Beitrag von Consularia

Viele sicherheitsbewusste Organisationen müssen sich entscheiden, wie sie nach dem Auslaufen von Skype for Business intern kommunizieren wollen. Welche Alternativen gibt es? Im Interview erklärt Carmine Squillace von CCNet Computer, Communication & Network GmbH, wie die Kombination von Pexip und Rocket.Chat Organisationen in sicherheitssensiblen und hochregulierten Branchen dabei hilft, ihren Bedarf an Videokommunikation zu decken und gleichzeitig strenge Datenschutzanforderungen zu erfüllen. „Da der Support für das Produkt Ende dieses Jahres ausläuft, werden sich viele Skype for Business-Anwender nach neuen Lösungen umsehen müssen. Oft haben sich Unternehmen bewusst für eine On-Premise-Implementierung entschieden, weil sie aufgrund hoher Datenschutzanforderungen an die Grenzen typischer Cloud-Lösungen stoßen. Sie benötigen eine Plattform, die sich an ihre spezifischen Geschäftsprozesse und Sicherheitsanforderungen anpassen lässt.“ Erfahren Sie mehr darüber, wie die Lösungen von Pexip und Rocket.Chat Kunden die benötigte Skalierbarkeit, Sicherheit und Kontrolle bieten, um Compliance und Datenschutz zu gewährleisten.  https://lnkd.in/dppVT5VD Isabell Oerder Arild Skiri Andreas Grassmeier

Und wieder ist #WebEx mit einem unsicheren Setup in der Presse. Von einem der führenden Anbieter kann man doch wohl erwarten, dass er seine Kunden in Hinblick auf Zugangssicherheit berät bzw. sicherstellt, dass diese gegeben ist. Offensichtlich nicht, denn die Presse berichtet: Links zu mindestens 6000 Videokonferenzen standen offen im Netz - Stern: https://lnkd.in/epim9BRY - Heise online: https://lnkd.in/edDh6HTH Mit #OpenTalk verfolgen wir ein #ZeroTrust-Konzept, d.h. in einer digital souveränen Umgebung läuft OpenTalk im geschützten Rechenzentrum und der Kunde hat die Kontrolle über Daten, Systeme und Zugangssicherheit. Natürlich kann man das System so konfigurieren, dass gar keine Telefoneinwahl möglich ist. Wenn doch, wird eine 10-steillige Meeting-Id und kein 10-stelligen PIN generiert, sehr sehr unwahrscheinlich diesen zu erraten. Wir arbeiten daran die Sicherheit der Lösung kontinuierlich zu verbessern - #DSGVO ist Pflicht, zum. für uns. US-Anbieter dehnen die Anforderung gerne, wollen aber keinen AVV unterschreiben. - #BSISicherheitskennzeichen für Videokonferenz-Systeme ist schon mal ein deutlicher Fortschritt, sicherlich kann das Konzept noch optimiert werden. OpenTalk hat dieses bereits beantragt - Seit einiger Zeit stellen wir uns der Herausforderung einer #BSIProduktzertifizierung nach dem internationalen Standard Common Criteria EAL4, dass ist das höchste Schutzniveau, welches das BSI für Software prüft, einzigartig im Bereich der Open Source-Lösungen. Ein kommerzieller US-Wettbewerber, nein nicht Cisco verfügt über EAL2 für die Client. Nett, aber ist das spannende nicht die zentrale Plattform. - Wichtig: Die Zertifizierung nach ISO27001 auf Basis BSI Grundschutz und C5 beziehen sich auf die Infrastruktur im Rechenzentrum. Die #CC-EAL4 die OpenTalk durchläuft auf das Produkt, ist also noch mal eine gesonderte Schutzschicht. Vor 2 Wochen bekamen wir eine Interviewanfrage: "Wie kann ein Nutzer eine sichere Videokonferenz erkennen?" Simple Antwort: "Gar nicht. Es mag ja sein, dass es irgendwelche Status-Icons gibt, aber der Nutzer kann nicht nachvollziehen was mit seinen Kommunikationsdaten unter der Haube während der Übertragung zum Anbieter geschieht. Insbesondere US-Anbieter unterliegen den gesetzlichen Regelungen des US Behörden und müssen auf Verlangen Auskunft über alle Daten geben. #OpenTalk bietet seinen Kunden die Möglichkeit unseren SaaS-Dienst, gehostet in Deutschland zu nutzen, oder volle #DigitaleSouveränität mit einem Betrieb in eigenen Rechenzentrum zu realisieren. Wer den visuellen Anzeigen keinen Glauben schenken mag, sollte einfach einen BSI-geprüften Dienst oder das entsprechende Produkt einsetzen. Nur so ist sichergestellt, dass die Software nicht nach Hause telefoniert, oder Daten ohne Zustimmung des Nutzers analysiert. Oder Audio übertragen wird, obwohl das Mikrofon durchgestrichen ist (wieder ein US-Anbieter).

