[datensicherheit.de, 08.05.2020] Das Unternehmen Zoom Video Communications hat die Übernahme des Messaging- und File-Sharing-Dienst Keybase übernommen hat. Die Übernahme des Teams von Sicherheits- und Verschlüsselungs­ingenieuren soll nach eigenen Angaben den Plan beschleunigen, eine Ende-zu-Ende-Verschlüsselung aufzubauen, die dem aktuellen Skalierungsgrad der eigenen Videokonferenz-Lösung entspricht.

„Es gibt Ende-zu-Ende-Verschlüsselungs-Kommunikationsplattformen. Es gibt Kommunikations­plattformen mit leicht zu implementierender Sicherheit. Es gibt Kommunikationsplattformen für Großunternehmen. Es gibt aus unserer Sicht aber keine Lösung, die all diese Aspekte vereint. Das ist es, was Zoom aufbauen will: Sicherheit, Benutzerfreundlichkeit und Skalierbarkeit in einer Plattform vereint“, sagt Eric S. Yuan, CEO von Zoom. „Der erste Schritt besteht darin, das richtige Team zusammenzustellen. Keybase bringt tiefgreifende Verschlüsselungs- und Sicherheitsexpertise zu Zoom, und wir freuen uns, Max Krohn und sein Team willkommen zu heißen. Mit einem Team von Sicherheitsingenieuren wie diesem an Bord kommen wir in unserem 90-Tage-Plan zur Verbesserung unserer Sicherheitsbemühungen erheblich voran.“

„Keybase freut sich, Teil des Zoom-Teams zu werden“, so Max Krohn, Mitbegründer und Entwickler von Keybase.io. „Unser Team setzt sich leidenschaftlich für Sicherheit und Datenschutz ein, und es ist uns eine Ehre, unser Verschlüsselungs-Know-how auf eine Plattform zu bringen, die täglich von Hunderten von Millionen Teilnehmern genutzt wird.“

Beitrag zum 90-Tage-Plan des Unternehmens

Als Mitglieder des Zoom-Sicherheitsteams soll das Keybase-Team wichtige Beiträge zum 90-Tage-Plan leisten, um die Sicherheits- und Datenschutzfunktionen der Plattform proaktiv zu verbessern. Max Krohn wird das Team für Sicherheitstechnik leiten und direkt an Eric S. Yuan berichten. Führungskräfte sollen gemeinsam die Zukunft des Keybase-Produkts definieren. Die Rahmenbedingungen der Transaktion wurden nicht bekannt gegeben.

Weitere Informationen zum Thema:

Zoom
Einzelheiten zu den Plänen für den Aufbau des Ende-zu-Ende-Verschlüsselungsangebots (Zoom-Blog)

datensicherheit.de, 22.04.2020
Zoom kündigt Version 5.0 mit Updates für Sicherheit und Datenschutz an

datensicherheit.de, 22.04.2020
Malware: Falsche Zoom-App installiert Cryptominer

datensicherheit.de, 21.04.2020
Zoom-Konferenzen: Sechs Tipps für den sicheren Umgang

datensicherheit.de, 15.04.2020
Sicherheit: Zoom ist keine Malware

datensicherheit.de, 27.03.2020
Zoom, Skype, Teams und Co. – Sicherer Gebrauch von Web-Konferenzensystemen

datensicherheit.de, 24.03.2020
Webinare: Innovatives Lernen in Corona-Zeiten

datensicherheit.de, 20.05.2019
Tenable Research: Download-Schwachstelle in Slack entdeckt

datensicherheit.de, 29.11.2018
Zoom-Konferenzsystem: Tenable Research entdeckt Schwachstelle

[datensicherheit.de, 07.03.2018] Vor kurzem wurde bekannt, dass es Hackern gelungen ist, sich Zutritt in das als hochsicher geltende Datennetzwerk des Bundes zu verschaffen. Aufgefallen sei der Angriff den Sicherheitsbehörden bereits Mitte Dezember und er dauerte laut dem Vorsitzenden des Parlamentarischen Kontrollgremiums wohl bis zum Donnerstag dieser Woche an. Laut bisherigem Informationsstand gelang es den Angreifern, in das Netz des Auswärtigen Amts einzudringen – ob weitere Ministerien ebenfalls betroffen sind, lässt sich derzeit weder bestätigen noch ausschließen. Handelt es sich wirklich um einen über monatelang währenden Angriff, bedeutet dies einen enormen Schaden für die Bundesregierung. So verheerend dieser Angriff auch ist, könnte er dennoch lediglich der Anfang einer verheerenden Angriffswelle sein, sollten Entscheider auf Bundesebene nicht sofortige Konsequenzen hinsichtlich Datensicherheit und Datenschutz ziehen.

