Wie Sie mit Zoom im Cyberspace sicher bleiben

Cyberkriminelle werden von Jahr zu Jahr raffinierter und attackieren die Menschen mit ihren vielschichtigen, komplexen Angriffen dort, wo sie am verwundbarsten sind. Hacker und Betrüger infiltrieren ihre Opfer heutzutage mit ausgeklügelten Plänen, die darauf abzielen, Menschen zu überrumpeln und ihre Gutmütigkeit auszunutzen. Obwohl Best Practices wie private Netzwerke, eindeutige Kennwörter und das Sperren Ihrer Geräte nach wie vor sehr zu empfehlen sind, ist es genauso wichtig, sich für Tools und Softwareanbieter entscheiden, die sichere und effektive Maßnahmen zum Schutz Ihrer Daten ergreifen. 

Der Arbeitsplatz kann ebenso anfällig für einen Verstoß sein, wenn Mitarbeiter unwissentlich Malware herunterladen oder versehentlich private Daten an die falschen Adressaten weitergeben. Deshalb finden Sie hier einige Tipps dazu, was Sie für Ihre Sicherheit auf Zoom tun können. Außerdem geben wir einen Einblick in die Sicherheitsprogramme, die wir zum Schutz unserer Kunden- und Mitarbeiterdaten einsetzen. 

Wenn Sie die Zoom Workplace-Anwendung erstmalig herunterladen oder sie auf die neueste Version aktualisieren, stellen Sie sicher, dass Sie von einer seriösen Quelle darauf zugreifen, etwa über das Zoom Webportal, aus der Anwendung selbst heraus oder über einen offiziellen Marktplatz wie den Apple App Store.

Wenn Sie in einer E-Mail unerwartet dazu aufgefordert werden, die neueste Version von Zoom Workplace herunterzuladen, überprüfen Sie die Absender-Domain (die Adresse, an die eine Antwort auf diese E-Mail gehen würde), fahren Sie mit dem Mauszeiger (ohne darauf zu klicken) über den Download-Link und prüfen Sie, ob es sich um einen seriösen Link handelt. Wenn es keine tatsächliche Zoom-Domain, etwa zoom.com oder zoom.us, ist, sollten Sie auf keinen Fall auf irgendwelche Links klicken.    

Im Folgenden sehen Sie zwei E-Mails, die seriös aussehen, aber tatsächlich gefälscht sind.

Sobald Sie sicher sind, dass Sie Zoom Workplace aus authentischer Quelle herunterladen, sollten Sie die Anwendung immer auf dem neuesten Stand halten, damit Sie die neuesten Funktionen nutzen, Fehler beheben lassen und von der bestmöglichen Audio- und Videoqualität profitieren können. 

Es gibt einige Maßnahmen, die Sie ergreifen können, um Ihr virtuelles Event privat zu halten und zu verhindern, dass ungebetene Gäste an Ihrem Meeting oder Webinar teilnehmen. Vermeiden Sie hierzu, Ihre persönliche Meeting-ID (PMI) für alle Meetings zu verwenden, die Sie erstellen. Außenstehende können Ihr nächstes Meeting stören, wenn sie Ihre PMI aus einem früheren Meeting besitzen. Nutzen Sie Ihre PMI nur für interne Meetings mit Personen, die Sie kennen. 

Sobald Ihr Meeting beginnt, empfehlen wir, einen Warteraum einzurichten, damit Sie jeden, der eintreten möchte, entweder zulassen oder ihn davon abhalten können, das Meeting zu betreten. Erlauben Sie nur angemeldeten Benutzern die Teilnahme und sperren Sie das Meeting, sobald es beginnt. Sie können auch einen Meeting-Passcode verlangen sowie festlegen, dass das Video von Teilnehmern aus- und ihr Audio stummgeschaltet ist, wenn sie beitreten. So können Sie unerwünschte oder unangemessene Gespräche vermeiden. Wir empfehlen außerdem, die Bildschirmfreigabe- und Anmerkungsfunktionen auf Hosts oder ausgewählte Teilnehmer zu beschränken. Deaktivieren Sie also die Option „Bildschirm freigeben“. Hierdurch werden auch die Anmerkungsfunktionen deaktiviert.

Noch mehr darüber, wie Sie für Ihre Sicherheit auf Zoom sorgen können, erfahren Sie in unserem Safety Center.

Die meisten Menschen wissen inzwischen, wie wichtig es ist, komplexe Kennwörter zu haben, die für jede Anwendung und jedes Gerät unterschiedlich sind. Als zusätzlichen Schutz bieten wir Ihnen Integrationen für Single Sign-On (SSO) und Zwei-Faktor-Authentifizierung an, um den Zugriff auf die Zoom Workplace-Anwendung nahtlos, sicher und einfach zu gestalten. 

