Webkonferenzen Übersicht Tool-Status

Mit dem rasanten Anstieg der Bedeutung von Konferenztools während des Corona-Lockdowns haben Fragen der Datensicherheit und des Datenschutzes dieser Tools stark an Bedeutung gewonnen. Wir haben hier Anfang April darüber berichtet. Inzwischen haben viele Anbieter hinsichtlich Sicherheit nachgebessert, namentlich auch Zoom, das ganz besonders im Fokus der Kritik der Fachpresse stand. Im Mai haben die Zoom-Entwickler noch einmal zwei Sicherheitslücken geschlossen. Dies zeigt einmal mehr, wie wichtig es ist, Software aktuell zu halten: Nur wer Updates auf seinem Rechner einspielt, kann auch von sicherheitstechnischen (und anderen) Verbesserungen profitieren. Die Vergangenheit hat gezeigt, dass dies notwendig ist. Immer wieder tauchen in Applikationen neue Fehler auf, sei es nach Weiterentwicklungen oder sei es einfach nach langer Zeit während der Fehler unentdeckt geblieben sind.

Grössere Probleme scheint den Anbietern von Konferenztools die so genannte Ende-zu-Ende-(E2E-)Verschlüsselung zu bereiten. Diese stellt sicher, dass die Betreiber der Konferenzdienste die zwischen den teilnehmenden Parteien ausgetauschten Informationen nicht mitlesen können. Gemäss Heise online bietet WebEx für Business-Kunden dieses Feature an, wobei es allerdings kaum genutzt werde. Gemäss gleicher Quelle arbeiten auch Zoom und Jitsi an der E2E-Verschlüsselung während «Microsoft, Google & Co Ende-zu-Ende-Verschlüsselung jedenfalls garantiert nicht einführen [werden]» (Zitat).

Die Hochschule Luzern strebt eine Vereinheitlichung der aktuell heterogenen Landschaft der Konferenztools an. Die Hochschulleitung hat deshalb die Abteilung Business Applications mit dem Projekt «Kollaborationsplattformen» beauftragt. Das Ziel dieses Projekts besteht darin, die zukünftig von der HSLU unterstützten Kollaborationsplattformen zu evaluieren und Nutzungshinweise dazu abzugeben. Dabei zeichnet sich schon jetzt ab, dass Zoom längerfristig zur Verfügung stehen wird. Im Gegensatz dazu wird WebEx nach dem 31. August aus lizenztechnischen Gründen von der HSLU nicht mehr unterstützt. Darüber hinaus plant IT Services im Rahmen des regulären Lifecycle-Managements die Ablösung der aktuellen Kommunikationslösung Skype for Business per Ende 2020 durch das Nachfolgeprodukt Microsoft Teams.

Die im Rahmen des Projekts erarbeiteten Ergebnisse werden auch Informationen zur Datensicherheit und zum Datenschutz beinhalten. Aktuell gelten nach wie vor die folgenden Sicherheitshinweise:

• Tools aktuell halten (aktuellste Updates herunterladen und installieren – diese Anforderung gilt generell für jede Art von Software)
• Neu: Vertrauliche Informationen oder besonders schützenswerte Personendaten nur über MS Teams austauschen.
• Einladungen (Links) respektive Zugangsinformationen (ID und Passwort) zu Konferenzen ausschliesslich den Konferenzteilnehmenden zukommen lassen und letztere bitten, die Einladungen nicht an andere Personen weiterzuleiten (zwecks Verhinderung von nicht autorisierter Teilnahme)
• Teilnehmende bitten, sich mit Vor- und Nachname einzuwählen (keine Nicknames), wenn ein Name eingegeben werden kann (zwecks Identifikation)
• Unbekannte Teilnehmende aussperren
• Teilnahme ohne Host deaktivieren
• Kamera bei Nicht-Gebrauch abdecken (grundsätzlich empfehlenswert)
• Konferenztool bei Nicht-Gebrauch ganz beenden (bei Windows im Info-Bereich rechts unten)
• In einer laufenden Konferenz keine anderen Konferenztools verwenden. Wird z.B. während einer Zoom-Konferenz von einem Teilnehmer ein Skype for Business Anruf entgegen genommen, so können die anderen Teilnehmenden der Zoom-Konferenz mithören.
• Den Fernzugriff auf den eigenen Rechner (Fernsteuerung) während einer Webkonferenz nur bei ausgewiesenem Bedarf und für einen begrenzten Zeitraum zulassen.

Konferenzteilnehmende wie folgt informieren:

• Urheber- und Persönlichkeitsrechte sowie das Recht am eigenen Bild gelten auch online. Schriftliche Materialien, Videos und andere Unterrichtsmaterialien, die in Web-Meetings gezeigt werden, dürfen nicht an Dritte weitergegeben werden.
• Web-Meetings dürfen nicht ohne das vorgängige und ausdrückliche Einverständnis aller Beteiligten aufgezeichnet werden.

