Die Zahl der beruflichen und privaten Videokonferenzen hat stark zugenommen. Das weckt das Interesse der Datendiebe. Ohne die erforderlichen Sicherheitsmaßnahmen ist die Vertraulichkeit der Gespräche und ausgetauschten Daten in Gefahr.
Der Berufsalltag wandelt sich
Wissenschaftler gehen davon aus, dass die Corona-Pandemie die Arbeitswelt auch längerfristig verändert. Im Arbeitsalltag werden wohl häufiger virtuelle Treffen anstelle von Konferenzen vor Ort stattfinden.
Leider fehlt vielen Berufstätigen noch die Erfahrung, um Videokonferenzen sicher nutzen zu können. Dadurch gerät der Datenschutz in Gefahr.
Videokonferenzen bergen viele Risiken
Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, betont: „Da Videokonferenzen für viele neu sind, haben nicht alle im Blick, welche Risiken damit verbunden sind. Gerade in der Kombination mit Homeoffice ist einiges zu beachten. Um die Teilnehmenden von Videokonferenzen und die besprochenen Inhalte zu schützen, sind technische und organisatorische Sicherheitsmaßnahmen wichtig.“
IT-Sicherheitsexperten warnen davor, dass zum Beispiel ein ungebetener Gast an einer Videokonferenzsitzung teilnehmen könnte, um entweder das Gespräch mitzuhören oder die Sitzung durch den Austausch ungeeigneter Medien zu stören. Ebenso könnten Meeting-Links und -Zugänge gestohlen sowie bösartige Links und Schadsoftware verteilt werden.
Im Juni 2020 warnte zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik (BSI), dass Angreifer mehrere Schwachstellen in Zoom Video Communications ausnutzen konnten, um Schadcode auszuführen. Unter anderem konnte dies mittels speziell manipulierter animierter Bilddateien geschehen. Für einen Angriff genügte es, die vom Angreifer versendete Datei im Chat empfangen zu haben. Die Datei musste nicht extra geöffnet werden.
Auf eine sichere Lösung kommt es an
Die Aufsichtsbehörden für den Datenschutz warnten in den letzten Monaten vor verschiedenen Lösungen für Videokonferenzen, weil personenbezogene Daten in Gefahr geraten konnten, und empfahlen datenschutzfreundlichere Alternativen.
Die Berliner Beauftragte für den Datenschutz zum Beispiel empfiehlt, zu prüfen,
- ob anstelle von Videokonferenzen auch Telefonkonferenzen ausreichen könnten, um die gewünschte Abstimmung untereinander herbeizuführen,
- ob es mit verhältnismäßigem Aufwand möglich ist, einen eigenen Dienst für Videokonferenzen mit öffentlich verfügbarer oder kommerziell erhältlicher Software bereitzustellen, und
- ob Lösungen eines Anbieters mit Sitz und Verarbeitungsort, insbesondere Server-Standort, im Europäischen Wirtschaftsraum (EWR) oder aus einem Land mit gleichwertigem Datenschutzniveau den Bedürfnissen des jeweiligen Unternehmens entsprechen.
Der gewählte Anbieter sollte die Daten nur im zulässigen Rahmen verarbeiten und insbesondere nicht entgegen europäischem Datenschutzrecht an Dritte – einschließlich ausländischer Behörden – weitergeben, ausreichende Datensicherheit (zum Beispiel durch Zertifizierung) nachweisen können, die Verschlüsselung der Datenübertragung garantieren und einen ordnungsgemäßen Auftragsverarbeitungsvertrag anbieten.
Auch wichtig: das richtige Verhalten der Teilnehmerinnen und Teilnehmer
Allein die Wahl einer datenschutzgerechten Lösung reicht aber nicht, sie muss auch genutzt werden: Laut einer Kaspersky-Studie verwenden 26 Prozent der deutschen Mitarbeiter nicht genehmigte Videokonferenz-Tools und setzen die eigenen Daten und die Daten des Arbeitgebers möglichen Angriffen aus. Security-Experten beobachten den Trend, der BYOM (Bring Your own Meeting) genannt wird, also die Verwendung privater Videokonferenz-Lösungen zu betrieblichen Zwecken. Das kann gerade im Home-Office leicht passieren.
Bei den „kostenfreien“ Diensten sollte man ganz genau in die Datenschutzbestimmungen schauen. Oftmals zahlen die Nutzer hier mit ihren Daten. Das kann nicht im Sinne von Unternehmen sein und auch nicht im Sinne des Nutzers selbst.
Für den Datenschutz kommt es deshalb auch auf das Verhalten der Teilnehmer an. Die Datenschutzaufsicht von Schleswig-Holstein rät den Teilnehmern an Videokonferenzen insbesondere:
- Informieren Sie sich bei der organisierenden Person, ob im Zusammenhang mit der Videokonferenz eine Datenschutzerklärung oder eine Datenschutz-Kurzinformation bereitgestellt wird.
- Testen Sie die Funktionen, mit denen Sie Ihre Privatsphäre schützen können, um sie während der Videokonferenz sicher verwenden zu können, zum Beispiel Ton und/oder Bild deaktivieren.
- Seien Sie sich bewusst, dass in einer Videokonferenz alle anderen Teilnehmenden zuhören, und geben Sie keine sensiblen Informationen weiter.
- Schalten Sie Ihr Mikrofon stumm und ggf. die Kamera aus, etwa wenn im Homeoffice andere Personen aus Ihrem Haushalt in den Aufnahmebereich des Mikrofons oder in das Sichtfeld der Kamera kommen.
- Seien Sie in der Videokonferenz aufmerksam und informieren Sie die organisierende Person bzw. die anderen Teilnehmenden, wenn beispielsweise eine fremde Person den Konferenzraum betritt.