“Die Untersuchung ergab zwei wesentliche #Schwachstellen in der [Cisco] Webex-Implementierung. Erstens waren die #Besprechungslinks leicht zu erraten, indem man (…) auf- oder abwärtszählte, anstatt sie nach dem #Zufallsprinzip zu sortieren. Dies ermöglichte den #Zugriff auf den Titel, die Uhrzeit und die einladende #Person wichtiger #Sitzungen, darunter Diskussionen über den #Taurus-Marschflugkörper, die Luft-Luft-Rakete #Meteor und das #Digitale #Schlachtfeld, heißt es bei DIE ZEIT. Zweitens waren die persönlichen Besprechungsräume hochrangiger #Beamter, wie des Chefs der Deutschen #Luftwaffe, Ingo Gerhartz, ohne #Passwortschutz zugänglich, (…). Diese Räume konnten mit einem einzigen Klick betreten werden, so dass #sensible #Gespräche offengelegt werden konnten.” “Jede Kette ist nur so stark wie ihr schwächstes Glied” - wenn #Einfachheit / #Bequemlichkeit der Nutzung den #Sicherheitsaspekt zu überwiegen scheint, dann dürfte die Häufigkeit zukünftiger Angriffe eher zu- denn abnehmen, eben weil die Hürden nicht als prohibitiv hoch erscheinen. FYI Chaos Computer Club e.V.

Zoom erhält IT-Sicherheitskennzeichen des BSI für Videokonferenzdienste: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dem Videokonferenzanbieter Zoom heute zwei IT-Sicherheitskennzeichen verliehen. Die Auszeichnung erfolgte im Rahmen der Internationalen Funkausstellung (IFA) in Berlin für die Dienste "Zoom Workplace Basic" und "Zoom Workplace Pro". Bedeutung des IT-Sicherheitskennzeichens Das IT-Sicherheitskennzeichen dient als Orientierungshilfe für Verbraucher beim Erwerb vernetzter Geräte oder der Nutzung digitaler Dienste. Es attestiert die Erfüllung grundlegender IT-Sicherheitsanforderungen und kann derzeit für folgende Produktkategorien beantragt werden: 1. Mobile Endgeräte 2. Smarte Verbrauchergeräte 3. Breitbandrouter 4. E-Mail-Dienste 5. Videokonferenzdienste Transparenz und Verbraucherschutz: BSI-Vizepräsident Dr. Gerhard Schabhüser betonte die Bedeutung dieser Zertifizierung: "Der Videokonferenzdienste-Anbieter leistet damit einen wichtigen Beitrag zur Transparenz bei der IT-Sicherheit von Videokonferenzdiensten und setzt ein klares Zeichen für die Branche, angemessene Sicherheitsanforderungen für Verbraucherinnen und Verbraucher umzusetzen". Technische und rechtliche Aspekte: Die Vergabe des IT-Sicherheitskennzeichens basiert auf der Einhaltung spezifischer technischer Richtlinien, wie der BSI TR 3148 für Breitbandrouter und der BSI TR 3108 für E-Mail-Dienste. Für Videokonferenzdienste gelten die Anforderungen der DIN SPEC 27008, die unter anderem folgende Aspekte umfasst: 6. Schutz der Benutzerdaten 7. Angemessenes Update- und Schwachstellenmanagement 8. Zeitgemäße Anmeldeverfahren 9. Sicherer Rechenzentrumsbetrieb 10. Aktuelle Verschlüsselungstechnologien 11. Transparenz und Kontrolle während der Videokonferenz DSGVO-Konformität und Cybersicherheit: Die Verleihung des IT-Sicherheitskennzeichens impliziert nicht automatisch eine vollständige DSGVO-Konformität, stellt jedoch einen wichtigen Schritt in Richtung erhöhter Datensicherheit dar. Unternehmen und Nutzer sollten weiterhin eigenständig prüfen, ob die Dienste den spezifischen Anforderungen der DSGVO entsprechen. Zukunftsperspektiven: Mit der Einführung des IT-Sicherheitskennzeichens für Videokonferenzdienste setzt das BSI einen wichtigen Meilenstein im Bereich der digitalen Sicherheit. Es ist zu erwarten, dass weitere Anbieter diesem Beispiel folgen werden, um das Vertrauen der Verbraucher zu stärken und die Sicherheitsstandards in der Branche insgesamt zu erhöhen.

