30.04.2020

Video-Telefonie in der Industrie – Wenn Cyber-Sicherheit wirklich wichtig ist

Die Frage, die man uns am häufigsten stellt, ist: „Inwiefern unterscheidet sich POINTR von Skype?“ Dieser Kommentar zeigt nicht nur, wie sich viele konkurrierende Videolösungen scheinbar ähneln, sondern auch, wie stark diese Verbraucherlösungen im Industriesektor präsent sind.

Da der Trend in Sachen Fernarbeit auf der ganzen Welt rasant zunimmt, setzt der Industriesektor immer öfter auf Remote-Guidance-Verfahren als Alternative zu teuren und zeitaufwändigen Geschäftsreisen. Aufgrund des heutigen „Corona-Klimas“, in dem Geschäftsreisen bis auf weiteres auf Eis gelegt wurden, gilt die Video-Telefonie nun als die einzige praktische Lösung, um Geschäfte am Laufen zu halten und Kunden im Service weiter zu betreuen. Diese überraschende und unerwartete Wendung lässt die verfügbaren Lösungen, darunter Skype, Zoom, Microsoft Teams und WhatsApp, in den Fokus rücken, da sie zu den leicht verfügbaren Verbraucher- und Bürolösungen zählen, die nun auch in der Industrie ihre Verwendung finden.

Angesichts der neuesten Nachrichten bezüglich der Schwachstellen von Zoom (Ars Technica, Tech Crunch, Business Insider, Vice); Skype (Comparitech, Heimdal Security); Microsoft Teams (Geek Wire, Borncity) und WhatsApp (Threat Post, Forbes), zählt das Thema Cyber-Security zu den wichtigsten Belangen für Apps im Bereich der Video-Telefonie.

Was Lösungen in Bezug auf Videokonferenzen, Anrufen und Fernschaltung anbelangt, besteht hier die Sicherheit aus drei Elementen: Datensicherheit, Verkehrsverschlüsselung und Privatsphäre.

Die Cyber-Sicherheit wird im kommenden Jahrzehnt zunehmend an Bedeutung gewinnen.

Alle Plattformen behaupten, die Sicherheit „äußerst ernst“ zu nehmen. Allerdings wird bei genauerer Betrachtung ihrer Praktiken und Protokolle deutlich, dass diese Zusicherungen nichts anderes als „leere Rhetorik“ sind. So behauptete zum Beispiel Zoom kürzlich in einem Interview in The Intercept, dass ihre Anrufe „End-to-End-verschlüsselt“ seien, bevor schließlich zugegeben wurde, dass eine End-to-End-Verschlüsselung in Zoom nicht möglich sei.

Die Cyber-Sicherheit wird im kommenden Jahrzehnt zunehmend an Bedeutung gewinnen. Unternehmen mussten schnell harte Lehren ziehen, da Änderungen der Datenschutzgesetze nach und nach mit den Realitäten des digitalen Zeitalters Schritt halten und der Anstieg der Fernarbeit aufgrund von COVID-19 den Alltag so stark beeinflusst, sodass das Thema in den Mittelpunkt gerückt ist.

Aber worin bestehen die kritischen Probleme bei der Verwendung dieser Lösungen in der Industrie?

Verlässlichkeit

Wir haben das alle schon erlebt: Man startet in letzter Minute einen Video-Anruf, betet, dass man den Link findet, um beizutreten, und drückt die Daumen, dass alles problemlos über die Bühne geht. Oder der Moment vor einem Skype-Anruf, wenn man voller Hoffnung ist, etwas anderes als Robotergeräusche zu hören und etwas zu sehen, das wie moderne Kunst aussieht.

Für den Gebrauch in Privathaushalten oder Büros stehen in der Regel hochwertige Netzwerke mit entsprechender Bandbreite zur Verfügung. Falls und wenn diese Fernschaltung-Lösungen nicht ordnungsgemäß funktionieren, führt das häufig zu Ärger und Unannehmlichkeiten.

Unter industriellen Bedingungen kann ein solches Szenario sowohl teuer als auch potenziell gefährlich sein!

Um als zuverlässig zu gelten, muss eine Kommunikations-App immer und überall funktionieren. Sie muss sogar dann funktionieren, wenn die Netzwerkbedingungen nicht ideal sind, ohne dabei die Verbindung zu verlieren oder die Bild- und Audioqualität zu beeinträchtigen. Ein Mangel an Zuverlässigkeit in der Büro- und C2C-Kommunikation ist lediglich frustrierend – im industriellen Kontext kann Unzuverlässigkeit jedoch lebensbedrohlich sein und schwere finanzielle Verluste mit sich ziehen.

