Online-Konferenzen

Schwachstelle Online-Konferenz: Sicherheitsrisiko oder viel Lärm um nichts?

, München/Wien/Zürich, Palo Alto Networks | Autor: Herbert Wieler

Schwachstelle Online-Konferenz: Sicherheitsrisiko oder viel Lärm um nichts?

Schwachstellenanalyse in Tools für Online-Konferenzen

Angesichts des raschen technologischen Wandels, der in den meisten Unternehmen aktuell vor sich geht, überrascht es kaum, dass Spekulationen und übereilte Schlussfolgerungen die Validierung von Fakten untergraben. In letzter Zeit sind viele Artikel über Schwachstellen in Videokonferenz-Tools erschienen. Selbst wenn die Schwachstellen real sind, gilt es daraus nicht die falschen Schlüsse zu ziehen. Oft war zu hören „Nutzt diese Lösung, denn diese ist unsicher!“ und so weiter.

Es ist möglich, die derzeit bekannten Schwachstellen für alle gängigen Konferenz-Tools nachzuschlagen. Websites wie CVE Details führen Aufzeichnungen über Schwachstellen. Benutzer können selbst sehen, wie viele bekannte Schwachstellen in welchen Konferenz-Tools vorhanden sind und wann sie entdeckt wurden.

Palo Alto Networks nimmt die aktuelle Debatte rum um die Security von Online-Konferenztools unter die Lupe und gibt Tpps.

Was sind die Schlussfolgerungen daraus?

Alle Tools weisen Schwachstellen auf. Nur weil diese Woche in den Nachrichten über eine neue Schwachstelle berichtet wird, muss das nicht unbedingt bedeuten, dass Nutzer zu einem anderen Werkzeug wechseln sollten. Sie sollten aber immer sicherstellen, dass sie über einen Patching-Prozess verfügen, und sie sollten sich überlegen, welche Instrumente Ihnen präventive Kontrollmöglichkeiten bieten können, um Patches strategisch zu testen und einzusetzen. Zu diesen Tools könnten beispielsweise Ihr Gateway, Ihre Firewall oder die VPN-/Endpunktsicherheit gehören.

Palo Alto Networks rät sich an die Fakten zu halten. Es ist immer wieder zu hören, dass Benutzer die Funktion X nicht nutzen können, weil sie unsicher ist, im Gegensatz zur Funktion Y. Da viele Menschen auf der Welt jetzt von zu Hause aus arbeiten, muss man sich überlegen, ob die Mitarbeiter die Tools selbst wechseln. Unternehmen müssen in der Lage sein, weiterhin zu beurteilen, welche Instrumente in ihren Netzwerken eingesetzt werden, und nur diejenigen zuzulassen, die sie unterstützen – und schützen können. Die Empfehlung: Kontrollieren Sie zumindest, welche Inhalte und Verbindungen zwischen den von Ihnen gesicherten Tools und anderen persönlich genutzten Tools entstehen, wenn Sie diese Praxis zulassen.

Unabhängig davon, welches Videokonferenz-Tool Unternehmen einsetzen, sollten sie die bewährten Verfahren für die Sicherheit von Videokonferenzen befolgen. Nutzen Sie die Sicherheitsfunktionen, die Ihre Tools bieten, aber überlegen Sie sich auch, was Ihre eigenen Sicherheitsfunktionen tun können, um das Sicherheitsniveau bei Bedarf zu erhöhen. Es ist wichtig, sich die Security-101-Logik zu eigen machen, insbesondere in schwierigen Zeiten oder Situationen. Mehr dazu ist im Blog “The Rush to Video Conferencing – Are We Failing to Use Good Cyber Hygiene? ” zu lesen.

Palo Alto Networks rät: Vergessen Sie auch nicht, dass nicht alle Risiken gleich sind. Es lohnt sich, die Schwachstellen zu prüfen, sobald sie veröffentlicht werden, um zu beurteilen, wie groß das Risiko für Ihr Unternehmen ist. Das Verständnis des Risikos, das eine Schwachstelle darstellt, wird helfen, die richtigen ausgewogenen Reaktionsschritte zu bestimmen.

Allzu oft wird vergessen zu berücksichtigen, wie der jeweilige Anbieter auf eine Schwachstelle reagiert. Die Realität ist, dass jeder Code Fehler aufweisen wird. Er ist von Menschen geschrieben, und wir sind nicht perfekt. Was den wirklichen Unterschied ausmacht, ist das, was kommt, nachdem die Schwachstelle aufgedeckt wurde.

  • Reagiert der Anbieter rechtzeitig auf die Schwachstelle?
  • Gibt er Ihnen die richtigen Informationen, um eine informierte Entscheidung zu treffen?
  • Wie schnell veröffentlicht der Anbieter den Patch oder Fix?
  • Wie gut ist der Fix? Das Letzte, was jemand braucht, ist ein Patch für einen Fix.

Es liegt in der Natur der Dinge, dass Unternehmen in unsicheren Zeiten schneller Entscheidungen treffen müssen. Man sollte sich aber klarmachen, dass Emotionen oft viel schneller wirken als Logik. Viele Entscheider befinden sich bereits in einem emotionalen Zustand angesichts der weltweiten Herausforderungen, vor denen viele stehen. Daher müssen Unternehmen zusätzlich darauf achten, anhand der Logik die richtigen Entscheidungen zu treffen. Da Sicherheitsteams daran arbeiten, sich an organisatorische Veränderungen und die Zunahme der Arbeit aus der Ferne anzupassen, ist es wichtig, die Logik beizubehalten. Dies gilt insbesondere dann, wenn es zu beurteilen gilt, wie Unternehmen auf Schwachstellen in den Tools reagieren sollen, die sie für unsere tägliche Arbeit einsetzen.