Schnelles Handeln nötig

Zum Schutze der sensiblen Daten und in diesem Falle zum Schutze des Landes und der Demokratie muss hier schnell gehandelt werden und eine verbindliche Ende-zu-Ende-Verschlüsselung aller Bundesbehörden durchgesetzt werden. Denn: wo sonst als in den Behörden der Bundesregierung finden sich höchst sensible Daten, deren Kompromittierung weitreichende Folgen hat, in diesem Falle für das Wohl des ganzen Landes und deren Bürger.

Vor vier Jahren erschien die Digitale Agenda der Bundesregierung, in dem als eines der Ziele definiert wurde, Deutschland solle zum „Verschlüsselungsstandort Nummer eins auf der Welt“ werden.  Auch bereits im Jahre 2014 sprachen sich führende IT-Sicherheitsforscher des Fraunhofer Instituts im Rahmen des NSA-Untersuchungsausschusses deutlich für durchgehende kryptographische Lösungen aus, um das Abhören durch Geheimdienste zu erschweren. Doch leider besteht beim Thema Verschlüsselung in Deutschland noch deutlicher Nachholbedarf, wie der jüngste Hacker-Angriff verdeutlicht. Auf Landesebene wurde in Bayern zu Beginn des Jahres erstmals ein Landesamt für Sicherheit in der Informationstechnik (LSI) eröffnet. Ziel sei es, auf die wachsende Bedrohungslage zu reagieren, um die IT des Bundeslandes wie den Bayern-Server und das bayerische Behördennetz sicherer zu machen und Bürger und Kommunen zum Thema IT-Sicherheit zu beraten. Auch sollen hier die digitalen Informationen verschlüsselt werden.

Generell in allen Bereichen der digitalen Kommunikation und beim Thema Datenaustausch, sei dieser behördenintern oder -extern, gilt es eine Lösung zu implementieren, die alle Daten konsequent und jederzeit Ende zu Ende verschlüsselt. Idealerweise erfolgt die Verschlüsselung dreifach: clientseitig, auf dem Übertragungsweg und schließlich auf dem Server. Nur so ist ein Maximum an Datensicherheit beim Austausch von Daten gewährleistet und Angriffe verlaufen somit größtenteils ins Leere. Ein Missbrauch der Daten wird durch diese durchgängige Verschlüsselung verhindert und die autorisierten Nutzer der Lösung haben die volle Datenhoheit, denn niemand außer diesen, nicht einmal der Betreiber, hat Zugriff auf die Daten.

Fazit:

Vernachlässigt der Bund weiterhin das Thema Verschlüsselung, sind weitere IT-Sicherheitsvorfälle vorprogrammiert – noch ist es weiter Weg, bis Deutschland sich wirklich zum „Verschlüsselungsstandort Nummer eins auf der Welt“ entwickelt hat. Sowohl Unternehmen als auch die Regierung müssen hier die Bedrohungslage ernst nehmen und handeln. Handeln bedeutet in diesem Falle, eine bedingungslose, flächendeckende Ende-zu-Ende Verschlüsselung der Kommunikation zum Schutz von Firmen- und Regierungsdaten und somit zum Schutz der Bürger.

Weitere Informationen zum Thema:

datensicherheit.de, 01.03.2018
Nach Hacker-Angriff auf Bundesregierung: Schwierige Suche nach den Tätern

Bei Malware-Untersuchungen von verschlüsseltem Datenverkehr prallen konträre Interessen aufeinander

Von unserem Gastautor Mathias Widler, Area Director Central & Eastern Europe bei Zscaler

[datensicherheit.de, 03.02.2017] Die Datenschutzbeauftragten des Bundes und der Länder haben 2013 entschieden, dass eine Ende-zu-Ende-Verschlüsselung aufgrund des Datenschutzes grundsätzlich geboten ist. Aus Sicht der Datenschutzbeauftragten kann die Vertraulichkeit, Integrität und Authentizität nur durch kryptographische Verfahren gesichert werden. Allerdings steht eine solche SSL-Verschlüsselung nicht gleichzeitig für „sauberen“ Datenverkehr. Zunehmend mehr bösartiger Schadcode wird durch den verschlüsselten Datenverkehr in Unternehmensnetze eingeschleust.

