Videokommunikation und -zusammenarbeit waren noch nie so wichtig für Unternehmen wie heute. Vorbei sind die Zeiten, in denen Video am Arbeitsplatz ein Novum war. Es wird heute nicht nur in vielen Fällen erwartet, sondern zählt mittlerweile zur Kerntechnologie für optimierte Arbeitsprozesse. Das Zeitalter der Videokommunikation ist angebrochen und läutet eine Welle neuer Kooperationsmethoden ein, die von 4K-Qualität bis hin zu digitalen Whiteboards und mehr reichen.
Nach über 30 Jahren Erfolgskurs ist es jedoch für die Videokommunikations-Branche unerlässlich, sich endlich auch mit dem ungeliebten Elefanten im Raum zu befassen: der Sicherheit. „Mich wird es schon nicht treffen” – das ist eine oft gehörte Aussage. Doch auch wenn wir es nicht wahrhaben wollen – Datenschutzverletzungen sind sowohl in Privathaushalten als auch in Unternehmen keine Seltenheit mehr.
Fast jede Technologiebranche – von Social Media über Gaming und Retail bis hin zu Kommunikationsplattformen – war in jüngster Zeit von Hackerangriffen betroffen. Doch anstelle die Menschen zu mehr Vorsicht zu animieren, scheint es fast, als habe das schiere Volumen an Daten- und Sicherheitsverletzungen zu einer Kultur geführt, in der die Auswirkungen desensibilisiert werden.
Auch im Bezug zu Videokonferenzen ist Sicherheit oft ein nachträglicher Aspekt. Bei so viel Aufmerksamkeit für den Schutz von PII-Daten, Gesundheitsakten, Finanzen und mehr ist es für Unternehmen leicht, die Daten zu vergessen, die bei Meetings und zwischen Mitarbeitern, Partnern und Kunden innerhalb und außerhalb des Unternehmens übertragen werden. Schließlich sind Videokonferenzen kaum so verlockend wie eine Datenbank voller sensibler Kundendaten, oder?
Verschiedenste Ansatzpunkte
Die Sicherheit von Videokonferenzen ist vielfältig und zwingt Unternehmen, über eine Reihe von Schlüsselaspekten ihrer Infrastruktur und Governance nachzudenken, einschließlich der Art und Weise, wie Daten übertragen und gespeichert werden, Zugangskontrollen, Authentifizierungsrichtlinien und mehr. Allzu oft kommt es vor, dass CISOs (Chief Information Security Officer) und IT-Entscheidungsträger die geteilten Daten und wer letztendlich für den Schutz dieser verantwortlich ist vernachlässigen.
Natürlich will niemand über das Was-wäre-wenn-Szenario nachdenken, dass jemand sensible Informationen abfangen oder bei einem Videomeeting ausspionieren kann. Das zunehmende Volumen an Datenschutzverletzungen, „man in the middle“-Angriffen und Sicherheitsbedrohungen zeigt jedoch, dass Unternehmen sorgfältig prüfen sollten, ob die Sicherheitsvorgaben der Anbieter von Videokommunikation für die über ihre Dienste übertragenen Daten ausreichend sind.
Es ist die Aufgabe der Anbieter, ihre Kunden über die wichtigsten Sicherheitskriterien aufzuklären. In der Kommunikation mit bestehenden oder zukünftigen Anbietern sollten Kunden daher folgende Fragen in Bezug auf die Sicherheit stellen:
- Setzt die „Entwicklerkultur“ des Anbieters die Sicherheit an erste Stelle und wie spiegelt sich dies in ihren Handlungen wider?
- Sind die Entwicklungsteams stets bemüht, zuzuhören und sich an den Bedürfnissen des Kunden zu orientieren? Sind sie transparent?
- Wo enden die Sicherheitsmechanismen des Anbieters und wo wird von Anwendern erwartet bzw. sind Anwender dazu verpflichtet, Sicherheitsbedrohungen aufzugreifen und selbst für deren Minderung zu sorgen? Sind zum Beispiel alle Medien und gespeicherten Inhalte innerhalb der Kommunikation verschlüsselt? Erfolgt das automatisch oder ist es den Anwendern überlassen, dies zu erkennen und manuell zu aktivieren?
- Ist das Produkt oder der Dienst auf WebRTC aufgebaut, so dass es in gängigen Browsern automatisch ausgeführt werden kann, und hält es sich an die Sicherheitskontrollen dieser Browser? Ist der Kern ihrer Anwendung offen für die Inspektion und das Testen durch eine größere Sicherheitsgemeinschaft?
- Wie stellt der Anbieter sicher, dass Fehler und Schwachstellen durch Software-Updates behoben werden? Werden Anwendungen und Systeme automatisch vom Hersteller aktualisiert, um sicher zu sein, dass sie auf dem neuesten Stand sind, oder muss das Anwenderunternehmen selbst feststellen, dass ein Update verfügbar ist und es selbst installieren? Wenn letzteres der Fall ist, lässt sich dann die Software überall zentral verteilen oder ist man darauf angewiesen, dass Benutzer die Apps selbst manuell aktualisieren?
- Kann man der Sicherheitsphilosophie und den Geschäftspraktiken des Videokonferenz-Herstellers grundsätzlich vertrauen?
Die Sicherheit in Videokonferenz-Lösungen sollte sich dem gesamten Sicherheitskonzept des Unternehmens anpassen. Ich hoffe daher, dass diese Checkliste Unternehmen als Leitfaden dient, um die Anforderungen der eigenen IT-Infrastruktur mit dem Angebot des Anbieters, insbesondere im Hinblick auf die Datensicherheit, zu überprüfen.
Thomas Nicolaus ist Vice President Central-& Northern EMEA bei Lifesize.