Über unsere SSO-Funktion können Sie die beim Identitätsanbieter Ihres Unternehmens hinterlegten Anmeldedaten verwenden, sodass Sie keine separaten Benutzernamen und Kennwörter benötigen. Die Zwei-Faktor-Authentifizierung verstärkt als zweistufiger Anmeldeprozess Ihre Sicherheit, bei dem zusätzlich zur Hauptanmeldung bei Zoom ein Einmal-Code eingegeben werden muss, der dem Benutzer über eine mobile App oder eine Textnachricht zugesendet wird.

Bildschirmfreigabe und Fernsteuerungszugriff sind mit dem Aufkommen von Hybrid- und Remote-Arbeit zu unverzichtbaren Werkzeugen für die Zusammenarbeit geworden. Daher ist es wichtig zu wissen, welche Funktion wann verwendet werden sollte. Die Bildschirmfreigabe ermöglicht es Moderatoren, visuelle Inhalte wie Folien, Demos und Schulungsmaterialien anzuzeigen. Darüber hinaus bietet sie Hosts und Teilnehmern die Möglichkeit, bei freigegebenen Bildschirmen Anmerkungen zu machen. Der Fernsteuerungszugriff ermöglicht es einem Teilnehmer, mit Berechtigung die Kontrolle über den Bildschirm eines anderen Teilnehmers zu übernehmen. Er wird typischerweise für IT-Support, Softwareinstallation oder gemeinsames Bearbeiten von Dokumenten verwendet.

Beide Funktionen haben wichtige Sicherheitsaspekte. Zu den Risiken der Bildschirmfreigabe gehören die versehentliche Offenlegung vertraulicher Informationen und mögliche Störungen von Meetings, wenn die Berechtigungen nicht ordnungsgemäß eingeschränkt sind. Der Fernsteuerungszugriff birgt ernsthaftere Risiken, da er externen Benutzern vollen Zugriff auf Ihre Computerfunktionen wie Maus- und Tastatursteuerung gewährt. Wenn nicht vertrauenswürdige Parteien diese Art von Zugriff erhalten, könnte das schädliche Aktionen ermöglichen.

Niemand plant absichtlich, einem Angreifer Zugriff zu ermöglichen. Böswillige Akteure werden jedoch immer raffinierter, sodass Sie unbeabsichtigt der falschen Person Zugriff gewähren könnten. Hier sind einige empfohlene Best Practices, um diese Funktionen sicher zu nutzen:

• Beschränken Sie die Bildschirmfreigabe auf Hosts und bestimmte Teilnehmer, wie z. B. Co-Hosts oder Diskussionsteilnehmer. Sie können diese Einschränkung standardmäßig in Ihren Einstellungen vornehmen oder die Berechtigung nach Bedarf über die Meeting-Funktionen anpassen .
• Stellen Sie beim Teilen Ihres Bildschirms sicher, dass vertrauliche Dokumente und Registerkarten geschlossen sind. Teilen Sie nach Möglichkeit nur bestimmte Anwendungen oder Registerkarten.

Wenn Sie Fernzugriff auf Ihren Computer gewähren, befolgen Sie diese Schritte, um böswillige Aktivitäten zu verhindern: 

• Gehen Sie nicht auf unaufgeforderte Kontakte ein: Sie sollten Support-Anfragen an eine vertrauenswürdige Quelle stellen, nicht umgekehrt. Klicken Sie nicht auf Links und akzeptieren Sie keine Anfragen von Personen, die Sie nicht kennen oder die Sie nicht selbst kontaktiert haben.
• Überprüfen, überprüfen, überprüfen: Wenn jemand behauptet, einem seriösen Unternehmen anzugehören, verifizieren Sie die Identität dieser Person unabhängig. Suchen Sie nach den offiziellen Kontaktinformationen (auf der Website der Organisation, nicht in den Kontaktinformationen, die die Person Ihnen nennt) und nehmen sie darüber direkten Kontakt auf.
• Seien Sie misstrauisch gegenüber Dringlichkeit: Betrüger erzeugen oft ein Gefühl von Panik, um Sie zu einer schnellen Entscheidung zu drängen. Nehmen Sie sich Zeit, stellen Sie Fragen, und lassen Sie sich von niemandem unter Druck setzen.
• Seien Sie sich darüber im Klaren, was Fernsteuerung bedeutet: Das Gewähren von Fernsteuerungszugriff bedeutet, dass Sie damit einverstanden sein müssen, jemandem die Kontrolle über Ihren Computer zu überlassen. Überlegen Sie genau, bevor Sie die Berechtigung erteilen, da in diesem Schritt böswillige Akteure versuchen könnten, sich als jemand anderes auszugeben, um Zugriff auf Ihr Gerät zu erlangen.

