Videokonferenzen: Kundenkontakt bitte nur über Anbieter aus Europa

Foto: Snapview
Mark Zondler

So werden Videokonferenzen für Banken und Berater sicherer. Gastbeitrag von Mark Zondler, Snapview

Die jüngste Datenschlamperei passiert in München. Dort sind 140.000 Schüler und Lehrer in einem einzigen virtuellen Klassenzimmer vereint. Der 18-jährige Abiturient aus Schwabing kann den Erstklässler aus Neuperlach direkt anschreiben. Eine Art Münchner Whatsapp ist so entstanden. Nur brauchen die Schüler keine Handynummern kennen. Der Name reicht. Cybermobbing ist im Wortsinn die Tür aufgestoßen.

Homeschooling wird in München über die Software Teams organisiert. Das Problem ist, dass alle Schüler in einer Gruppe angelegt sind. Ein Fehler, nicht zur Nachahmung empfohlen. Schon gar nicht für Banken, Versicherer oder andere Institute, die der Bafin-Aufsicht unterliegen. Wegen Corona musste es bei vielen Firmen und öffentlichen Einrichtungen schnell gehen mit der Digitalisierung. Da werden schon mal Details übersehen. Hier erfahren Sie, wie Videokonferenzen und -beratungen sicherer werden:

Sicherer Datenkanal
Verbindungen zwischen Teilnehmern einer Videokonferenz sollten verschlüsselt sein. Es gibt Ende-zu-Ende-Varianten, bei der einzelne Verbindungen mit jedem Teilnehmer hergestellt werden. Sowie Punkt-zu-Punkt-Versionen, hier ist zwischen Teilnehmer und Server eine Verbindung verschlüsselt. Beide sind sicher. Bei der Server-Variante werden die Daten auf diesem verarbeitet. Damit Institute ihrer gesetzlichen Aufzeichnungspflichten erfüllen können, ist ein Server sinnvoll. Empfehlung: Sicherstellen, dass die Datenübertragung per SSL/TLS verschlüsselt ist.

Zutrittskontrolle
Kreditinstitute und Makler sollten sich fragen, wer die Videokonferenz mit Kunden starten kann und wer daran teilnimmt. Misstrauisch sollten sie sein, wenn immer wieder die gleiche Sitzungsnummer verwendet wird, es nur einen Zugangslink gibt. Oder der Verdacht besteht, dass Informationen an Dritte weitergegeben werden. Empfehlung: Die Sitzungsnummer variieren. Zudem sollte sie aus mindestens acht Zeichen bestehen. Ein Passwort sorgt für zusätzliche Sicherheit, am besten über einen zweiten Kanal wie SMS übermitteln.

Identifizierung der Teilnehmer
Teilnehmer einer Videoberatung sollten sich vergewissern, dass sie ihre Gegenüber kennen. Empfehlung: Wer die Teilnehmer nicht persönlich kennt, sollte sich den Personalausweis zeigen lassen oder Merkmale abfragen. Das Beste ist eine GWG-konforme Legitimation.

Mithören und Zusehen
Wer laut am Telefon spricht oder den Raum mit Kollegen teilt, riskiert, dass Gespräche gehört und der Bildschirm gesehen wird. Empfehlung: Headset benutzen und auf die Umgebung achten. Vor dem Gespräch prüfen, was dort zu sehen ist. Den Flipchart im Rücken bitte wegstellen. Vertrauliche Informationen besser via Chat übermitteln, statt mündlich.

Datenschutzvertrag
In Deutschland gilt die DSGVO. Wer einen Videokonferenzdienst nutzt, muss mit dem Anbieter ein Vertrag abschließen. Darin wird geregelt, was mit personenbezogenen Daten geschieht. Empfehlung: Zwingend einen Datenschutzvertrag abschließen und prüfen, ob Anbieter und Herkunftsland vertrauenswürdig sind. Die Bafin fordert zudem eine Pflicht zur Prüfung des Anbieters. Zertifikate wie ISO 27001 weisen das Sicherheitsniveau nach.

Hosting- und Anbieter-Standort
Sitzt ein Anbieter in den USA, haben dortige Behörden und Geheimdienste theoretisch Zugriff auf alle Daten, egal wo diese gehostet sind. Basis dafür sind die US-Gesetze Patriot Act, Freedom Act und Cloud Act. Vor allem die auf dem Cloud Act basierende Zugriffsmöglichkeit steht im krassen Widerspruch zur DSGVO. Empfehlung: Vorsicht bei Nutzung von Anbietern außerhalb Europas. Personenbezogene Daten gehen eventuell über deren Rechenzentren. Banken und Versicherer bleiben hier verantwortlich im Sinne des Datenschutzes. Die Firmen sollten sich Zertifizierungen unabhängiger Stellen zur IT-Sicherheit vorlegen lassen, ebenso die technisch-organisatorischen Maßnahmen der Rechenzentren. Zudem sollten Kreditinstitute und Makler prüften, ob sie problemlos einen Vertrag zur Auftragsverarbeitung abschließen können. Fragwürdig ist auch eine Zusammenarbeit mit deutschen Anbietern, die in Cloud-Umgebungen hosten, welche unter US-amerikanischer Flagge fahren. Selbst wenn die Server in Europa stehen. Das ist manchmal nicht sofort ersichtlich. Ein genauer Blick lohnt sich daher.

Sichere Inhalte
Die Gefahr einer Bildschirmübertragung besteht darin, aus Versehen etwas zu zeigen. Schnell ist mit einem Klick Omas Geburtstagsvideo zu sehen oder der E-Mail-Posteingang. Katastrophal, wenn ein Teilnehmer davon einen Screenshot anlegt und bei Twitter postet, mit der Unterzeile: „So sieht Videoberatung bei Bank XY aus.“ Empfehlung: Nie den ganzen Bildschirm zeigen, sondern nur einzelne Applikationsfenster. Eine Filterfunktion wie eine Blacklist hilft, gewisse Fenster – wie E-Mail oder Messenger-Dienste – auszuschließen.

Browser oder downloaden
Jede installierte Software kann einen Rechner ausspionieren, auch nach dem Ende einer Sitzung. Was viele vergessen: Heruntergeladene Software verbleibt auf dem Computer. Empfehlung: Browser-basierte Lösungen verwenden.

Datenschutz
Prüfen, was der Anbieter mit den Daten macht. Nur wenige Anbieter haben ihren Sitz in Europa. Vor allem bei kostenlosen Angeboten bleibt die Frage, wie Anbieter das langfristig finanzieren. Häufig steckt ein Geschäftsmodell dahinter, das auf Werbung oder Verkauf von Daten basiert. Empfehlung: Einen europäischen Anbieter wählen, der die Anforderungen der DSGVO voll umsetzt. Denn: Bei vermeintlich kostenlosen Angeboten zahlt der Nutzer meist mit seinen Daten.

Mark Zondler ist Geschäftsführer bei Snapview in München, wo er die Produktentwicklung und den Betrieb verantwortet.

Weitere Artikel
Abonnieren
Benachrichtige mich bei
0 Comments
Inline Feedbacks
View all comments