Security Tipps zum Einsatz von Collaboration-Tools

Portrait von secnovum
Von secnovum

Tools wie Teams, Zoom oder Webex bieten die Möglichkeit, sich miteinander zu verbinden und Sprache in Ton und Schrift, Realtime-Videos aber auch Dateien und Bildschirminhalte miteinander auszutauschen. Zur Sicherung der Verbindung kommen unterschiedliche Verfahren zum Einsatz, deshalb ist eine genaue Evaluation des einzusetzenden Tools empfohlen.

Dieser Beitrag wurde von Lukas Studer für secnovum verfasst.

Welche Gefahren gehen von Collaboration-Tools aus?

Die grösste Gefahr geht vom ungewollten Offenlegen geheimer Informationen aus. Sie hat verschiedene Ursachen. Zur Verdeutlichung nutzen wir hier Analogien mit der realen Welt:

  • Meetings auf dem Vorplatz: Werden Einladungen als Link versendet, kann sich jeder, der den Link kennt oder erraten kann, ins Meeting einwählen und alle geteilten Informationen mitlesen.
  • Geheime Dokumente auf dem Sitzungstisch: Wird beim Präsentieren vergessen, dass der eigene Bildschirm für alle Teilnehmer einsehbar ist und es werden während des Meetings vertrauliche Informationen am Bildschirm angezeigt, können die alle Teilnehmer abgreifen.
  • Geheime Dokumente im Werbeversand: Die Möglichkeit Dateien zu teilen und ganze Ordner freizugeben, kann bei unvorsichtiger Anwendung dazu führen, dass geheime Informationen veröffentlicht werden.
  • Offene Türen: Werden Browserplugins genutzt, können Sicherheitsfunktionen umgangen werden.

00_Secnovum-Collaboration-Tools-720x550

Good Practice Guide für IT und Endbenutzer am Beispiel von Zoom

In diesem Kapitel wird die Empfehlung für die Nutzung von Zoom abgegeben. Wichtig ist, dass dieses Dokument nicht abschliessend ist, da die Lösung tagtäglich weiterentwickelt wird. Die folgenden Punkte sind als Sicherheitstipps zu verstehen und gelten grundsätzlich für alle Meeting-Lösungen, wenn die Funktionen verfügbar sind.

Ein Collaboration-Tool unternehmensweit bestimmen

Das Unternehmen sollte festlegen, welche Anwendungen es für Collaboration zulässt. Die Mitarbeitenden sollten in der Nutzung der Tools geschult und mit den Risiken vertraut gemacht werden. Nicht gestattete Meeting-Anwendungen sollten, beispielsweise mittels Applocker, blockiert werden.

Basis-Einstellungen durch die IT-Abteilung

Zum sichern Betrieb von Zoom sollte Folgendes geprüft werden, um eine grundsätzliche Sicherheitsbasis zu gewährleisten. Die Massnahmen sind nicht als Hardening von Zoom zu verstehen und gelten analog auch für andere Lösungen:

Empfehlungen für den Meeting Organisator/Hoster

  • Wartebereich einschalten & nur authentifizierte Teilnehmer in das Meeting lassen
  • Meeting nur mit Einwahl-PIN erstellen.
  • Beitritt nur authentisierten oder vertrauenswürdigen Domänen erlauben.
  • Sind alle Eingeladenen im Meeting -> virtuellen Meetingraum schliessen.
  • Desktop-Sharing bewusst nutzen und vorübergehend anhalten, wenn ein neues Fenster geöffnet wird.
  • Wasserzeichen für Bildschirmfreigaben einblenden.
  • Keine Dokumente über Zoom teilen oder entnehmen → E-Mail nutzen.

Empfehlungen für Meeting Teilnehmer

  • Keine Dokumente über Zoom teilen oder entnehmen → E-Mail nutzen.
  • Wasserzeichen für Bildschirmfreigaben einblenden.
  • Desktop-Sharing vorübergehend anhalten, wenn ein neues Fenster geöffnet wird.