Zoom erhält IT-Sicherheitskennzeichen des BSI für Videokonferenzdienste: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dem Videokonferenzanbieter Zoom heute zwei IT-Sicherheitskennzeichen verliehen. Die Auszeichnung erfolgte im Rahmen der Internationalen Funkausstellung (IFA) in Berlin für die Dienste "Zoom Workplace Basic" und "Zoom Workplace Pro". Bedeutung des IT-Sicherheitskennzeichens Das IT-Sicherheitskennzeichen dient als Orientierungshilfe für Verbraucher beim Erwerb vernetzter Geräte oder der Nutzung digitaler Dienste. Es attestiert die Erfüllung grundlegender IT-Sicherheitsanforderungen und kann derzeit für folgende Produktkategorien beantragt werden: 1. Mobile Endgeräte 2. Smarte Verbrauchergeräte 3. Breitbandrouter 4. E-Mail-Dienste 5. Videokonferenzdienste Transparenz und Verbraucherschutz: BSI-Vizepräsident Dr. Gerhard Schabhüser betonte die Bedeutung dieser Zertifizierung: "Der Videokonferenzdienste-Anbieter leistet damit einen wichtigen Beitrag zur Transparenz bei der IT-Sicherheit von Videokonferenzdiensten und setzt ein klares Zeichen für die Branche, angemessene Sicherheitsanforderungen für Verbraucherinnen und Verbraucher umzusetzen". Technische und rechtliche Aspekte: Die Vergabe des IT-Sicherheitskennzeichens basiert auf der Einhaltung spezifischer technischer Richtlinien, wie der BSI TR 3148 für Breitbandrouter und der BSI TR 3108 für E-Mail-Dienste. Für Videokonferenzdienste gelten die Anforderungen der DIN SPEC 27008, die unter anderem folgende Aspekte umfasst: 6. Schutz der Benutzerdaten 7. Angemessenes Update- und Schwachstellenmanagement 8. Zeitgemäße Anmeldeverfahren 9. Sicherer Rechenzentrumsbetrieb 10. Aktuelle Verschlüsselungstechnologien 11. Transparenz und Kontrolle während der Videokonferenz DSGVO-Konformität und Cybersicherheit: Die Verleihung des IT-Sicherheitskennzeichens impliziert nicht automatisch eine vollständige DSGVO-Konformität, stellt jedoch einen wichtigen Schritt in Richtung erhöhter Datensicherheit dar. Unternehmen und Nutzer sollten weiterhin eigenständig prüfen, ob die Dienste den spezifischen Anforderungen der DSGVO entsprechen. Zukunftsperspektiven: Mit der Einführung des IT-Sicherheitskennzeichens für Videokonferenzdienste setzt das BSI einen wichtigen Meilenstein im Bereich der digitalen Sicherheit. Es ist zu erwarten, dass weitere Anbieter diesem Beispiel folgen werden, um das Vertrauen der Verbraucher zu stärken und die Sicherheitsstandards in der Branche insgesamt zu erhöhen.