Aus diesem Grund ist die Zuverlässigkeit der Lösung von entscheidender Bedeutung. Wenn Sie jemandem mit einem technischen Problem helfen, müssen Sie sicherstellen, dass Sie beide Sicht auf dasselbe Objekt haben: dass der Knopf, das Ventil oder die Schraube, auf die Sie zeigen, mit Sicherheit identisch ist mit dem, der auch der anderen Person angezeigt wird. Sie müssen genau sehen können, was am anderen Ende vor sich geht, anstatt mit einem Pixelbrei konfrontiert zu werden. Sie möchten denselben Anruf nicht fünfmal neu starten, da er aufgrund eines Netzwerkproblems abstürzt. Wir alle würden es bevorzugen, wenn das Personal eines Atomkraftwerks mit einem Video-Tool kommuniziert, das zuverlässig funktioniert, wenn Unterstützung benötigt wird.

Sicherheit

Im Jahr 2019 führte Cyber-Kriminalität zu Verlusten in Höhe von mindestens 3,5 Milliarden US-Dollar für US-Unternehmen. Es ist zu erwarten, dass die Rentabilität von Cyber-Kriminalität in den kommenden Jahren die des weltweiten Drogenhandels übersteigt. Durch Nachlässigkeit hinsichtlich der Cyber-Sicherheit kann ein Unternehmen Opfer werden von Unternehmensspionage, Daten- und Identitätsdiebstahl, Malware- und Lösegeld-Angriffen sowie Sabotage.

Aber warum wird die Cyber-Sicherheit so sehr vernachlässigt, wenn sie so wichtig ist?

Kurz und knapp kann man sagen, dass es sich um ein technisch herausforderndes und teures Unterfangen handelt. Die Verbesserung der Cyber-Security ist eine kostspielige Investition und oftmals entsteht ein Kompromiss zwischen der Verbesserung der Benutzerfreundlichkeit oder der Sicherheit. Benutzerfreundlichkeit ohne echte Cyber-Sicherheit ist einfacher und kostengünstiger zu erzielen – und aus diesem Grund besser zu verkaufen -, was in der Regel dazu führt, dass sich für Benutzerfreundlichkeit anstatt Sicherheit entschieden wird.

Unterschiedliche Ansätze hinsichtlich der Cyber-Sicherheit für Lösungen der Video-Telefonie beruhen grundsätzlich auf unterschiedlichen Ansatzpunkten.

Ein Büro oder ein Privathaushalt haben in Bezug auf Online-Kommunikation grundlegend andere Anforderungen hinsichtlich Cyber-Sicherheit als ein Atomkraftwerk, ein Tanker oder eine Papierfabrik.

Ausgangspunkt definiert die Cyber-Sicherheit in der Weiterentwicklung

Eine Kommunikations-App wird erstellt, um die Anforderungen des ursprünglichen Zwecks zu erfüllen, und basiert dementsprechend auf dieser Grundlage. Diese Lösungen können für neue Zwecke weiterentwickelt und an neue Märkte angepasst werden, aber ihre Grundlage und somit auch ihre Sicherheitsprinzipien bleiben unverändert. Diese Prinzipien unterscheiden sich allerdings grundlegend, da sich die Anforderungen an die Lösung unterscheiden. Egal ob Sie einen Anruf Ihrer Mutter nicht verpassen möchten (WhatsApp), an einer Büro-Fernschaltung teilnehmen wollen (Zoom) oder um kritischen technischen Support für Raumstationen bereitzustellen (POINTR).

Wenn die Sicherheit nicht im Mittelpunkt steht, können böse und potenziell gefährliche Sicherheitslücken erkannt und ausgenutzt werden. Wie das jüngste Beispiel in Zoom zeigt, mit dem Angreifer Windows-Anmeldeinformationen stehlen konnten.

Ansatz: Benutzerbasierte vs. integrierte Cyber-Sicherheit

„Bei der Auswahl einer Anwendung für Video-Telefonie besteht ein Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit“, erklärt Arvind Narayanan, Professor für Computer Science in Princeton, in The Guardian. Der übliche Sicherheitsansatz ist „benutzerbasiert“. Dieser Ansatz wird verwendet, wenn beim Erstellen der Lösung die Benutzerfreundlichkeit über der Sicherheit steht.

Ein „benutzerbasierter“ Sicherheitsansatz bedeutet, dass der Benutzer für die Gewährleistung einer sicheren Kommunikation in der Verantwortung steht. Dies beinhaltet Passwörter, Netzwerk- und VPN-Konfiguration sowie spezielle Einstellungen in der App beim Aufbau der Verbindung. Bei diesem Ansatz bietet der Anbieter der Anwendung Richtlinien und Instruktionen an, aber die Verpflichtung für Sicherheit zu sorgen liegt beim Benutzer.

