WebRTC-Security: Ist Browser-basierte Kommunikation ein Sicherheitsrisiko?

Der WebRTC-Standard ist fast fertig. Wollen Unternehmen diese neue Technologie nutzen, müssen Sie sich Gedanken über die Sicherheit machen.

Die Möglichkeiten, Video- und Sprachkommunikation per WebRTC (Web Real-Time Communications) ohne weitere Plug-ins...

einzubetten, ist eine spannende Geschichte. Das gilt im Speziellen für Unternehmen, die direkt mit Kunden kommunizieren. Auch auf Firmen, deren Angestellte direkt mit externen Partnern in Kontakt treten müssen, trifft das zu. Allerdings gibt es einige Security-Bedenken, die Unternehmen zunächst adressieren müssen.

WebRTC-fähige Applikationen könnten neue Schwachstellen in Unternehmen verursachen.

„WebRTC ist im Hinblick auf das Internet der nächste logische Schritt für die Kommunikation. Allerdings könnte es eine Tür für sowohl gute als auch bösartige Applikationen öffnen.“, sagte Michael Brandenburg. Er ist Branchen-Analyst bei Frost & Sullivan mit Sitz in Mountain View, Kalifornien. „Sobald Anwender auf Web-Links klicken können und einer Kommunikation zustimmen, entblößt WebRTC möglicherweise das interne Netzwerk, wenn Unternehmen nicht aus Sicht der IT-Security angemessen vorbereitet sind.“, mahnte er.

Die Sicherheit von WebRTC hat für alle Unternehmen Priorität

Die meisten Webbrowser-Entwickler haben das Hauptaugenmerk auf die Anwender-Erfahrung gelegt. Sie haben sich aber nicht zwingend mit den Enterprise-Anforderungen auseinandergesetzt oder was man tun muss, damit WebRTC in Verbindung mit einer Firewall funktioniert. Enterprise-Security und -Privatsphäre sind allerdings immer noch ganz oben auf der Agenda der Entwickler des WebRTC-Protokolls, sagte Cullen Jennings. Er ist ein namhafter Entwickler bei Cisco.

„Die WebRTC-Applikationen müssen die Anforderungen von Unternehmens-Anwendern erfüllen. Weiterhin muss sichergestellt sein, dass die Browser-Entwickler sich an diese Standards halten.“, fügte Jennings an. Der WebRTC-Standard ist ein gemeinsames Projekt des W3C (World Wide Web Consortium) und der IETF (Internet Engineering Task Force). Jennings ist Co-Autor der W3C-Spezifikationen für WebRTC und ein Vorsitzender der IETF-WebRTC-Arbeitsgruppe.

Viele Unternehmen freuen sich bereits auf WebRTC-Applikationen. Die IT-Abteilungen sind sich allerdings noch nicht ganz sicher im Hinblick auf die Sicherheit der Browser-basierten Kommunikation. „Firmen sorgen sich zum Beispiel, dass jemand aus Versehen eine Kamera zu einem Zeitpunkt aktiviert, an der sie nicht an sein sollte. Im schlimmsten Fall sprechen wir von Industriespionage.“, sagte Jennings.

Es gibt bereits einige grundlegende WebRTC-Security-Techniken. WebRTC wird Daten, Sprache und Video während der Übertragung verschlüsseln. Das sei sowohl von Webseite zu Anwender als auch von Anwender zu Anwender der Fall, erklärte Jennings. Mit WebRTC ausgestattete Browser weisen einen Nutzer darauf hin, dass eine Webseite die Kamera oder das Mikrofon eines Geräts verwenden möchte. Der Anwender hat natürlich die Möglichkeit, diese Anfragen abzulehnen.

Einige Websites besitzen derzeit ein „Langzeiterlaubnis-Modell“. Genehmigen Anwender einer Webseite einmal den Zugriff auf ihre Kamera oder das Mikrofon, bekommen sie vielleicht gar nicht mit, dass die Website auch nach Beendigung der Sitzung weiterhin Zugriff auf diese Komponenten hat. „Wir wollen Möglichkeiten entwickeln, damit wir den Anwender über solche Umstände in Kenntnis setzen können … und was passieren kann, wenn eine solche Website kompromittiert wird.“, sagte Jennings. „Sollten böswillige Hacker diese Genehmigungen verwenden, um damit unerlaubt an Informationen zu gelangen, ist das definitiv ein Risiko und Unternehmen sind zu Recht besorgt.“, fügte Jennings an.

WebRTC wird auf Standards basieren und relativ sicher sein. Allerdings gibt es für jedes neu geschaffene System mindestens einen Cyberkriminellen, der einbrechen möchte, warnt Brandenburg.

Die WebRTC-Arbeitsgruppe entwickelt derzeit auch Desktop-Sharing-Optionen. Diese seien mit strengen Genehmigungs-Modellen ausgestattet und Anwender müssen einem anderen Nutzer die Erlaubnis für Zugriff auf den Desktop gewähren, sagt er.

SBCs können für sichere Videokonferenzen und Zusammenarbeit sorgen

Die IT-Teams der Unternehmen müssen sich auf einen Spagat zwischen den Anwender-Wünschen und dem Schutz des Firmennetzwerks vorbereiten. Auch wenn WebRTC noch nicht vervollständigt ist, entwickeln bereits einige Anbieter sogenannte Edge-Monitoring-Systeme. Damit haben Unternehmen Einblicke, welcher Datenverkehr durch das Netzwerk fließt.

SBC-Anbieter (Session Border Controller) wie Acme Packet, Dialogic und Sonus arbeiten an Plattformen, mit denen sich die WebRTC-Sitzungen mit Policies versehen lassen. Das sagte Irwin Lazar, Vize-Präsident und Service-Leiter bei der Nemertes Research Group.

„WebRTC ist ein weiterer Signalisierungs-Mechanismus für eine Echtzeit-Protokoll und es liegt in der Verantwortung des SBC-Anbieters, die Anwendung gegen DoS-Angriffe (Denial of Service) zu schützen. Das gilt auch für das Verschlüsseln der WebRTC-Sitzungen von den Endpunkt-Clients bis zum Host.“, sagt David Tipping. Er ist Vize-Präsident und Geschäftsführer des SBC-Bereichs bei Sonus.

Sobald der Standard finalisiert ist, können die SBCs von Sonus WebRTC-Sitzungen autorisieren. Das funktioniert laut Tippung genau so, wie das auch bei anderen Sprach- und Video-Sitzungen der Fall ist.

„Ich glaube, sobald WebRTC komplett fertiggestellt ist, werden die meisten Unternehmen die WebRTC-Sitzungen durch einen SBC leiten wollen. Damit sind sie in der Lage, die Policies und somit auch die Sicherheit zu managen.“, sagt Lazard.

Artikel wurde zuletzt im Juli 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Unified Communications

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close