Sichere Videokonferenzsysteme

Videokonferenz

Videokonferenzsysteme haben sich in den letzten Jahren im Bereich Funktionsumfang und Komfort sehr weiterentwickelt. Gerade in der aktuellen COVID-19-Krise ist die Nachfrage nach Videokonferenzsysteme stark gestiegen und ist für viele Firmen ein wichtiges Werkzeug für den täglichen Arbeitsablauf. Eine Konferenz per Web-Anwendung mit Sprache und Video in Verbindung mit Chat und dem Teilen von Desktops und Anwendungen bis hin zur gemeinsamen Bearbeitung von Dokumenten mit einer einzigen Plattform ist mittlerweile problemlos möglich und ersetzt in manchen Bereichen komplett die klassische Telefonkonferenz und E-Mail-Kommunikation. Ein solches Videokonferenzsystem kann betriebssystemübergreifend eingesetzt werden egal ob Windows-PC, iMac von Apple oder das Handy (iPhone oder Android).

Kurzum, es gibt offensichtlich nur Vorteile, solch ein System einzusetzen. Das allerdings nur die halbe Wahrheit, denn die Nutzung vieler Videokonferenzsysteme ist möglicherweise datenschutzrechtlich problematisch. Das Beispiel der Negativ-Schlagzeilen des beliebten US-Amerikanischen Anbieters Zoom Video Communications zeigt, dass in der Praxis noch große Unsicherheit im Umgang mit der Datenschutzgrundverordnung (DSGVO) herrscht beim Einsatz sicherer Videokonferenzsysteme. Dabei bieten die für den Datenschutz verantwortlichen Behörden aktuell keine große Unterstützung und stellen nur sehr allgemein formulierte Hinweise und FAQs wie z. B. der Hamburgische Datenschutzbeauftragte zur Verfügung.

Datenschutzrelevante Anforderungen

Die DSGVO beschreibt den Datenschutz für technische Einrichtungen u. a. in Art. 25. Daher sollten folgende datenschutzrelevanten Anforderungen bei der Auswahl des Videokonferenzsystems beachtet werden:

  • EU-Anbieter immer vorziehen, nur diese Anbieter unterliegen der DSGVO-Anforderungen
  • Verschlüsselte Verbindung der Kommunikation
  • Bildschirmübertragung müssen eine Zustimmung voraussetzen
  • Gesprächsverläufe und Aufzeichnungen sollten nach Gesprächsende gelöscht werden können bzw. sicher abgelegt werden
  • Geschäftliche Nutzung muss verfügbar sein, da hierfür auch andere Datenschutzregeln seitens des Anbieters gelten als bei privater Nutzung
  • Abschluss eines Auftragsverarbeitungsvertrages mit dem Anbieter
  • Angaben zu den technischen und organisatorischen Maßnahmen des Anbieters müssen zur Verfügung gestellt werden

BSI veröffentlicht Kompendium für Videokonferenzsysteme

Eine sehr gute Unterstützung bei der Einführung eines Videokonferenzsystems bietet das aktuell vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Kompendium für Videokonferenzsysteme. Es richtet sich an Entscheider, Planer, Beschaffer, Betreiber, Administratoren, Auditoren und auch Endnutzer, die über die Videokonferenzlösung Inhalte bzw. Informationen mit normalem und erhöhtem Schutzbedarf austauschen wollen. Dabei orientiert sich die Vorgehensweise und Struktur des Kompendiums am BSI IT-Grundschutz-Kompendium.

Das Kompendium für Videokonferenzsysteme soll bei der Absicherung aktueller Videokonferenzlösungen über den gesamten Lebenszyklus von der Planung bis zum Rückbau unterstützen und berücksichtigt dabei insbesondere auch Bereiche mit erhöhtem Schutzbedarf. In 9 Kapiteln werden Themen beschrieben, wie die Betrachtung zum Funktionsumfang, der technische Aufbau moderner Videokonferenzsysteme, operative Aspekte (Planung, Nutzung und Betrieb) sowie die Analyse der Gefährdungslage, Sicherheitsanforderungen und Umsetzungsempfehlungen. Weiterhin werden im letzten Kapitel Hilfsmittel zur Beschaffung einer Videokonferenzlösung bereitgestellt, die Auswahlkriterien und ein Beispiel für ein Leistungsverzeichnis liefern.

Mozilla’s Firefox Monitor prüft und informiert über gestohlene Daten

Firefox Monitor prüft und informiert über gestohlene Daten

Mozilla´s neuer in Zusammenarbeit mit Troy Hunt’s “Have I Been Pwned” vorgestellter Dienst namens Firefox Monitor prüft, ob persönliche Daten wie eine E-Mail-Adresse zum Beispiel nach einem Hack im Internet veröffentlicht wurde.