„Sicherheit ist schwer! Man hält sie für so unbrauchbar, so unüberwindbar. Darum verwenden so wenige Menschen eine starke Verschlüsselung“, erklärt Dr. Boris Krassi, CEO der Delta Cygni Labs-Gruppe. „Wir haben einen Weg gefunden, Sicherheit brauchbar und skalierbar zu machen, aber es dauerte Jahre der Entwicklung, die der Fokus unserer Lösung war. Wir mussten sogar unser eigenes Telekommunikationsprotokoll schaffen, um eine sichere und gleichzeitig nutzbare Live-Video-Telefonie für die Industrie zu liefern“, erläutert Dr. Krassi.

Im Gegensatz zu Skype, Zoom, Teams und WhatsApp verfügt POINTR über alle integrierten Sicherheitsfunktionen. Aus diesem Grund sind Benutzer lediglich für ihre eigene Verwendung verantwortlich und nicht für korrekte Netzwerkkonfigurationen oder App-Einstellungen. Das führt außerdem dazu, dass Benutzer keine Möglichkeit haben, Abstriche zu machen oder die Sicherheitsfunktionen zu beeinflussen, welche die Sicherheit der Anwendung beeinträchtigen könnten.

Um Sicherheit zu gewährleisten, dürfen die Sicherheitsfunktionen niemals in der Verantwortung des Benutzers stehen, besonders wenn davon ausgegangen wird, dass der Mangel an Cyber-Sicherheit die größte Bedrohung für Unternehmen darstellt (Security Intelligence by IBM, Forbes). Stattdessen müssen alle Sicherheitsfunktionen integriert sein: Datensicherheit, Verkehrsverschlüsselung und Privatsphäre. Nur so kann eine Anwendung Cyber-Security gewährleisten.

Identifizieren einer Lösung mit Cyber-Sicherheit

Wenn alle Lösungen von sich behaupten, sicher zu sein, wie können Sie jene erkennen, die es wirklich sind? Wenn Sie eine Cyber-Security-Lösung für Ihre Fernschaltung verwenden möchten, stellen Sie sicher, dass die Anwendung diese vier Kriterien erfüllt:

1. Anrufprotokoll

Anrufe sollten sicher an eine App weitergeleitet werden können, ohne dass es möglich ist diese abzufangen oder zu missbrauchen. Das bedeutet, dass es nicht möglich ist, Einladungen über URL-Links zu teilen, da diese zu den größten Sicherheitsrisiken zählen, die am häufigsten in der Video-Telefonie missbraucht werden. URL-Einladungen sorgen stets für Unsicherheit, da Sie nicht sicher sein können, wer die von Ihnen gesendete Einladung empfängt und darauf reagiert.

Telefonnummern sind generell zuverlässiger. In POINTR basieren alle Anrufe auf der Telefonnummer des Empfängers anstelle einer E-Mail-oder URL-Einladung. Das macht es unmöglich, Anrufen beizutreten, zu denen Benutzer nicht speziell hinzugefügt wurden, und schützt so die Privatsphäre und Sicherheit vor ungebetenen Gästen. Solche Probleme haben zum Beispiel Zoom-Nutzer miterlebt.

Es ist wichtig, dass der gesamte Datenverkehr der Zusammenarbeit, vom Beginn des Anrufs („Handshake-Verfahren“) über die gesamte Zusammenarbeit bis zum Auflegen verschlüsselt ist. Es ist üblich, dass nur ein Teil des Datenverkehrs wie das Handshake- Verfahren sachgemäß mit TCP mit Transport-Layer-Security (TLS) auf Bankebene verschlüsselt wird. Der restliche Datenverkehr wird jedoch über weniger zuverlässiges/sicheres UDP mit benutzerdefinierten Protokollen verwaltet oder ist nur teilweise verschlüsselt.

In POINTR ist der gesamte Datenverkehr TCP TLS1.2-verschlüsselt, ohne die Nutzung von UDP-Datenverkehr. Hierbei handelt es sich um eine integrierte Sicherheitsfunktion, die das Herzstück des Protokolls unserer Video-Telefonie ausmacht.

2. Benutzer-Verifizierung

Um sicherzustellen, dass die Nutzung der App sicher ist, müssen alle Benutzer authentifiziert sein. Durch das Zulassen anonymer Benutzer entsteht eine Angriffsfläche, welche die Plattform und deren Benutzer potentiellem Missbrauch aussetzt. Wenn alle Benutzer überprüft worden sind, werden Anrufe über die App und basierend auf den Telefonnummern weitergeleitet. Anonyme Anrufe sind nicht zugelassen, was die Bedrohung durch Missbrauch verringert. Die Authentifizierung von Benutzern ermöglicht zudem die Identifizierung unerwünschter Teilnehmer und deren sofortige Blockierung.