Zoom verfügt über mehrere integrierte Steuerelemente, die Ihnen dabei helfen sollen, einen sicheren Fernzugriff zu gewährleisten, einschließlich folgender Möglichkeiten:

• Teilnehmerliste überprüfen: Wenn Sie ein Zoom-Meeting mit einer großen Gruppe von Teilnehmern hosten oder Teilnehmer haben, die möglicherweise nicht bei einem Zoom-Konto angemeldet sind, überprüfen Sie die Teilnehmerliste vor dem Meeting sorgfältig, um zu wissen, wer möglicherweise Fernsteuerungszugriff anfordert. 
• Zugriff entziehen: Wenn Sie vermuten, dass jemand böswillig handelt, entziehen Sie dieser Person sofort ihren Fernsteuerungszugriff. Sie können dies über die Zoom Meeting-Bedienelemente tun, indem Sie auf das Fernsteuerungssymbol klicken und „Fernsteuerung beenden“ auswählen.
• Sperren Sie das Meeting: Wenn Sie ein Meeting hosten, sperren Sie es, um zu verhindern, dass neue Teilnehmer beitreten.
• Fernsteuerung für Teilnehmer deaktivieren: Als Host können Sie die Fernsteuerungsfunktion standardmäßig für alle Teilnehmer deaktivieren, wenn diese Funktion nicht benötigt wird. Als Meetinggast können Sie in den Kontoeinstellungen die Option „Verhindern, dass mein Bildschirm von einem externen Benutzer gesteuert wird“ auswählen. 

Sie wissen möglicherweise nicht immer, mit wem Sie interagieren, daher haben wir zusätzliche Funktionen entwickelt, die das Vertrauen fördern und sicherere Interaktionen bei der Kommunikation mit anderen ermöglichen.

• Domainverknüpfung (verfügbar für kostenpflichtige Konten ab der Zoom Business-Lizenzstufe) validiert Ihre Domain und zeigt sie auf Ihrer Zoom-Profilkarte an, sodass sie für andere in Zoom Team Chat-Konversationen, Meetings und Webinaren sichtbar ist. Kontoinhaber und Administratoren berechtigter Konten können diese Funktion auf Kontoebene aktivieren, um ein Gefühl der Sicherheit zu bieten, sodass jeder, der mit anderen (sowohl intern als auch extern) auf der Zoom-Plattform interagiert, sie als Teil des Unternehmens erkennt. Dies ist hilfreich, um Benutzer innerhalb Ihres eigenen Unternehmens zu identifizieren und zu bestätigen, dass externe Teilnehmer von verifizierten Domains stammen.
• Die Okta-Authentifizierung von Zoom für die Ende-zu-Ende-Verschlüsselung ermöglicht es Unternehmen, die Identität von Meeting-Teilnehmern über die Identitätsmanagementplattform von Okta zu verifizieren. Diese Funktion ist für kostenpflichtige Konten verfügbar und hilft, Sicherheitsrisiken zu verringern, indem sie bestätigt, dass Personen, die an E2EE-Meetings teilnehmen, tatsächlich die sind, die sie vorgeben zu sein. Wenn jemand einem Meeting beitritt, kann er ein Abzeichen anzeigen, das seine Bestätigte Identität erkennen lässt. Fahren Sie mit dem Mauszeiger über das Abzeichen, um die Details zu einer Person anzuzeigen, wie z. B. ihre E-Mail-Adresse und die Unternehmensdomain, die mit ihrem Okta-Konto verknüpft ist. Erfahren Sie mehr über die Okta-Authentifizierung.

Zusammengenommen machen diese Funktionen es böswilligen Akteuren schwerer, sich im Zoom Team Chat, in Meetings und Webinaren als legitime Benutzer oder Unternehmen auszugeben. 

Wenn Sie unsere optionale Ende-zu-Ende-Verschlüsselung (E2EE) nutzen, die derzeit für Zoom Meetings und Zoom Phone verfügbar ist, sind die kryptografischen Schlüssel nur den Geräten der Teilnehmer bekannt. Durch diese Funktion schützen Sie sich zusätzlich, und können weiterhin problemlos über die verschiedenen Zoom-Lösungen kommunizieren, wobei einige Zoom-Funktionen dann eingeschränkt sind. 

Hier erfahren Sie mehr zur Verschlüsselung auf der Zoom Workplace-Plattform.

Darüber hinaus macht unsere neue Post-Quantum-E2EE-Funktion Ihre Daten jetzt und in Zukunft noch sicher. Diese fortschrittliche Verschlüsselungsebene schützt Ihre aktuellen Daten aus Zoom Meetings, Zoom Phone und Zoom Rooms vor potenziellen, nie dagewesenen Bedrohungen, die erst durch Quantencomputer möglich werden.

