In den letzten Jahren sind drei Produkte zur Kommunikation und Kollaboration besonders präsent gewesen: Microsoft Teams, Zoom und Cisco Webex. Diese Plattformen erfüllen grundlegend ähnliche Aufgaben und haben in Deutschland einen Marktanteil von rund 85 %. Die Frage, welches Tool für Unternehmen aufgrund der angebotenen Funktionen das richtige sein könnte, sollte zweitrangig sein. Erstrangig sollte die Frage sein, wie es um die Sicherheit der Daten und um die Compliance bestellt ist, da die Marktführer das Haftungsrisiko zwischenzeitlich auf den Host, also auf den Organisator der Videokonferenz übertragen haben.

Der Host, heißt es, solle sich vor einer Verwendung der Technologie davon überzeugen, dass die Technologie eine rechtskonforme Anwendung ermöglicht. Nimmt man diese Worthülsen der Anbieter ernst, müsste somit vor jeder Videokonferenz eine forensische Prüfung erfolgen, ob der Anbieter gemäß seinem Angebot verschlüsselt, Daten verwaltet und welche Daten analysiert oder gar an Unterauftragsverarbeiter ausgeleitet werden.

Welche Ergebnisse liefert die IT-Forensik?

Anders als Microsoft Teams bewirbt, managen Standorte in der EU nur einen Teil des Datenverkehrs von Teams und Skype. Unverändert werden beispielsweise Anmeldedaten zentral, also außerhalb der EU gespeichert. Aber auch Einladungen werden über Server geleitet, die physisch nicht dem Gebiet der EU zugeordnet sind. Entscheidend für Microsoft ist, wie das Unternehmen die länderspezifische Zuteilung der Teilnehmer ermittelt, die allerdings oft nicht mit der geographischen Realität übereinstimmt. So können persönliche Daten der Teilnehmer bereits mit der Einladung in die USA gelangen – ohne, dass hierfür die Zustimmung der Teilnehmer erfolgt. Zu den nicht vertraglich vorgesehenen Datenexporten in Drittländer gehören auch personenbezogene Daten zu Abrechnungs- und Support-Zwecken. Welche Dienstleister Microsoft als sogenannte Unterauftragsverarbeiter einbezieht, ist unverändert intransparent.

Auch Zoom ist aus forensischer Sicht unverändert kritisch aufgestellt, da diese Lösung während der Verwendung die Host-Systeme auswertet. Beispielsweise interessiert sich Zoom dafür, welche Programme auf dem Rechner oder Smartphone sonst ausgeführt werden und für die persönlichen Daten der Teilnehmer von Konferenzen. Zu lesen in den Privacy Notes: “Whether you have a Zoom account or not, we may collect Personal Data from or about you when you use or otherwise interact with our Products“. Während Microsoft und Zoom operative und Meta-Daten in der Cloud verarbeiten und Kunden sich mit der Nutzung der Videokonferenz-Angebote von Grauzone zu Grauzone am Rande der DSGVO bewegen, bewirbt Cisco Webex-Knoten, die es Behörden und Unternehmen ermöglichen sollen, die Knoten und somit die Datensicherheit selbst zu kontrollieren, indem diese in einem eigenen Webex-Knoten verarbeitet werden.

Die On-Premise-Lösung bietet konzeptionell einen großen Vorteil. Die Organisation, die eine Software auf ihrem Server installiert oder ihre Partner damit beauftragt, kann das Maß an IT-Sicherheit der Server selbst bestimmen. Im Idealfall würde somit der Plattformanbieter wie z. B. Cisco nicht mehr die Kontrolle über die Daten der Server erhalten, sondern der Betreiber der Server, also die interne IT oder ein IT-Partner. Konzeptionell kann durch eine analysierbare On-Premise-Lösung die Sicherheit der Daten und die Einhaltung der Compliance garantiert werden, anders als mit Cloud-Anbietern, die ihre Software mit hohen Margen vertreiben und geringen Kosten betreiben möchten und zur Umsatzsteigerung anonymisierte Daten mit den Videokonferenzen gewinnen oder gewonnene Daten für KI-Trainings verwenden.

Kontrolle der Quellcodes

Cisco Webex für die Bundeswehr wird über die Deutsche Telekom bereitgestellt. Ob die Bundeswehr damit von der Telekom eine On-Premise-Lösung zur Verfügung gestellt bekommt, die wirklich den hohen Sicherheitsanforderungen der Bundeswehr genügt, ist fraglich, da nicht davon auszugehen ist, dass Cisco der Telekom oder der Bundeswehr den Quellcode offengelegt hat. Dabei ist der Quellcode essenziell dafür, wie z. B. die Teilnahme an Konferenzen so abgesichert wird, dass die Verbindungen abhörsicher aufgebaut werden können.

An dieser Stelle ist doppelt zu unterstreichen, dass es nicht nur um die Kontrolle des Quellcodes der verwendeten Server geht, sondern auch um die Kontrolle des Quellcodes der Klienten und somit auch über die Updates der Konferenzsysteme. Während man Sicherheitslücken der Server-Software durch moderne Firewallsysteme unter Kontrolle bekommen kann, ist die offene Flanke bei den Klienten nicht beherrschbar.

Dass die Bundeswehr, der Bund und das BSI weiter auf Webex setzen, wundert mich persönlich sehr, da bereits im Oktober 2020 im Bundestag forensische Ergebnisse vorgestellt wurden, die eine Backdoor in Webex nahelegen.

Schlussfolgerungen

Videokonferenz- und Kollaborationstools sind zwar aktuell unverzichtbar, aber mit Vorsicht anzuwenden. Eigene On-Premise-Lösungen sind aus Datenschutz- und Compliance-Gründen empfehlenswert. Wenn man sich die forensischen Ergebnisse der letzten Jahre zu Teams, Zoom und Webex anschaut, sieht man, dass alle getesteten Videokonferenz- und Kollaborationstools unbedingt nachbessern müssen. Die Anbieter haben trotz der Kenntnis von relevanten Sicherheitslücken und Datenschutzproblemen in ihren Angeboten über die letzten Jahre träge oder gar nicht reagiert. Natürlich dürfen Unternehmen in ihrer Wahl der Videokonferenz-Lösung selbst entscheiden, wie wichtig ihnen Datenschutzverordnungen und Compliance sind, aber in der Arbeit mit Staatsgeheimnissen sollten andere Richtlinien beachtet werden. Hier kann man dem Bund nur raten, zügig eine neue Strategie für Verschlusssachen aufzusetzen, die skalierbar ist und nicht an Hardware-Boxen gebunden wird.

Videokonferenz- und Kollaborationstools sind im aktuellen Arbeitsumfeld unverzichtbar, es wird jedoch davor gewarnt, sie sorglos zu verwenden. Eigenständige On-Premise-Lösungen sind empfehlenswert, um Datenschutz und Compliance zu gewährleisten.