Die Corona-Pandemie zwingt Arbeitnehmer und Arbeitgeber dazu, neue Wege zu gehen, denn die physischen Begegnungen, seien sie im Büro oder auf Geschäftsreisen, müssen aktuell auf ein Minimum beschränkt werden. Eine Möglichkeit, um trotz dieser Einschränkungen den persönlichen Kontakt mit Kollegen und Kunden zu halten und sich auszutauschen, sind Videokonferenzen.
Entsprechende Tools erleben seit dem Frühjahr einen bislang ungekannten Boom. Doch das zieht auch Kriminelle an, die in den Online-Konferenzen bzw. dem dortigen Daten- und Informationsaustausch eine reiche Beute sehen.
Auch bei IBM musste man sich im Frühjahr schnell darauf einstellen, dass Meetings verstärkt online stattfinden. Um diesen Übergang möglichst sicher zu gestalten, nahm man das dafür genutzte System Cisco Webex einmal genauer unter die Lupe. Und tatsächlich wurden die Sicherheitsforscher fündig. Drei Sicherheitslücken förderten sie zu Tage, über die Angreifer sich quasi unbemerkt in Meetings einschmuggeln können, ohne dass der Organisator oder andere Teilnehmer eine Chance haben, sie zu entdecken. Die unerwünschten, unsichtbaren Teilnehmer, die sogenannten Geister, können nicht nur dem Gespräch per Audio und Video folgen, sondern auch die Daten der anderen Teilnehmer einsehen, geteilte Dokumente herunterladen und in Chats mitlesen. Eine andere Sicherheitslücke ermöglicht es ausgeschlossenen Teilnehmern, etwa nach dem Ende eines Meetings, im virtuellen Konferenzraum zu bleiben und weiter zu lauschen.
Die Sicherheitslücken betreffen sowohl Meetings mit einer explizit dieser Konferenz zugewiesenen URL als auch Webex Personal Rooms. Letztere sind wohl noch anfälliger für Angriffe, da sie meist eine leicht zu erratende URL haben, die aus dem Namen des Inhabers und dem des Unternehmens besteht. Ausgenutzt wird dabei der sogenannte Handshake-Prozess, den Webex einsetzt um die Verbindung zwischen den Teilnehmern herzustellen. Normalerweise tauschen die Systeme der Konferenzteilnehmer mit dem Server eine Join-Nachricht aus, in der Informationen wie Client-Anwendung, Meeting-ID, Details zum virtuellen Konferenzraum etc. enthalten sind. Dieser Vorgang wird als Handshake bezeichnet. Um nun als Geist an einem Meeting teilzunehmen, werden die Join-Nachrichten von Cyberkriminellen manipuliert. So können diese einer Videokonferenz beitreten, ohne von den anderen Teilnehmern wahrgenommen zu werden.
Potenzielle Angreifer haben verschiedene Möglichkeiten, um die Sicherheitslücken auszunutzen. So können sie sich beispielsweise auch unbefugt in ein Meeting einklinken. Lediglich das gewohnte akustische Signal, das einen neuen Teilnehmer ankündigt, könnte ihre Anwesenheit verraten. Allerdings wird dieses Signal gerade bei großen Konferenzen gerne ausgeschaltet oder der Organisator achtet schlicht nicht darauf, wie viele Pieptöne erklungen sind. Die zweite Möglichkeit ist, nach einem Meeting, bei dem die Anwesenheit des Geistes vielleicht sogar erwünscht war, einfach im entsprechenden Konferenzraum zu bleiben. Da es nicht unüblich ist, mehrere Meetings mit unterschiedlichen Teilnehmern im gleichen virtuellen Raum abzuhalten, besteht so die Chance, vertrauliche Informationen zu erhalten und unbemerkt Folgegesprächen zu lauschen. Diese Möglichkeit besteht sowohl wenn der Organisator die Verbindung des Teilnehmers getrennt hat als auch wenn der Teilnehmer selbst die Verbindung beendet. Kombiniert mit Social Engineering besteht bei dieser Taktik zudem die Gefahr, dass sich Hacker Zugang verschaffen, indem sie sich unter dem Namen eines legitimen Teilnehmers einwählen und dann die sichtbare Verbindung beenden. Dem Organisator wird das zwar auffallen, jedoch wird er es vermutlich auf Probleme mit der Internetverbindung schieben, die ja im Homeoffice durchaus vorkommen können.
Ein weiteres großes Problem dieser Sicherheitslücken ist die Tatsache, dass Angreifer nicht nur den Inhalt der Meetings ausspähen können, sondern auch detaillierte Informationen zu den Teilnehmern erhalten. Insbesondere die IP-Adressen können problematisch werden, wenn Mitarbeiter sich aus dem Homeoffice zuschalten, denn darüber können Angreifer den Internetprovider, die Position und Daten über das Heimnetzwerk erhalten. Da nur die wenigsten Internetnutzer zu Hause die gleichen Sicherheitsstandards haben wie im Büro, lassen sich auf diese Art weitere Angriffe planen. Diese Daten konnten die Sicherheitsforscher sowohl bei den Teilnehmern von laufenden Meetings abrufen als auch bei solchen, die sich vor Beginn einer Konferenz in der Lobby befanden.
Doch wie lassen sich solche Angriffe verhindern? Im Fall von Webex ist das relativ einfach zu beantworten: Indem man das entsprechende Update von Cisco einspielt, mit dem die Sicherheitslücken geschlossen werden.
Jedoch sind auch andere Videokonferenzsysteme angreifbar und selbst wenn diese drei Schwachstellen nun geschlossen sind, könnten Hacker jederzeit neue Möglichkeiten finden, Webex zu attackieren. Daher sollten Unternehmen klare Regeln für die Nutzung festlegen. Dazu gehört im ersten Schritt eine Evaluation, wie vertraulich ein Meeting zu behandeln ist, beziehungsweise wie sensibel die Informationen sind, die besprochen werden sollen. Dementsprechend können dann Sicherheitsmaßnahmen ergriffen werden. Es ist ratsam immer unique Meeting-IDs zu benutzen, anstatt einfach einen herkömmlichen virtuellen Konferenzraum zu wählen. Auf diese Art verhindert man, dass die Meeting-ID erraten oder hergeleitet werden kann. Ein Passwort für den Konferenzraum schützt zusätzlich, ist aber nicht immer möglich. Organisatoren sollten außerdem die Benachrichtigungen aktivieren und auf akustische Signale achten. Nach Beginn des Meetings ist es zudem sinnvoll, den Raum virtuell abzusperren. So müssen verspätete Teilnehmer „anklopfen“, bevor sie eintreten können. Ist das Gespräch beendet, sollte auch das Meeting geschlossen werden, bevor neue Teilnehmer für den folgenden Call eingelassen werden. So können Geister nicht einfach „sitzenbleiben“ und weiter zuhören. Und zu guter Letzt: Wenn dem Organisator irgendetwas verdächtig vorkommt, sollte er das Meeting lieber umgehend beenden und dann komplett neu starten.
www.8com.de