Cybersicherheit beschränkt sich nicht nur auf unsere IT- oder Sicherheitsteams. Wir erwarten von allen Zoomies, dass sie ein Bewusstsein für Cybersicherheit haben, und haben zahlreiche Initiativen und Materialien entwickelt, mit denen wir unsere Mitarbeiter darin schulen, wie sie sich vor Cyberbedrohungen schützen können.

Unsere Achtsamkeitsprogramme und Schulungen zu diesem Thema gehen über die Grundlagenkenntnisse hinaus und zielen darauf ab, sich ins Gedächtnis der Mitarbeiter einzuprägen, sodass sich wichtige Fähigkeiten und Kenntnisse das ganze Jahr über festigen. Dazu gehören unter anderem:

• Monatliche Sensibilisierungskampagnen für Cybersicherheit und Mitteilungen zu relevanten und aktuellen Themen
• Jährliche Schulungen zur Informationssicherheit zu Themen wie Phishing, Vorfälle und wie man auf sie reagiert, Richtlinien, Bedrohungen, Angriffe und mehr 
• Rollenbasierte Schulungen für ausgewählte Mitarbeiter, die etwa bestimmte Berechtigungen besitzen oder Code schreiben oder bearbeiten dürfen
• Fortlaufende, gamifizierte Phishing-Simulationen mit sofortigem Benutzerfeedback und Wissensvertiefung
• Spezielle Mikrotrainings für einzelne Themen, Zertifizierungen und Compliance-Anforderungen 
• Sicherheitsbotschafter-Programm, im Rahmen dessen Mitarbeiter aus unterschiedlichen Bereichen aktuelle Sicherheitsprobleme diskutieren, Feedback geben, Informationen weiterverbreiten und Mitteilungen an ihre Teams und Abteilungen weitergeben

Zusätzlich zu unseren internen Sicherheitsprogrammen für Mitarbeiter beaufsichtigen wir auch verschiedene Initiativen innerhalb unserer erweiterten Community. Auch sie helfen uns, Risiken zu mindern, Innovationen zu fördern und unsere Dienstleistungen weiter zu verbessern. Beispiele dafür sind:

• Bug-Bounty-Programm: Wir arbeiten mit Sicherheitsforschern daran (und bezahlen sie dafür!), potenzielle Schwachstellen in Zoom zu finden und ordnungsgemäß zu melden, damit wir sie beheben können, bevor sie öffentlich werden.
• Smarte Bedrohungsvorbeugung: Wir suchen nach Zoom Meetings, die versehentlich an öffentlich gepostet werden, und informieren dann unsere Kunden darüber, wie sie sich vor „Zoom-Bombing“ schützen können.
• Schwachstellen-Management: Wir scannen unsere Systeme ständig und halten sie mit schnellen Updates auf dem neuesten Stand.
• HackerOne-Sponsoring: Wir sponsern HackerOne-Veranstaltungen und sind auf ihnen präsent. Diese Veranstaltungen bieten uns die Möglichkeit, mit talentierten ethischen Hackern aus der ganzen Welt in Kontakt zu kommen und gemeinsam die Sicherheit unserer Plattform zu verbessern. 

Unsere zahlreichen Zertifizierungen und Bescheinigungen verlangen von uns, dass wir uns kontinuierlich dafür einsetzen, dass unsere Produkte und Dienstleistungen strenge Sicherheits- und Datenschutzstandards erfüllen. Wir fühlen uns geehrt, dass unsere Produkte von vielen der bekanntesten Organisationen der Welt gewürdigt werden und Zertifizierungen erhalten, etwa bei: 

• Datenschutz und Cloud Computing 
• Datenschutz-Framework
• Sicherheits- und Compliance-Kontrollen
• Sicherheitsstandards von mehreren Regierungen weltweit
• PCI-Compliance

Hier finden Sie die vollständige Liste der Bescheinigungen, Zertifizierungen und Standards, Zoom besitzt bzw. erfüllt.

Das Sprichwort besagt: Übung macht den Meister. Deshalb entwickeln wir unsere Sicherheitsmaßnahmen und Produktinnovationen ständig weiter, damit unsere Mitarbeiter und Kunden noch freier kommunizieren und kollaborativ arbeiten können. Indem wir unseren Mitarbeitern und Kunden kontinuierlich neue Ressourcen und Schulungen zur Verfügung stellen, gehen wir einer Zukunft mit weniger Cyberangriffen und einer sichereren Online-Umgebung entgegen. 

Bleiben Sie mit allen Neuigkeiten zu Sicherheit und Datenschutz in unserem Trust-Center immer auf dem Laufenden.