Experten entdecken Sicherheitslücken bei Videokonferenzen

SicherheitSicherheitsmanagement

In Unternehmen werden teils sogar bei Vorstandssitzungen, Entwickler-Besprechungen und Strategie-Meetings einzelne Gesprächspartner per Videokonferenz zugeschaltet. Das könnte der Industriespionage Tür und Tor öffnen.

Sicherheitsexperte HD Moore war der Chefarchitekt des Open-Source-Penetrations-Toolkits Metasploit und ist Sicherheitschef bei Rapid7. In einer monatelangen Untersuchung von Top-End-Videokonf-Systemen, der Analyse aller Hard- und Software-Komponenten und etlichen praktischen Ausspäh-Tests fand Moore heraus, dass etliche Konferenzsysteme beim Routing via Internet im Prinzip ungeschützt sind. Insbesondere jene Anlagen, die das verbreitete H.323-Protokoll nutzen, nehmen oft Anrufe automatisch entgegen. Das sei eine gute Gelegenheit für neugierige Eindringlinge, warnt der Experte.

»Etliche Installationen sind im Internet praktisch nackt, weil sie nicht durch eine Firewall geschützt werden«, bringt es Moore auf den Punkt. Seine Schätzung bewegt sich Richtung 150.000 ungeschützter Systeme. Sogar bei Installationen mit Firewall käme es zu Schwachstellen, da das Protokoll H.323 nicht korrekt behandelt werde und die Hardware daher exponiert sei.

Für versierte Datenspione sei es leicht, die Mikrophone und ferngesteuerten Kameras des Videokonferenzsystems anzuzapfen und die Gespräche zu verfolgen oder aufzuzeichnen. So werde manche Video-Software gedankenlos in den vorkonfigurierten Einstellungen weiterhin genutzt.

»Bei manchen Systemen wird sogar durch die Namensgebung klar, wo sie stehen beziehungsweise dass es ein interessanter Ort ist wie die Vorstandsetage«, wundert sich Mike Tuchen, Chef von Rapid7. Er rät insbesondere den Besitzern von Polycom-Lösungen, die Auto-Antwort-Funktion zu deaktivieren, die hier bei der Auslieferung voreingestellt werde und daher draußen im Markt oft zu entdecken sei. »Diesen Modus zu vermeiden ist die beste Sicherheitsmaßnahme zum Thema Videokonferenz«, betont Tuchen. Ansonsten sei etwas mehr technischer Sachverstand beim Setup von H.323-Gateways empfehlenswert.