Sicherheit, Transparenz und offene Standards: Unser Engagement für Videokonferenzen der Enterprise-Klasse

Update: Am 2. April 2020 kündigte der Videokonferenzanbieter Zoom ein 90-tägiges Einfrieren von Funktionen an, um Datenschutz- und Sicherheitsprobleme zu identifizieren und zu beheben, über die in der Presse ausführlich berichtet wurde. Lifesize bietet derzeit sechs Monate an unbegrenzter, kostenloser Videokonferenzdienst an alle Zoom-Kunden, die eine alternative Plattform benötigen.


Videokommunikation und Zusammenarbeit waren noch nie so wichtig für Unternehmen. Vorbei sind die Zeiten, in denen Video am Arbeitsplatz eine Neuheit war; Es wird jetzt nicht nur in vielen Fällen erwartet, sondern ist eine Kerntechnologie, um die Arbeit zu erledigen. Das Zeitalter der Videokommunikation ist angebrochen und bringt eine Welle neuer Kollaborationsmethoden mit sich, die von Inhalten in 4K-Qualität bis hin zu digitalen Whiteboards und mehr reichen.

Sicherheit, Transparenz und offene Standards: Unser Engagement für Videokonferenzen der Enterprise-Klasse

Bei Lifesize hören und sehen wir dies jeden Tag in Gesprächen mit aktuellen und potenziellen Kunden, unseren Partnern und unseren Kollegen in unserem gesamten Ökosystem. Natürlich ist der Trend nicht auf Lifesize beschränkt, wie unzählige Analystenberichte und Marktanalysen zeigen, die alle auf den schnellen Aufstieg der Video-Collaboration auf der ganzen Welt hinweisen.

Das Analystenhaus Frost & Sullivan geht davon aus Videokonferenzen Der Markt wird von 12.1 bis 2018 im Jahresvergleich um durchschnittlich 2023 Prozent wachsen, was in den nächsten fünf Jahren eine Branche von 13.82 Milliarden US-Dollar darstellt. Zum eine Branche, die seit 30 Jahren im Entstehen ist Um diesen Kurs beizubehalten, ist es jedoch zwingend erforderlich, dass wir uns gemeinsam mit dem Elefanten im Raum befassen: der Sicherheit. Es ist längst an der Zeit, dass Videokonferenzanbieter die grundlegenden Kriterien berücksichtigen, die alle unternehmenskritischen Anwendungen erfüllen müssen – und zwar mit Transparenz.

Cloud-Sicherheit: Eine unklare Prognose

Sicherheit, Transparenz und offene Standards: Unser Engagement für Videokonferenzen der Enterprise-Klasse 

Informationssicherheit ist ähnlich wie eine Lebensversicherung – wichtig, aber nicht das lebhafteste Thema, das diskutiert werden muss.

Es ist verlockend anzunehmen, dass die Technologien, die wir in unserem Berufs- und Privatleben verwenden, sicher sind. Leider sind Datenschutzverletzungen allzu häufig, und fast jede Technologiekategorie – von sozialen Medien über Spiele und Einzelhandel bis hin zu Kommunikationsplattformen – wurde in jüngster Zeit beeinflusst. In den letzten Wochen hat die Die Washington Post schrieb ein langes Exposé, in dem detailliert beschrieben wird, wie einfach es für Hacker ist, „intelligente“ Geräte mit einer Technik namens „Credential Stuffing“ zu kompromittieren, bei der Angreifer durchgesickerte E-Mail-Adressen und Passwörter mit einfacher Automatisierung kombinieren, um Zugriff auf Thermostate, Kameras und mehr zu erhalten. Wenn überhaupt, hat die schiere Menge an Daten und Sicherheitsverletzungen zu einer Kultur der Desensibilisierung gegenüber ihren Auswirkungen geführt.

Laut der Sicherheits- und Risikomanagement-Trends 2019 von Gartner, stellt die schnelle Einführung von Cloud-Technologien „Sicherheitsteams unter Druck“ und überträgt Cloud-Anbietern eine noch größere Verantwortung für die Bereitstellung sofort einsatzbereiter Sicherheitsfunktionen, um sowohl Kunden zu schützen als auch IT-Experten, die mit der Verwaltung beauftragt sind, zu entlasten eine ständig wachsende Zahl von Anwendungen und Diensten. In Bezug auf die Nutzung von Software-as-a-Service (SaaS)-Anwendungen rät Gartner Kunden zu prüfen, ob Anwendungen „angemessen geregelt und sicher genutzt“ werden.

In einer Research Note vom Februar 2019 schrieb Gartner-Analyst Jay Heiser: „Der Mangel an Einigkeit darüber, welche Unternehmensrolle für die SaaS-Governance verantwortlich ist, und der relative Mangel an Richtlinien, die mehr Spezifität in Bezug auf die SaaS-'Eigentümerschaft' erfordern, haben dazu beigetragen, die Dringlichkeit der SaaS-Kontrolle zu verschleiern. Der relative Mangel an Transparenz und Verwaltung dieser zunehmend allgegenwärtigen Form der Datenverarbeitung führt zu Sicherheits- und Compliance-Fehlern.“

Es bleibt abzuwarten, wo Unternehmen landen werden, wenn es darum geht, wer letztendlich für die Durchsetzung und Verwaltung der Cloud-Sicherheit verantwortlich ist. Klar ist jedoch, dass Anbieter bei der Kommunikation von Sicherheitspraktiken und -funktionen viel proaktiver sein sollten, um Käufern und Kunden zu helfen, zu verstehen, was sie für ihre Investitionen erhalten und was sie basierend auf den Sicherheitsanforderungen und der Risikotoleranz ihres Unternehmens erwarten können.

