In den letzten Monaten wurden Videokonferenzen zum Rückgrat von Unternehmen und öffentlichen Einrichtungen. Doch bei vielen Lösungen bestehen Sicherheitsbedenken. Dabei passen Videoconferencing und Security zusammen. Vor allem auf zwei Bereiche kommt es an: Datensicherheit und Verfügbarkeit.
Team-Meeting, Kundentermin, Brainstorming, kurzer Austausch unter Kollegen, Abstimmung zwischen Abteilungen. Oder auch: interne Besprechung, Bürgersprechstunde, öffentliche Versammlung und Sitzung des Kommunalparlaments – ob in Unternehmen oder Verwaltung, Privatbetrieb oder öffentlicher Einrichtung: Seit Beginn der Corona-Pandemie im Frühjahr 2020 geschieht die Kommunikation in vielen Bereichen weitgehend online. Dabei sind Videokonferenzsysteme und Collaboration-Plattformen zu essenziellen Instrumenten geworden, ohne die ein Weiterarbeiten nicht möglich und vieles zum Stillstand gekommen wäre. Urplötzlich musste alles online passieren, was zuvor im direkten Kontakt erledigt werden musste und das möglichst ohne Reibungsverluste, Produktivitäts- oder Effizienzeinbußen.
Aber eben auch ohne Abstriche an IT-Sicherheit und Datenschutz, schließlich durfte die plötzliche Digitalisierung nicht dazu führen, dass Unternehmen oder Verwaltungen verwundbarer und wichtige Informationen, Daten und Prozesse kompromittiert werden. Die Diskussion darüber, ob solche Plattformen wirklich sicher und datenschutzgerecht sind, gibt es schon länger – mit Pandemie und Homeoffice hat sie sich deutlich intensiviert. Schließlich kommen viele der Anbieter aus den USA und unterliegen generell nicht den strengen deutschen und europäischen Sicherheitsstandards und Datenschutzanforderungen. Wie sicher die Daten sind, ob es Probleme etwa mit der DSGVO-Compliance geben könnte und wie groß die Gefahr von Datenlecks oder Hackerangriffe sind, wurde und wird breit debattiert. Gerade im öffentlichen Sektor und im Bildungsbereich herrscht nach wie vor Unsicherheit, was erlaubt und was sicher ist, und wie sich Datenschutz und Online-Kommunikation verbinden lassen.
Die größten Sicherheitslücken und Gefahren bei Videokonferenzsystemen
Es gibt zwei Bereiche, die besonders wichtig sind, wenn es um die Sicherheit im Bereich Videoconferencing geht. Der erste und entscheidende ist sicherlich die Datensicherheit. Dabei geht es um die Integrität, die Vertraulichkeit und die Verfügbarkeit von Daten, die in Unternehmen und Einrichtungen erhoben und genutzt werden. Dabei kommt dem Datenschutz, also der Sicherheit personenbezogener Daten, eine Schlüsselrolle zu. Ob beim Kundentermin oder der Bürgersprechstunde: Wer online konferiert, erwartet die gleiche Sicherheit und Vertraulichkeit wie in einer realen Umgebung. Was nicht nach außen dringen soll, darf es auch nicht. Dabei geht es um Sicherheitslücken, die Daten öffentlich machen können, Hackerangriffe oder den Zugriff beispielsweise von Ermittlungsbehörden. Hier keine Angriffsfläche zu bieten, ist entscheidend.
Zweiter Punkt ist die Verfügbarkeit. Wenn die Arbeit remote erfolgen soll, muss sichergestellt sein, dass die Lösungen immer verfügbar sind. Wenn man sich nicht darauf verlassen kann, dass eine Sitzung, ein Meeting oder eine Versammlung stattfinden kann, schwindet Vertrauen und sinkst die Produktivität. Das gefährdet Arbeitsabläufe oder – im öffentlichen Bereich – sogar die Funktionsfähigkeit der Verwaltung.
Worauf Unternehmen und öffentliche Einrichtungen achten sollten
Wer ein sicheres Videokonferenzsystem finden will, muss daher darauf achten, wie die entsprechende Lösung die oben genannten Punkte löst. Zunächst Datensicherheit und Datenschutz: Hier ist entscheidend, ob das System die geltenden Datenschutzregeln einhält. In der EU ist das vor allem die Datenschutz-Grundverordnung (DSGVO). Ist das System nicht DSGVO-konform, sollten Unternehmen die Hände davon lassen, da sie durch seinen Einsatz potenziell gegen die Verordnung, die seit 2018 geltendes Recht in Deutschland ist, verstößt.
Für den öffentlichen Sektor wäre das ohnehin ein klares Ausschlusskriterium. Doch selbst wenn DSGVO-Compliance angegeben ist, lohnt sich ein genauerer Blicke. Wichtig ist dabei unter anderem, wo die erhobenen Daten gespeichert und verarbeitet werden. Dies muss innerhalb der EU geschehen, wobei auch Drittanbieter zu beachten sind. Diese werden zum Beispiel für E-Mail-Benachrichtigungen oder Kundenservice eingesetzt. Auch hier gilt: Die Daten dürfen das EU-Gebiet nicht verlassen. Tipp: Bei der Anbieterauswahl darauf achten, in das Unternehmen garantiert, dass die Daten einen bestimmten Rechtsbereich, etwa die EU nicht verlassen.
Wichtig ist darüber hinaus, wie sicher die eingesetzte IT-Infrastruktur ist. Dabei sind ISO/IEC 27001 zu nennen. Diese schreibt ein umfangreiches IT-Managementsystem vor, dessen Umsetzung die bestmögliche Absicherung datenverarbeitender Infrastrukturen sicherstellt. Verfügt der Anbieter über dieses Zertifikat, kann der Kunde von bestmöglicher IT- und Datensicherheit ausgeben. Ein weiterer Punkt ist Verschlüsselung: Wo es möglich ist, also beispielsweise in internen Meetings, sollte eine Ende-zu-Ende-Verschlüsselung eingesetzt werden. Und schließlich ist auch die physische Sicherheit der IT-Infrastruktur sicherzustellen, etwa in den Rechenzentren. Auch das deckt beispielsweise die ISO/IEC-Zertifizierung ab. Bei StarLeaf haben wir das umgesetzt. Neben ISO/IEC 27001 und einer Reihe weiterer Zertifizierungen können Kunden auswählen, in welcher Region ihre Daten verarbeitet werden sollen. Auch die Möglichkeit, ausschließlich Anbieter für Drittservices, die im EU-Raum agieren, zu nutzen, gibt es. Hinzu kommen zahlreiche strenge Zertifizierungen, darunter ISO/IEC 27001.
Was zum zweiten wichtigen Punkt führt: der Verfügbarkeit. Auch dafür ist die Absicherung der Infrastruktur, etwa gegen Einbrüche, Stromausfälle oder andere unvorhergesehene Unfälle wichtig. Entscheidend ist dabei aber die Redundanz: Fällt ein System aus, muss ein Ersatzsystem bereitstehen, das sofort einspringen kann. Per SLA (Service-Level-Agreement) garantierte Ausfallsicherheiten sind hier ein guter Anhaltspunkt. Die so sichergestellte Verfügbarkeit sollte bei weit über 99 Prozent liegen (bei StarLeaf sind es 99,999 Prozent), damit ein verlässlicher Einsatz der Lösung möglich ist. So lässt sich Videoconferencing mit Datensicherheit verbinden, die auch strengste Anforderungen erfüllt.