Die obligatorische mehrphasige Authentifizierung ist die sicherste Methode zur Überprüfung von Benutzern. Dies erfordert einige Bemühungen von den Benutzern, ist jedoch erforderlich, um zusätzliche Sicherheit zu schaffen. Um dieses Verfahren für Benutzer weltweit zu erleichtern, aber dennoch sicher und zuverlässig zu gestalten, verwendet POINTR zur Überprüfung die SMS-Authentifizierung und aktiviert Lizenzen mithilfe von E-Mail-Verifizierung.

3. Lösungsunabhängigkeit

Die Lösung muss eine eigenständige App sein. Das bedeutet, dass die App nicht von Browsern, Plug-Ins oder der Netzwerkkonfiguration abhängig ist.

Es handelt sich um ein gängiges Verfahren für Video-Telefonie-Apps, den Zugriff über einen Browser anzubieten, was dem Anrufempfänger den Zugriff auf Anrufe erleichtert. Wenn man die Benutzerfreundlichkeit in Betracht zieht, ist der Zugriff über einen Browser für Büros oftmals sinnvoll. Im Gegensatz dazu verbessert der Zugriff über einen Browser bei der industriellen Anwendung, wie der Fernschaltung vor Ort, die Benutzerfreundlichkeit nicht.

Stattdessen wird der Anruf Sicherheitsrisiken des Internetbrowsers ausgesetzt, z.B. regulären Cookies. Darüber hinaus sollte man auch bedenken, dass das Malware-Risiko umso größer ist, je mehr Zusatzmodule Sie herunterladen müssen. Diese Risiken können nicht vermieden werden, wenn Software von Drittanbietern wie Browser und Plug-Ins beteiligt sind. Dies ist eine weitere nachlässige und unzureichende Möglichkeit, sich der Cyber-Sicherheit zu widmen, da die Verantwortung in der Pflicht des Benutzers liegt.

Die Unabhängigkeit von der Netzwerkkonfiguration ist von höchster Priorität in der Industrie. Die Protokolle und Anforderungen der Cyber-Sicherheit sind aus einem bestimmten Grund so streng und sollten keinen Raum für Kompromisse bieten. Außerdem werden Anrufe via Fernschaltung nicht nur innerhalb einer Organisation getätigt, sondern auch an ein Netzwerk von Partnern, Kunden, Lieferanten und Subunternehmern. Es ist keine realistische Erwartung davon auszugehen, dass all diese Teilnehmer ihre Netzwerke richtig konfiguriert haben. Dadurch bietet diese Lösung womöglich oftmals keine Sicherheit.

Beispielsweise verlangt Teams eine Vielfalt von Netzwerkkonfigurationen, abhängig davon wie viel Sicherheit Sie haben wollen.

Ein VPN wird häufig in Unternehmen jeder Größe verwendet, wenn diese ihren Online-Datenverkehr sichern möchten. Obwohl es sich hier um eine Standardpraxis handelt, funktionieren einige Apps für Video-Telefonie nicht damit. Teams ist eine dieser Anwendungen. Sie schieben die Schuld auf die schlechte Konfiguration des VPN, aber das Problem liegt an der Anwendung selbst.

Man erkennt eine Lösung, die Sicherheit wirklich ernst nimmt, in der Regel daran, dass sie nur TCP/TLS1.2-Verschlüsselung nutzt. Sie werden nicht dazu aufgefordert in Ihrer bereits vorhandenen Sicherheitsinfrastruktur Änderungen vorzunehmen, um Video-Telefonie über UDP zuzulassen oder mithilfe von Netzwerkkonfigurationen Sicherheit zu gewährleisten.

Die Cyber-Sicherheit infrastruktur muss respektiert werden

4. Protokoll zur Datenfreigabe

Der Datenaustausch ist ein wichtiger Bestandteil der professionellen Kommunikation. Außerdem bietet er die Möglichkeit, Malware zu verbreiten.

Durch die Freigabe großer Dateien wird das Netzwerk belastet, was die Qualität der Videoanrufe beeinflusst. Das Hauptproblem besteht jedoch darin, dass die Überprüfung aller empfangenen Dateien, in der Regel auch noch unter Zeitdruck, schlicht und einfach nicht möglich ist.

Die beste Möglichkeit, um die Verbreitung von Malware über eine Kommunikationsanwendung zu verhindern, besteht darin, das Teilen von Dateien zu unterbinden.

Als sichere Alternative zum Datenaustausch können Teilnehmer Ansichten auf dem Bildschirm teilen.

Wenn Sie zum Beispiel die Ansicht einer Seite auf Ihrem Bildschirm teilen, können Sie weiterhin zusammenarbeiten, ohne dass ein Datenaustausch nötig ist, was wiederum alle damit verbundenen Sicherheitsrisiken eliminiert. Aus diesem Grund können Dateien nicht über POINTR geteilt werden und stattdessen wird die Bildschirmfreigabe verwendet.