Sichere Kommunikation: Die unausgesprochene Wahrheit über Video

Aufgrund der schnellen Einführung von BYOD-Richtlinien (Bring Your Own Device) und des Trends, dass Geschäftsbereichsleiter Anwendungen auswählen, die nicht von der IT verwaltet werden, haben viele Organisationen jetzt Schwierigkeiten, einfach den Überblick darüber zu behalten, welche Anwendungen verwaltet werden benutzt, ganz zu schweigen von den Auswirkungen auf die Informationssicherheit.

In einer von Frost & Sullivan durchgeführten Studie unter IT-Entscheidungsträgern, um zu verstehen, warum sich Unternehmen dafür entscheiden nicht Cloud-Dienste nutzen, waren Bedenken hinsichtlich des unbefugten Zugriffs auf Daten das Haupthindernis für die Einführung.

Sicherheit, Transparenz und offene Standards: Unser Engagement für Videokonferenzen der Enterprise-Klasse  

Bei Videokonferenzen spielt die Sicherheit oft eine untergeordnete Rolle. Bei so viel Aufmerksamkeit, die dem Schutz von PII-Daten, Krankenakten, Finanzdaten und vielem mehr gewidmet wird, vergessen Unternehmen leicht die Daten, die während Meetings und zwischen Mitarbeitern, Partnern und Kunden innerhalb und außerhalb des Unternehmens übertragen werden. Schließlich sind Videokonferenzen kaum so verlockend wie eine Datenbank voller sensibler Kundendaten, oder?

Leider hat diese Wahrnehmung zu Selbstzufriedenheit geführt, was dazu führt, dass CISOs und IT-Entscheidungsträger allzu oft nicht für die gemeinsam genutzten Daten und die letztendliche Verantwortung für deren Schutz verantwortlich sind. Erschwerend kommt hinzu, dass die Sicherheit von Videokonferenzen vielschichtig ist und Organisationen dazu zwingt, über eine Reihe wichtiger Aspekte ihrer Infrastruktur und Governance nachzudenken, einschließlich der Art und Weise, wie Daten übertragen und gespeichert werden, Zugriffskontrollen, Authentifizierungsrichtlinien, HIPAA-KonformitätUnd vieles mehr.

Kommunikationsdienste stellen in vielerlei Hinsicht die „letzte Meile“ der Informationssicherheit dar.

Niemand möchte über das Was-wäre-wenn-Szenario nachdenken, bei dem jemand vertrauliche Informationen abfängt oder eine Videokonferenz ausspioniert. Das zunehmende Volumen von Datenschutzverletzungen „Man-in-the-Middle“-Angriffe und Sicherheitsbedrohungen zeigt, dass Unternehmen sorgfältig prüfen sollten, ob die Sicherheitsvoreinstellungen der Videokommunikationsanbieter für die Daten, die über ihre Dienste übertragen werden, angemessen sind.

Unser Bekenntnis zu Sicherheit, Transparenz und Offenheit

Im Jahr 2014 initiierte Lifesize ein mehrjähriges Projekt zur Neugestaltung unseres Cloud-Videokonferenzdienstes von Grund auf im Hinblick auf Sicherheit und Zuverlässigkeit.

Technik für Transparenz

Eine entscheidende Komponente dabei ist das Web-Real-Time-Communication-Protokoll (WebRTC), das den Kunden Transparenz und Gewissheit über die Funktionsweise des Dienstes bietet. Wir haben unsere Plattform aus mehreren Gründen auf WebRTC umgebaut. 

Erstens möchten wir, dass Videokonferenzen für alle zugänglich sind. Um dies zu erreichen, war WebRTC eine offensichtliche Wahl und bei weitem der zuverlässigste, bewährteste und leistungsstärkste Mechanismus zur Bereitstellung eines zusammenhängenden Videokonferenzerlebnisses über Betriebssysteme, Geräte und Browser hinweg, die von Lifesize unterstützt werden. Seit wir 2015 die Unterstützung für WebRTC angekündigt haben, hat es sich stark entwickelt; heute Fast alle gängigen Browser unterstützen WebRTC nativ.

Zweitens sind wir fest davon überzeugt, dass Offenheit gut für die Kunden ist. Wie alle Open-Source-Technologien wurde WebRTC in der Öffentlichkeit entwickelt (und wird weiterhin verbessert), mit Beiträgen von Tausenden von Ingenieuren und branchenführenden Unternehmen wie Apple, Google, Mozilla, Microsoft und anderen. Während Open-Source-Software per Definition nicht sicherer ist, hat sich herausgestellt, dass Code, der regelmäßig von mehreren Stellen überprüft und getestet wird, zu robusteren, sichereren Technologien führt.

