Für die Sicherheit von Videokonferenzen und der übers Netz übertragenen Daten ist der Einsatz einer Transportverschlüsselung von zentraler Bedeutung. Sie sichert die Daten auf dem Weg zwischen Client und Server. Auch aktiver Datenschutz bedeutet letztlich: Wer hat Zugriff auf welche Daten? Bei Videokonferenzen gibt es eine Reihe von Techniken, die das beeinflussen.
Wie sicher sind Videokonferenzen?
Nach unseren Beiträgen zu der gestiegenen Bedeutung des Homeoffice während der Corona Pandemie und dem Hinweis auf unsere Seminarreihe zu wichtigen rechtlichen Fragen berichten wir heute über die Aspekte Sicherheit und Datenschutz. Die wichtigste Frage hierbei: Wer hat Zugriff auf welche Daten?
Eine Transportverschlüsselung ist ein wichtiger Baustein für die Sicherheit der übers Netz übertragenen Daten zwischen Client und Server. Nahezu alle Videokonferenzplattformen setzen Transportverschlüsselung ein, auf dem Server allerdings liegen alle Daten wieder im Klartext vor.
Das hat vor allem dann Konsequenzen, wenn man einen Cloud-Dienst wie Skype, Teams oder Zoom nutzt. Da hat dann der Betreiber prinzipiell Zugriff auf alle Gesprächsinhalte – und kann beziehungsweise muss die etwa auf richterliche Anordnung herausrücken. Auch Einbrecher in die Netze des VC-Anbieters können sich Zugang verschaffen.
Im Idealfall betreibt man daher einen eigenen Server oder mietet einen solchen mit einem Vertrag für Auftragsdatenverarbeitung an. Das bedeutet, dass sowohl die Inhalte der Konferenzen als auch die Informationen, wer wann mit wem wie oft konferiert, im eigenen Hoheitsgebiet verbleiben.
E2E – Ende-zu-Ende-Verschlüsselung von Videokonferenzen
E2E sorgt dafür, dass der Serverbetreiber keinen Zugriff auf die Inhalte der Konferenzen hat. Das ist aus Datenschutzsicht gut, aus praktischen Erwägungen jedoch manchmal problematisch, weil es eine ganze Reihe von technischen Einschränkungen mit sich bringt. Das Einblenden von Untertiteln beziehungsweise Übersetzungen oder eine Anpassung der Bildqualität an die Leitungsgeschwindigkeit der einzelnen Teilnehmer – all das erfordert, dass der Server die Bild- und Audiodaten verändern kann und somit in aller Regel Zugriff auf die unverschlüsselten Rohdaten braucht. Auch eine Aufzeichnung der Konferenz auf Serverseite geht natürlich nicht, wenn der Server nur kryptischen Datensalat zu Gesicht bekommt.
Das ist auch der meistgenannte Grund, warum bislang nur sehr wenige Videokonferenzsysteme E2E-Sicherheit anbieten. Schon jetzt können Firmen auf Anfrage Webex-Meetings Ende-zu-Ende-verschlüsseln lassen, müssen dann aber eine Reihe von Einschränkungen hinnehmen – etwa, dass sich Teilnehmer nicht via Telefon einwählen können. Ab September will auch Zoom optional Ende-zu-Ende-Verschlüsselung anbieten. Nextcloud Talk verschlüsselt bereits auf Wunsch Dateien, Bild und Ton Ende-zu-Ende.
Bei Jitsi gibt es erste Versuche, deren WebRTC-Datenströme mit E2E-Verschlüsselung zu versehen. Wann das praktisch einsetzbar sein wird, steht jedoch in den Sternen. Bei Microsoft und Google ist bislang nichts Derartiges bekannt. Kein Wunder, widerspricht doch der Einsatz von Ende-zu-Ende-Verschlüsselung fundamental deren Firmenstrategie, die die von den Kunden produzierten Inhalte als wertvolle Rohdaten betrachtet, etwa um Cloud-Angebote mit KI zu optimieren.
Das zentrale Problem bei E2E ist die Schlüsselverwaltung. Schließlich muss jedes Endgerät mit jedem anderen Endgerät ein Geheimnis aushandeln, das nur diese beiden kennen. Letztlich benötigt man dafür eine vertrauenswürdige Schlüsselverwaltungsinfrastruktur (Public Key Infrastructure, PKI), die der Betreiber bereitstellen muss.
Auch wenn E2E oft wie der heilige Gral der Datenschützer gehandelt wird, darf man eine Schwäche nicht vergessen: Der Serverbetreiber sieht nach wie vor die Metadaten – also wer wann mit wem wie oft konferiert. Und auch das sind durchaus wichtige und schützenswerte Daten. Deshalb kann der Betrieb (oder das Anmieten) eigener Server mit guter Transportverschlüsselung durchaus der datensparsamere Kompromiss sein, den man sich aber in aller Regel mit Komfort- und Qualitätseinbußen erkauft.
Sicherheit vs. Komfort
Beim Einsatz von europäischen Videokonferenzprogrammen, wie Stackfield oder Nextcloud als Alternative zu den großen US-Lösungen gibt es heute kaum Einschränkungen. Alle Programme unterstützen Video- und Audioübertragung, Chat und Bildschirmfreigabe. Beim Einsatz von Sicherheitstechniken sollten Sie darauf achten, dass Ende-zu-Ende nicht immer Client-zu-Client bedeutet und sich diese Art der Verschlüsselung nicht für alle Funktionen und Übertragungswege eignet. Wer regelmäßig größere Konferenzen plant, etwas Zeit und die nötige IT-Infrastruktur mitbringt, sollte einen eigenen Server betreiben. Das geht bei BigBlueButton, Jitsi, Nextcloud Talk und Stackfield sowie bei jedem Videokonferenzprogramm, das „On-Premise“ zur Verfügung steht. Den größten Funktionsumfang bieten Teams und Zoom, Letzteres arbeitet zurzeit an besseren Sicherheitsmaßnahmen.
Datenschutzgrundverordnung und Privacy Shield
Der Internet- und IT-Sicherheitsdienstleister PSW Group beurteilte Cisco WebEx und GoToMeeting in puncto DSGVO-Konformität und Datenschutz positiv. Die Server von GoToMeeting befinden sich allerdings außerhalb von Europa. Das ist seit dem Aus für Privacy Shield ein Problem, da dem Hersteller wie auch allen anderen US-Firmen die Rechtsgrundlage für die Übermittlung der Daten in die USA fehlt. Cisco WebEx betreibt Rechenzentren in den Niederlanden und in Großbritannien, die Daten von europäischen Nutzern speichern. Bei kostenlosen Nutzerkonten behält sich das amerikanische Unternehmen allerdings vor, die Daten auch außerhalb der Region des Kontoinhabers zu speichern.
Wenn Sie datenschutzrechtlichen Unsicherheiten aus dem Weg gehen wollen, wählen Sie besser einen Anbieter aus Europa wie Nextcloud oder Stackfield. Bei Letzterem handelt es sich um ein Projektmanagement-Tool mit Videochat-Funktion. Auf seiner Webseite beschreibt Stackfield Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung und Verschlüsselungsmethoden, mit denen das Unternehmen Nutzerdaten schützt.
Teile dieses Beitrages wurden erstmals veröffentlicht auf Heise Online, heise online ist eine seit 1996 bestehende Nachrichten-Website des Heise-Zeitschriften-Verlags.