Und hier beginnt der Zwiespalt, denn die Privatsphäre der Mitarbeiter steht dem Schutz des geistigen Eigentums von Unternehmen gegenüber. Durch den Einsatz von SSL-Scanning wird ein verschlüsselter Datentransfer temporär aufgebrochen und damit entschlüsselt, bevor er durch Sicherheitstechnologie zur Erkennung von Schadsoftware untersucht und anschließend wieder verschlüsselt wird. Durch diese Vorgehensweise ist eine durchgehende Ende-zu-Ende-Verschlüsselung nicht mehr gegeben. Allerdings muss einem Unternehmen unter Berücksichtigung datenschutzrechtlicher Aspekte zugestanden werden, konkrete Internet-Gefahren zu minimieren. SSL-Scanning ist eine Möglichkeit, den Internet-Datenverkehr auf schadhaften Inhalt wie Viren, Phishing, Advanced Threats oder Botnets zu untersuchen. Damit dies im Einklang mit dem Zielkonflikt durch den Datenschutz rechtskonform möglich ist, müssen Unternehmen die entsprechenden Vorkehrungen treffen.

Bild: Zscaler

Untersuchung des ThreatLabs von Zscaler

Aktuelle Untersuchungen belegen, dass gerade bei verschlüsseltem Datenverkehr Handlungsbedarf in Sachen Datensicherheit besteht. In Europa sind bereits bis zu 80 Prozent des gesamten Internet-Datenverkehrs SSL verschlüsselt, seit auch Google Search oder sogar Facebook auf HTTPS-Technologie setzen. Die Gefahr besteht darin, dass sich hinter verschlüsselten Seiten zunehmend mehr gefährlicher Schadcode verbirgt. Die jüngsten Untersuchungen der Sicherheitsanalysten des ThreatLabs von Zscaler zeigen, dass 46 Prozent der blockierten Malware in der Zscaler Internet Security Plattform HTTP-basiert war, 31 Prozent war HTTPS-basiert und 23 Prozent war eine Mischung aus beiden. In Summe haben 54 Prozent des Malware-Traffics SSL-verschlüsselten Datenverkehr benutzt, um sogenannte Advanced Persistent Threats an ihr Ziel im Unternehmensnetz zu bringen. Unter den aufgespürten Schädlingen waren Zero-Access-Attacken, Bitcoin-Mining- und Kazy-Trojaner ebenso wie Black Holes, aktuelle Ransomware und Backdoors.

Angesichts dieser Zahlen wird deutlich, dass es angesagt ist, den Interessen von Datensicherheit und Datenschutz gleichzeitig gerecht zu werden. Es gilt eine Sicherheitsstrategie zu entwickeln, die im Einklang mit den gesetzlichen Vorgaben steht und Malware aus dem Unternehmensnetz fernhält. Dazu sollten IT-Abteilung und Betriebsrat zusammenarbeiten. Denn die hohe Anzahl an Schadcode, der hinter SSL-Verschlüsselung verbirgt, macht deutlich, dass Handlungsbedarf besteht, um dem Verlust von Firmendaten und geistigem Eigentum vorzubeugen. Schließlich sollte jedem Unternehmen daran gelegen sein, die eigene Wettbewerbsfähigkeit zu erhalten und damit Arbeitsplätze zu sichern. Es ist nicht mehr zeitgemäß an alten Regelungen festzuhalten, in denen einmal mit dem Betriebsrat beschlossen wurde, verschlüsselten Datenverkehr nicht aufzubrechen.

In einem ersten Schritt tun Unternehmen gut daran, eine Internet-Nutzungsvereinbarung zu definieren beziehungsweise zu aktualisieren. Darin werden die Rahmenparameter für die private und/oder ausschließlich geschäftliche Nutzung des Internets am Arbeitsplatz geregelt. Ist eine solche Vereinbarung vorhanden, muss diese in einen technischen Lösungsansatz integriert werden. Dabei gilt zu berücksichtigen, dass Benutzergruppen für verschiedene Internet-Zugriffsrechtestrukturen angelegt werden können. Durch granulare Einstellungsoptionen wird festgehalten, welche Seiten von dem Prozess des SSL-Scannings ausgeklammert werden, zum Beispiel für Bankgeschäfte. Ein Mitarbeiter muss dieser Internet-Nutzungsvereinbarung vor dem ersten Zugriff auf das Internet zustimmen und diese Zustimmung wird entsprechend geloggt.