Durch WebRTC ist Lifesize in der Lage, unseren Kunden ein zuverlässiges, konsistentes und sicheres Erlebnis zu bieten, ohne Unklarheiten darüber, wie dieses Erlebnis entwickelt wird. Obwohl wir danach streben, das Vertrauen jedes Kunden zu gewinnen, erwarten und ermutigen wir sie uneingeschränkt, Fragen zur Funktionsweise unseres Dienstes zu stellen – so wie sie es bei jedem Anwendungs- oder Dienstanbieter tun sollten.

Sicherung der letzten Meile

Heute läuft unsere Cloud auf Amazon Web Services (AWS), die eine Vielzahl zusätzlicher Sicherheitsvorteile bieten, darunter erstklassige Netzwerk-Firewalls, robust Compliance-Kontrollen und 99.9% garantierte Betriebszeit über hochsichere Rechenzentren auf der ganzen Welt bereitgestellt.

Darüber hinaus gewährleistet Lifesize umfassende, sichere Videokonferenzen für unsere Kunden durch Aufschichten auf:

  • Verschlüsselung standardmäßig: 100 Prozent der Kommunikation auf der Lifesize-Plattform wird durch 128-Bit-AES-Verschlüsselung (Advanced Encryption Standard) der Enterprise-Klasse für Medien und TLS-Verschlüsselung (Transport Layer Security) für die Signalisierung gesichert. Standardmäßig wird die Verbindung jedes Lifesize-Kunden mit Einweg-Verschlüsselungsschlüsseln verschlüsselt. Da Lifesize außerdem von Grund auf mit WebRTC entwickelt wurde, das sichere Verbindungen erfordert, ist jeder Anruf – entweder über unsere nativen Apps oder browserbasierte Webanwendungen – ausnahmslos gesichert.
  • Sichere Datenspeicherung: Aufzeichnung und Wiedergabe von Lifesize-Meetings werden während der Übertragung mit 128-Bit-AES und während der Speicherung mit 256-Bit-AES verschlüsselt. Benutzerkennwörter werden immer verschlüsselt und es werden keine Klartextkennwörter in der Cloud gespeichert.
  • Sichere Authentifizierung: Lifesize lässt sich in führende Single-Sign-On-Anbieter (SSO) integrieren und unterstützt diese, einschließlich Okta, Microsoft Azure® Active Directory, OneLogin und Ping Identity, sodass IT-Administratoren Benutzerberechtigungen einfach konfigurieren und Anforderungen an die Kennwortaktualisierung und -komplexität durchsetzen können, wodurch die Erfolgswahrscheinlichkeit verringert wird Credential Stuffing oder andere endbenutzerorientierte Angriffsmethoden.
  • Besprechungssicherheit: Lifesize Virtual Meeting Rooms (VMRs) können gesichert werden, sodass ein Passwort erforderlich ist, um Zugang zu einem Meeting zu erhalten. Meeting-Moderatoren können auch problemlos auf eine vollständige Teilnehmerliste zugreifen und bei Bedarf einzelne Personen entfernen. Kunden haben auch die Möglichkeit, „wegwerfbare“ einmalige Meetings zu verwenden, um zu verhindern, dass unbefugte Gäste Meetings beitreten, indem sie Details aus einer früheren Einladung verwenden.
  • Firewall/NAT-Traversal: Unsere Architektur hält Lifesize-Raumsysteme und Client-Software sicher hinter bestehenden Firewalls und verwaltet Firewall-Traversal durch unsere globalen Anrufknoten. Daher müssen weder Firewall-Ports für eingehenden Datenverkehr aus dem Internet geöffnet werden, noch ist eine statische öffentliche IP-Adressierung oder komplizierte statische NAT- und Portweiterleitungs-Firewall-Konfigurationen erforderlich. Organisationen können ihre bestehende Perimeter-Position beibehalten und Benutzer und Geräte vor unerwünschten SIP- und H.323-Anrufen schützen, die im offenen Internet üblich sind.

Auf der Suche nach Sicherheit, Transparenz und Offenheit

Sicherheit und ihre Begleiter stellen eine komplexe und sich ständig weiterentwickelnde Herausforderung für große und kleine Unternehmen dar, sollten jedoch höchste Priorität haben. IT-Entscheidungsträger und Unternehmensleiter müssen sich die Zeit nehmen, die Risikoprofile ihrer Anbieter zu bewerten und zu verstehen, ob jedes ihrer Kommunikationstools – unabhängig davon, ob es zentral von der IT verwaltet wird – zum Schutz vertraulicher Daten entwickelt und konfiguriert ist.

Leider verlangen viele Dienstanbieter von Benutzern, dass sie sich für grundlegende Sicherheitsfunktionen entscheiden, anstatt sich an Unternehmensstandards zu halten. Wenn Anbieter Sicherheit, Transparenz und Offenheit nicht standardmäßig priorisieren, sollten Unternehmen überlegen, ob ihre privaten Kommunikationen und Daten gefährdet sind.