Signal konnte WhatsApp zwar nicht verdrängen, hat sich aber ein Stück vom Kuchen gesichert. Jetzt stehen Zoom, Teams und Co. im Visier. Signal rüstet auf: Neue Videokonferenz-Funktionen für Unternehmen Signal hatte für mich lange Zeit den Nimbus einer zur App gewordenen Trotzreaktion. In meinem Freundes- und Bekanntenkreis wirkte es einmal für einen Moment so, als könne die App tatsächlich WhatsApp den Rang ablaufen. Aber wie das so ist mit Trotz: Irgendwann wird er auch dem Trotzigsten zu anstrengend, und bald kehrten die meisten - mich eingeschlossen - dem Alternativ-Messenger wieder den Rücken, und vertrauten ihre private digitale Kommunikation erneut der Datenkrake WhatsApp an. Ganz in der Versenkung verschwand Signal indes nicht. Jetzt nimmt der spendenfinanzierte Dienst einen neuen Anlauf und fordert jetzt auch Videokonferenzsysteme wie Zoom oder Teams heraus. Noch ist mir nicht ganz klar, welche Alleinstellungsmerkmale Signal dabei in den Ring werfen will. Sicher, Zoom ist ein paar Mal durch Sicherheitslücken aufgefallen, und auch Teams ist nicht ohne Fehl und Tadel – das ist Signal selbst aber auch nicht. Entscheider in Unternehmen und Organisationen werden indes nicht ohne überzeugende Argumente die bei ihnen etablierten Videokonferenzsysteme ersetzen. Zugegeben, die etablierten Tools verursachen Kosten. Aber: Jede Änderung organisatorischer Abläufe verursacht ebenfalls Kosten, bis die neuen Gleise eingefahren sind. Vielleicht kann Signal tatsächlich wieder auf den Erfolgsfaktor „Trotz“ setzen - oder Reaktanz, wie Psychologen dieses Phänomen nennen: Signal verzichtet nämlich, anders als zum Beispiel Zoom, bislang gänzlich auf KI-Funktionen. Entscheider, die nicht wollen, dass solche cleveren kleinen Wanzen bei vertraulichen Gesprächen mit am Tisch sitzen, sehen eventuell gerade im Fehlen von KI-Funktionen ein überzeugendes Leistungsmerkmal. Zum Hintergrund: Der verschlüsselte Messenger Signal erweitert sein Angebot um neue Videokonferenz-Funktionen, die besonders auf Unternehmen und Organisationen abzielen. Die Aktualisierung bringt Features wie "Hand heben", Teilnehmerlisten und verbesserte Moderation. Signal möchte damit in direkte Konkurrenz zu etablierten Diensten wie Microsoft Teams und Zoom treten (Quelle: Heise). netknowhow -

Aus gegebenem Anlass. Wie kann eine sehr sichere Lösung unsicher betrieben werden? Eine Nichtanleitung 😉 Cisco WebEx ist im Stand sehr sicher und bietet eine Ende-zu-Ende Verschlüsselung und zeigt, wenn nicht autorisierte Nutzer sich in der Konferenz befinden. Wenn man wie vermutet in diesem Fall jeden per Telefoneinwahl in die Konferenz lasst, dann kann alles abgehört werden. Auch wenn man Nutzer über einen Browserlink teilnehmen lässt ohne eine App mit Nutzerverifikation, dann kann die Sicherheit auch geschwächt werden. Wenn die Konferenzen dann auch ohne Passwort nutzbar sind, dann sind irgendwann die technischen Möglichkeiten erschöpft. Wichtig ist dann auch noch, dass nicht mit Fragen an die Teilnehmer verifiziert wird, wer sich in der Konferenz befindet. Somit habe ich alle technischen und organisatorischen Möglichkeiten geschaffen, die sicherste Cloud Collaboration Plattform unsicher zu betreiben. Machen sie es bitte nicht so, sondern das Gegenteil! Haben Sie Fragen zum sicheren Betrieb? Ich berate Sie gerne. https://lnkd.in/gynwFFBA

💣 Erinnert ihr euch noch an »Zoom-Bombing«? Das war zu Beginn der Pandemie ein riesiger Aufreger, weil plötzlich irgendwelche fremden Leute in eurem Videocall auftauchten, die euren Link erraten hatten. Dem hat Zoom damals in null Komma nix einen Riegel vorgeschoben: Ein einfacher Warteraum hat das Problem behoben. Aber ich hatte keine Ahnung, dass Zoom, Teams und jeder beliebige andere US-Anbieter generell unsicher ist – ganz gleich, was die in ihren Datenschutzerklärungen behaupten. Denn jedes US-Unternehmen (und auch deren Tochterunternehmen im Ausland) bewegt sich gezwungenermaßen im Rahmen des US Patriot Acts und anderer Privatsphäre-verletzender Polizeistaatsgesetze, die im Rahmen des ausufernden und übergriffigen »War on Terror« in Kraft getreten sind. 🇺🇸 Wenn ihr nicht wollt, dass – leicht überspitzt gesagt – ein Sheriff in Alabama ohne richterlichen Beschluss eure Videocalls mitschneidet, in dem ihr eure Firmengeheimnisse diskutiert, dann müsst ihr auf sichere und DSGVO-konforme EU-Anbieter für eure Videokonferenzen zurückgreifen. Fällt euch da einer ein? Nein? Ich helfe euch: Consularia Office. 🤗 Wir haben diese neue Videokonferenz-Lösung gerade vor einer Woche herausgebracht. Alles ist Ende-zu-Ende-verschlüsselt, und das heißt, dass weder wir noch der Sheriff in Alabama lauschen können. Und einen Warteraum gibt‘s natürlich auch. Bis Ende September könnt ihr einen virtuellen Besprechungsraum kostenlos nutzen und testen (https://lnkd.in/eJUeyn8V). Gern geschehen! 😍