Ein respektvoller Umgang mit der Privatsphäre und dem Datenschutz der Mitarbeiter wird durch aktive Kommunikation möglich. Wenn Unternehmen ihren Mitarbeitern bis zu einem gewissen Grad gestatten, die Unternehmensinfrastruktur auch für private Zwecke zu nutzen, heißt das zugleich auch die Privatsphäre bis zu einem gewissen Grad zu respektieren. Das darf aber nicht zu Lasten der Sicherheit der Unternehmensdaten im Firmennetzwerk gehen. Aktive Information der Mitarbeiter tut Not über die Bedeutung, den gesamten Datenverkehr auf Schadcode zu untersuchen, inklusive SSL-verschlüsselter Datenströme. Darin gilt es die Vorteile des Scannens für beide Parteien zu erläutern: Für das Unternehmen als Ganzes und für die persönlichen Belange des Einzelnen. Denn ist das Unternehmenssystem einmal durch Schadcode kompromittiert, gilt das potenziell genauso für das System des Mitarbeiters, wodurch seine private Kommunikation Cyber-Gefahren ausgesetzt wird.

Ist der Dialog darüber eröffnet, kann es eine Reihe von Webseiten geben, die als vertraulich eingestuft werden, wie beispielsweise Onlinebanking-Seiten. Unternehmen können aufbauend auf der Einstufung nach Vertraulichkeit eine Whitelist anlegen für den Teil des SSL-Datenverkehrs, der nicht aufgebrochen wird. Unternehmen respektieren mit Hilfe dieser Listen die private Kommunikation der Mitarbeiter, andererseits senken sie das Volumen des Datenverkehrs, der zu überprüfen ist. Das muss nicht notwendigerweise in einen aufwendigen Prozess münden. Es gibt mittlerweile Technologien, die solche Prozesse automatisieren.

Die IT-Abteilung steht ihrerseits vor der Herausforderung, einen Security-Lösungsansatz zu wählen, der performant genug ist, die SSL-Entschlüsselung und das Scanning auf Malware so zu bewältigen, dass die Anwender keine Leistungseinbußen beim Internet-Zugriff bemerken. Ein Cloud-basierter Internet Security-Ansatz ist aufgrund der Flexibilität und Skalierbarkeit in der Bewältigung des zu untersuchenden Datenaufkommens dabei im Vorteil gegenüber klassischen Hardware-Ansätzen, bei denen die nötige Performanz nur durch zusätzliche Boxen und mehr Verwaltungsaufwand abgedeckt werden kann. Unternehmen profitieren bei der Wahl eines Security as a Service-Ansatzes auch von der Entlastung der internen IT-Ressourcen, denn sie müssen das nötige Security Know-how nicht mehr intern vorhalten. Um Compliance, Datenschutz und Sicherheit bei der Wahl eines Cloud-basierten Sicherheitsansatzes zu gewährleisten, sollten Unternehmen bei der Wahl des Anbieters darauf achten, dass ein Vertrag zur Auftragsdatenverarbeitung die Grundlage der Zusammenarbeit bildet und entsprechende Service Level Agreements vereinbart werden.

Bild: Zscaler

Cloud-basierter Internet Security-Ansatz

Aufbauend auf dem heute vorhandenen Zahlenmaterial zu Malware, die via SSL-verschlüsselten Datenverkehr ins Unternehmen transportiert wird und dem daraus resultieren Gefahrenpotenzial tun Unternehmen gut daran, ihre Sicherheitsstrategie um rechtskonformes SSL-Scanning zu erweitern. Den Betriebsrat gilt es mit seinen Sorgen hinsichtlich des Datenschutzes abzuholen und in den Prozess einzubeziehen.

Weitere Informationen zum Thema:

datensicherheit.de, 21.10.2016
Individueller Netzwerkschutz: Große Nachfrage auf der „it-sa 2016“