weg aus der Sackgasse bilden.
Seite 2: Echte Ende-zu-Ende Verschlüsselung
| << Vorherige Seite | Seite 2 von 2 |
ln/Valentin Boussin, Country Manager TIXEO Deutschland
