Ende-zu-Ende Verschlüsselung bei Videokonferenzen
Auf der Webseite von Datenschutz Nord Gruppe gibt es eine sehr fundierte Übersicht von verschiedenen Videokonferenz-Anbieter.
https://www.datenschutz-notizen.de/ende-zu-ende-verschluesselung-von-videokonferenzen-1825597/
Dr. Torge Schmidt analysierte Zoom, GoToMeeting, WebEx, Bliss, Skype, Teams, Meet und Lifesize nach Möglichkeit, Datenschutz zu gewähren. Mit dem Update von 04.05.2020 keiner der Anbieter war in der Lage, die notwendige Sicherheit anzubieten.
Wie dort ausführlich beschrieben, reichen bereits bestimmte Indizien, um zum Schluss zu kommen, dass eine Ende-zu-Ende Verschlüsselung in vielen Szenarien gar nicht möglich ist:
- Bei der Zufuhr von reinen Telefon-Teilnehmern
- Bei der Integration von bestehenden H323 Konferenzanlagen
- Bei der Option auf Recording
- Bei den anderen Szenarien wo der Video-Stream vom Server bearbeitet wird
Darüber hinaus möchte Ich zwei Anmerkungen hinzufügen.
Eine Ende-zu-Ende Verschlüsselung, z.B. nach dem Muster von WebEx https://help.webex.com/en-us/WBX44739/What-Does-End-to-End-Encryption-Do setzt voraus, dass die Hosts nicht im Cloud stehen, sondern ausreichend sicher Netzwerk-technisch abgeschirmt sind (was im Falle von Cisco Netzwerkinfrastruktur wiederum schwierig ist, Stichwort "Lawfull Interception" ) und die anderen Komponenten, wie Server und Client Betriebssysteme dann nicht kompromittiert sind. Was uns zur der Diskussion in letztem Beitrag führt, wo Windows unbekannte Daten verschlüsselt als "Telemetrie" senden lässt. Die Keystores wären das Erste, was man auslesen würde.
In diesem Zusammenhang sollte man über den Einsatz von USB-Authentifikatoren und Smartcards mit Standard-PKI-Funktionalität an den Client nachdenken. Die Server-Seitige Lösungen können durchaus nicht-Windows basiert sein.