Aus gegebenem Anlass: Ich möchte diesen Beitrag dazu nutzen, um Unternehmen und Behörden zur Sensibilisierung ihrer Mitarbeiter:Innen aufzurufen, die Webex-Videokonferenzen nutzen bzw. an Webex-Meetings teilnehmen. Ganz offensichtlich scheint hier ein hoher Bedarf zur Sensibilisierung und Kompetenzbildung zu geben, denn es scheinen nicht alle technischen Fakten über eine Webex-Konferenz bekannt zu sein. Hintergrund ist, dass ich mehrfach bzgl. meines Beitrages kontaktiert wurde und Aussagen getroffen wurden, dass es sich bei dem Vorfall bei der Bundeswehr nicht um die Public Cloud von Cisco handelte, sondern eine OnPremise Lösung und diese intern gehostet und daher sicher ist. Somit hier die wesentliche Fakten zur Ende-zu-Ende-Verschlüsselung bei Cisco Webex: Grundlegende Sicherheit: Cisco Webex bietet standardmäßig eine robuste Ende-zu-Ende-Verschlüsselung für alle Meetings, was bedeutet, dass die Gespräche geschützt und privat bleiben. Einwahl über externe Telefone: Es ist wichtig zu wissen, dass die Ende-zu-Ende-Verschlüsselung nicht aufrechterhalten werden kann, wenn Teilnehmer sich über ein externes Telefon in das Meeting einwählen. In solchen Fällen wird die Verschlüsselung auf eine Transportverschlüsselung reduziert, um die Kompatibilität mit dem Telefonsystem zu gewährleisten. Dies gilt auch für OnPremise gehostete Systeme. Implikationen: Das bedeutet, dass während die Kommunikation innerhalb der Webex-Plattform vollständig verschlüsselt bleibt, die Sicherheit der Gespräche nicht garantiert werden kann, sobald sich Teilnehmer über ein traditionelles Telefonnetz einwählen. Was bedeutet das für Ihre Mitarbeiter:Innen? Um die Sicherheit geführter Kommunikation zu maximieren, empfehlen wir, wo immer möglich, die direkte Teilnahme an Webex-Meetings über die App oder den Webbrowser zu bevorzugen. Wenn die Einwahl über ein Telefon unvermeidlich ist, sollten sich die Teilnehmenden der potenziellen Risiken bewusst sein und sensible Themen entsprechend behandeln. Bitte KEIN Bundeswehr-Bashing …. ES IST ALLES GESAGT und Kritik bringt nun niemanden weiter!!! Lasst uns den Blick in die Zukunft richten!!! Bild-Quelle: Cisco Webex

Zoom IT-Sicherheit Es ist bemerkenswert und für mich unverständlich warum das BSI "Zoom" seinen Segen für einen zentralen Dienst aus den USA gibt. Das US-amerikanische Softwareunternehmen Zoom Video Communications mit Sitz in San José, Kalifornien, erhält die Kennzeichen für seine beiden Dienste "Zoom Workplace Basic" und "Zoom Workplace Pro". Ist das aktuell noch so?  Mit AES-256 wird für jede Sitzung ein einmaliger Verschlüsselungsschlüssel erstellt und auf den Servern von Zoom verwaltet. Das bedeutet aber auch, dass die Schlüssel kompromittiert werden können, wenn Zoom Opfer eines Cybersicherheitsangriffs wird. Wenn ja, wäre das kein gutes Zeichen für die IT-Sicherheit https://lnkd.in/dzGqNN24