WebRTC: Sicherheitsbedenken sollten Unternehmen nicht abschrecken

Die von WebRTC ausgehenden Bedrohungen sind durch Verschlüsselung und regelmäßige Browser-Updates minimiert. Auch Autorisierung hilft weiter.

Aus irgendwelchen Gründen glauben Unternehmen, dass WebRTC nun weniger sicher als herkömmliche Technologien in...

Sachen Videokonferenzsysteme ist. Das ist allerdings ein absoluter Irrglaube und könnte nicht ferner von der Realität liegen.

WebRTC ist eine moderne Engine für Medien. Sie ist so entwickelt, um unsere derzeitigen Ansprüche zu erfüllen. Gerade aus diesem Grund wird Sicherheit sehr ernst genommen. Die Entwickler gehen an dieser Stelle gewissenhafter vor als bei vielen Vorgängern. Diese Seriosität ist in zwei wichtigen Charakteristiken von WebRTC Security fest verankert.

  1. Verschlüsselung: WebRTC verschlüsselt die Medien grundsätzlich. Es gibt nicht mal eine Option, unverschlüsselt übertragen zu können. Bei anderen Protokollen ist Verschlüsselung als Security-Maßnahme optional. Bei WebRTC genießen Sicherheit und Privatsphäre oberste Priorität. Aus diesem Grund schreibt man sie vor.
  2. Der Umgang mit Schwachstellen: WebRTC ist ein wesentlicher Teil eines Webbrowsers. Aus diesem Grund unterliegt die Komponente auch den sechs bis achtwöchigen Update-Zyklen, die man bei den meisten Browsern heutzutage praktiziert. Somit haben bekannte Bedrohungen und Angriffsvektoren bei der Implementierung von WebRTC eine kurze Lebensdauer.

Vergleichen Sie diese Security-Leistungsmerkmale mit dem momentanen Zustand bei Videokonferenzsystemen. Dort ist Verschlüsselung nicht vorgeschrieben und bei vielen Installationen sogar per Standard deaktiviert. Das Stopfen einer Sicherheitslücke bei einem System könnte daher Monate dauern. Der Ansatz von WebRTC in Sachen Verschlüsselung und die Nähe zum Browser als Träger der Software wirken sich sehr positiv auf die Sicherheit aus.

Neue Bedenken zur Sicherheit von WebRTC

In der jüngeren Vergangenheit kamen allerdings viele Bedenken hinsichtlich Security und WebRTC auf. Zum Beispiel könnte sich eine schädliche Website Zugriff auf das Mikrofon und die Kamera des Computers verschaffen und auf diese Weise den Anwender ausspionieren. Ein MitM-Angriff (Man-in-the-Middle) könnte Gespräche belauschen. Lokale IP-Adressen könnten exponiert werden. Auch das Teilen des Bildschirms lässt sich möglicherweise nutzen, um den Anwender zu überwachen. Dazu kommen noch herkömmliche VoIP-Angriffe und andere übliche Betrügereien.

All diese Aspekte sollte man auf gar keinen Fall auf die leichte Schulter nehmen. Die meisten der Probleme lassen sich in eine von zwei Kategorien einsortieren:

  1. Eine auf WebRTC basierende blauäugige Implementierung hat eine schwache Security als Konsequenz.
  2. Der Angriff nutzt das Verhalten von Anwendern aus und wäre auch außerhalb von WebRTC denkbar. Somit wurde im eigentlichen Sinne gar keine neue Schwachstelle eröffnet.

Sollte Ihr Unternehmen WebRTC verbieten?

Eine Strategie, um durch WebRTC verursachte Sicherheitsbedrohungen abzuschwächen, wäre das komplette Verbot der Kommunikation mit dieser Technologie. Das erreichen Sie zum Beispiel, wenn Sie die Browser zwingen, Unterstützung für WebRTC zu deaktivieren. Auch mithilfe der Firewall im Unternehmen kann die Nutzung unterbunden werden.

Durch diesen Ansatz gibt es aber auch mehrere Probleme. Verhindern Sie, dass WebRTC funktioniert, behindert das möglicherweise Business Meetings der Angestellten. Anbieter von UC-Lösungen (Unified Communications) gehen immer weiter in Richtung WebRTC-basierte Services. Somit gibt es ein immenses Potenzial bei den eben angesprochenen Meetings, die firmenübergreifend funktionieren müssen. Zu den Ankündigungen in der jüngeren Vergangenheit gehören Skype für Web, Polycoms Plattform RealPresence, Citrix GoToMeeting, LogMeIns join.me, Lifesize Cloud, Cisco Spark und Unifys Circuit. All diese Produkte unterstützen WebRTC.

Weiterhin können Angestellte durch den BYOD-Trend zusammen mit WLAN weiterhin WebRTC-basierte Services für die Arbeit nutzen. Das macht die Idee zunichte, Services zu blockieren, um WebRTC aus Sicherheitsgründen unbrauchbar zu machen.

Darüber hinaus gilt, dass viele der Services, die man mit WebRTC in Verbindung bringt, zu Browser Plug-ins oder herunterladbaren Apps gehören. Angestellte setzen diese ein, um mit Kollegen aus anderen Firmen zu kommunizieren. Oftmals ist die Verwendung dieser Services erlaubt oder die Sache wird von der IT-Abteilung einfach ignoriert. Somit könnte man wahrgenommene Bedrohungen so oder so in Frage stellen.

Der wesentlich bessere Ansatz wäre, die Notwendigkeit einfach zu akzeptieren und die durch WebRTC verursachten Bedrohungen zu adressieren. Man könnte an dieser Stelle mit Richtlinien und Schulungen reagieren.

Sollten Sie als WebRTC für die Kommunikation im Unternehmen einführen? Auf jeden Fall!

WebRTC bietet Flexibilität und Agilität auf eine Weise, die mit anderen Technologien heutzutage schwer zu erreichen sind. Durch WebRTC lassen sich die Kosten für Kommunikation im Unternehmen senken und gleichzeitig die Effizienz der Belegschaft erhöhen.

Behalten Sie allerdings im Hinterkopf, dass die Technologie WebRTC lediglich eine Komponente eines Kommunikationsservices ist. Ist die Sicherheit dieses Services nicht angemessen eingerichtet, dann ist die in WebRTC enthaltene Security nutzlos.

Planen Sie den Einsatz eines WebRTC-basierten Services, dann stellen Sie sicher, dass der Anbieter der Wahl auch die notwendigen Sicherheitsmaßnahmen implementiert hat. Nachfolgende Komponenten müssen vorhanden sein:

  • Verschlüsseltes Nachrichtenübermittlung über Verbindungen via HTTPS und nicht HTTP.
  • Mechanismen zur Autorisierung und zur Identifikation des Anwenders, damit Zugriff nur erlaubten Nutzern gestattet ist. Weiterhin sollten sich Richtlinien vordefinieren lassen.
  • Mechanismen zur Prävention von Betrug und DDoS-Angriffen (Distributed Denial-of-Service). Nur so ist die Infrastruktur für die Kommunikation vor böswilligen Angreifern angemessen geschützt.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Januar 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Unified Communications

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close