Über die Webseite https://monitor.firefox.com gelangt Ihr auf direktem Wege zum neuen Tool und könnt mit der Prüfung beginnen. Im oberen Bereich der Website könnt Ihr Eure E-Mailadresse eingeben und mit einem Klick auf den “Scan” prüfen, ob diese E-Mail-Adresse zusammen mit anderen persönlichen Daten durch Hacks oder Leaks im Internet veröffentlich wurden. Die Prüfung erfolgt gegen die Datenbank der bekannten Webseite von Troy Hunt´s “Have I Been Pwned”.

Weiterhin besteht die Möglichkeit, dass Ihr Euch im unteren Bereich der Webseite registrieren könnt, um bei zukünftigen möglichen Kompromittierungen Eurer E-Mailadresse benachrichtigt zu werden.

Mehr Informationen auf “Have I Been Pwned”

Firefox Monitor liefert zwar die selben Funktionen wie die Webseite von “Have I Been Pwned”, allerdings liefert die Webseite von Troy Hunt teilweise detaillierte Ergebnisse und Erklärungen. Die Mozilla-Variante listet lediglich die Dienste auf, bei deren Hack oder Leak die E-Mail-Adresse kompromittiert wurde, finden sich auf haveibeenpwned.com auch die zugehörigen Listen, mit denen die E-Mail-Adresse im Internet veröffentlicht wurde sowie Hintergrundinformationen zu den entsprechenden Leaks.

Firefox Monitor nur eines von vielen neuen Features

Firefox Monitor ist nur eines von vielen Features, die Mozilla diesen Herbst veröffentlichen möchte, um das Web für Firefox-Nutzer(innen) noch sicherer zu machen. In der kürzlich von Mozilla vorgestellten Roadmap für einen noch besseren Tracking-Schutz werden Funktionen wie Cross-Site-Tracking blockieren bereitgestellt, die helfen sollen, den persönlichen Datenschutz im Web noch besser durchsetzen zu können.

Probiert den neuen Dienst am besten direkt mal aus und prüft, ob Ihr von einem Hack betroffen seid. Informationen bei Identitätsmissbrauch könnt Ihre in meinem Ratgeber “Hilfe bei Identitätsmissbrauch” finden.

 

Google verfolgt auch bei deaktivierten Standortverlauf

Die Nachrichtenagentur The Associated Press (AP) USA berichtet, dass Google die Positionsdaten seiner Nutzer speichert, ob Ihr wollt oder nicht. Dementsprechend ist die Option “Standortverlauf deaktivieren” nur die halbe Wahrheit! Es gibt aber eine Lösung.

Google speichert Standortverlauf

Google speichert Standortverlauf

Google speichert also Euren Standortverlauf, auch wenn Ihr explizit angegeben habt, dass der Standortverlauf nicht aufgezeichnet werden soll. Das gilt für alle Smartphone-Besitzer egal ob iPhone oder Android-Smartphone, auf deren Gerät Google-Apps installiert sind. Normalerweise erteilt man Google die Erlaubnis, den eigenen Standort aufzuzeichnen, um z. B. in Google Maps auf die Positionsdaten zuzugreifen. Es werden allerdings schon Daten zur Position übertragen, wenn beispielsweise Google Maps geöffnet wird.

Laut AP könnt Ihr den Standortverlauf zwar in den Einstellungen nicht speichern lassen/deaktivieren, aber die Standortdaten würden zusammen mit einem Zeitstempel sehr wohl gespeichert. Ihr erhaltet nur keine Visualisierung der Aufenthaltsorte mehr. Wissenschaftler der Princeton University (USA) haben die Ergebnisse von AP geprüft und konnten diese bestätigen. Die auf der Supportseite von Google aufgeführte Formulierung “Sie können den Standortverlauf jederzeit deaktivieren. Wenn Sie den Standortverlauf deaktivieren, werden die von Ihnen besuchten Orte nicht mehr gespeichert. ” ist dementsprechend falsch oder zunmindest irreführend für den Nutzer.

Die Lösung: Standortspeicherung im Google-Account deaktivieren

Wie der AP-Bericht zeigt, ist die Deaktivierung des Standortverlaufs nicht ausreichend, um Google an die Aufzeichnung der Positionsdaten zu hindern. Für die vollständige Deaktivierung geht Ihr in den Kontoeinstellungen Eures Google-Accounts auf den Punkt “Persönliche Daten und Privatsphäre”. Unter “Google Aktivitäten verwalten” klickt Ihr auf “Aktivitätseinstellungen aufrufen” und deaktiviert den Schalter bei “Web- und App-Aktivitäten”, damit genau diese Aktivitäten nicht mehr aufgezeichnet werden. Allerdings sind bereits aufgezeichnete Daten dadurch nicht betroffen und stehen Google weiterhin zur Verfügung.

Tipp: Google hat unter seinen Datenschutzeinstellungen noch weitere Einstellungen, die Ihr prüfen und ggf. deaktivieren solltet. Somit habt Ihr zumindest alle zur Verfügung stehenden Optionen genutzt, um weitestgebend die Speicherung von persönlichen Daten durch Google zu unterbinden. Android lässt sich aber auch ohne die datenhungrigen Google-Dienste betreiben. Dazu findet Ihr im Internet diverse Artikel und Anleitungen