Schliessen

INFORMATIONSSICHERHEIT NR. 27: ZOOM UND  ANDERE KONFERENZTOOLS MÖGLICHST SICHER NUTZEN

Aktuell berichten die Medien über gravierende Mängel beim Datenschutz und bei der Datensicherheit der Konferenzanwendung Zoom. Daher finden Mitarbeitende nachfolgend wichtige Hinweise zur Nutzung solcher Tools.

In den Medien werden derzeit insbesondere folgende Mängel von Zoom beschrieben:

• Bis Freitag, 27. März 2020 wurden bei der Benutzung der Zoom-Applikation auf Apple-Geräten, und nach einer Anmeldung mittels Facebook-Login, Informationen wie z.B. iOS Version, iOS Device Model oder die IP Adresse an Facebook weitergegeben. Bei Zoom Software-Versionen die nach Freitag 27. März 2020 veröffentlicht wurden, ist dies nicht mehr der Fall. Bei der Benutzung von Zoom mittels Browser scheinen solche Daten nie weitergeben worden zu sein [1].
• Zum jetzigen Zeitpunkt ist unklar, ob die Verschlüsselung von Konferenzdaten End-zu-End ist zwischen Konferenzteilnehmenden oder ob die Verschlüsselung lediglich zwischen Konferenzteilnehmenden und Zoom-Server besteht [2].
• Unbekannte können sich in laufende Videokonferenzen einwählen, um z.B. verstörende Inhalte den Konferenzteilnehmenden anzuzeigen (sog. «Zoombombing»).
• Am 1. April 2020 wurde in der Zoom-Applikation für Apple-Geräte eine Schwachstelle entdeckt, welche theoretisch einen ungewollten Zugriff auf die Webcam ermöglicht. Zurzeit ist nicht bekannt, dass diese Schwachstelle bereits aktiv ausgenutzt worden ist [3].
• Die Chat-Funktion kann missbraucht werden, um an Windows-Login-Informationen zu gelangen [4]. Zoom hat die Schwachstelle anerkannt und ist an der Erarbeitung einer Lösung.
• Der Hersteller von Zoom hatte in der Vergangenheit bei der Behebung von Problemen in den Bereichen Datenschutz und Datensicherheit nachlässig gehandelt.

Die hier beschriebenen Probleme betreffen offensichtlich nicht nur die Konferenzanwendung Zoom. In [5] wird der IT-Fachanwalt Stephan Hansen-Oest wie folgt zitiert: „Selbst bei einem vermeintlich sicheren Tool wie Jitsi werden in den iOS Apps ungefragt – und ohne Informationen – Server von Google in den USA und Tracking-Dienste aus den USA aufgerufen.“

Diese Hinweise sind äusserst ernst zu nehmen. Die Abteilung IT Services der Hochschule Luzern untersucht nun die beschriebenen Probleme und sucht nach angemessenen Gegenmassnahmen bzw. Alternativen. Zumindest die Probleme betreffend Vertraulichkeit sind im Unterrichtsumfeld weniger gravierend; und gemäss neuesten Informationen verzichtet Zoom inzwischen auf die Weitergabe von Benutzerdaten.

• Keine vertraulichen Informationen oder Angaben über Personen, die datenschutzrechtlich sehr heikel sind (besonders schützenswerte Personendaten), im Rahmen von virtuellen Konferenzen austauschen.
• Einladungen zu virtuellen Konferenzen ausschliesslich den Konferenzteilnehmenden zukommen lassen und letztere bitten, die Einladungen nicht an andere Personen weiterzuleiten (zwecks Verhinderung der nicht autorisierten Teilnahme).

Für Zoom gilt im Besonderen:

• Keine Links, die nicht nachweislich auf ein bekanntes Dokument / eine sichere Webseite zeigen, via Chat verschicken oder aus dem Chat selektieren.

IT Services wird laufend über die Entwicklungen im Bereich Sicherheit von Konferenztools auf der entsprechenden Helpdesk-Seite informieren.

Quellen (online am 02.04.2020):

1. https://www.theverge.com/2020/4/1/21202584/zoom-security-privacy-issues-video- conferencing-software-coronavirus-demand-response
2. https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings- webinars/
3. https://www.securitynewspaper.com/2020/04/01/zoom-vulnerability-allows-hacking-users-webcam-and-microphone/
4. https://www.bleepingcomputer.com/news/security/zoom-client-leaks-windows-login-credentials-to-attackers/
5. https://www.handelsblatt.com/technik/it-internet/it-branche-neue-datenschutz-vorwuerfe-gegen-videodienst-zoom/25700760.html?ticket=ST-928347-fHBYJ6uvWZOKcfkd2Wlv-ap2

Kontaktperson:
Portmann Armand
HSLU I
Dozent Informatik

Schliessen

Der Betrieb von Zoom, ausserhalb des HSLU-Netzwerks und ohne VPN, ist nur in der Verbindung mit Multi-Factor Authentication (MFA) möglich. Auf dem Campus oder mit einer VPN-Verbindung funktioniert Zoom ohne MFA.

Wichtiger Hinweis: Bitte Aufzeichnungen in der Zoom-Cloud löschen, wenn diese nicht mehr benötigt werden, damit die maximale Speicherkapazität nicht erreicht wird.

Schliessen

Schliessen