„Kann ich Videokonferenzen auch im Darknet durchführen?“ und
„Können OpenSource Videokonferenzlösungen sicher sein?“

Antworten auf Fragen, die Freunde und Kollegen mir gestellt haben.

Der Wunsch nach sicheren Videokonferenzen beschäftigt immer mehr Privatpersonen wie auch Unternehmen. Wie im letzten Blog erläutert, habe ich basierend auf der OpenSource Software BigBlueButton einen eigenen Videokonferenz-Server aufgebaut. Im Folgenden möchte ich auf die Fragen eingehen, die betreffend Sicherheit dieser Lösung gestellt wurden:

Kann ich Videokonferenzen auch im Darknet durchführen?

Nur bedingt. Ich habe den Videokonferenz-Server am Darknet angeschlossen. Er ist mit folgender Onion-Adresse und mit einem TOR-Browser aufrufbar:

icczmty3cve7icwyre4igqaigsjtlpy532v2tmb3jsmwwkdagu6xygid.onion

Sobald eine Besucherin aber einem Raum beitreten will, blockiert die Anwendung. Der Grund liegt darin, dass BigBlueButton die Anschlüsse für Mikrophon und Kopfhörer auf dem lokalen Arbeitsplatzgerät sucht. Der TOR-Browser in seiner Standardkonfiguration gibt diese aber nicht einfach so frei. Es ist zwar möglich, den TOR-Browser so anzupassen, dass der Zugriff auf Mikrophon und Kopfhörer möglich ist, dies kann aber sehr rasch zu Lasten der Sicherheit gehen, womit die Vorteile des Darknet aufgegeben würden. Für den Laien sind damit Videokonferenzen im Darknet nicht möglich.

Kann eine OpenSource Videokonferenzlösung sicher sein?

Sicherheit wird in der Regel mit Verfügbarkeit der Lösung, korrektem Funktionieren und vertraulicher Speicherung der Daten gleichgesetzt. Im Folgenden betrachte ich nur den letzten Punkt.

Freedom of the Press hat neben anderen Videokonferenz-Lösungen auch BigBlueButton in Bezug auf seinen Umgang mit persönlichen Daten analysiert. Meine Ausführungen stützen sich auf diese Analysen:

Werden nur die absolut notwendigen Daten der Anwender gespeichert?

Meine Lösung speichert nur die IP-Adressen der Teilnehmenden inkl. der Angabe, von wann bis wann diese an einer Videokonferenz teilnahmen. Diese Daten werden automatisiert nach spätestens 14 Tagen gelöscht. Bei meiner Installation werden Videokonferenzen (Bild und Ton) nicht gespeichert. Bei der Registration muss die E-Mail-Adresse nicht gültig sein. BigBlueButton kann also so eingestellt werden, dass keine Personendaten permanent gespeichert werden.

Besteht eine Ende-zu-Ende Verschlüsselung der Videokonferenzen?

Nein. Es werden zwar alle Teilstrecken der Verbindung verschlüsselt. Auf dem Server werden die Daten aber am Ende einer Teilstrecke entschlüsselt und für die nächste Teilstrecke wieder verschlüsselt. Hier könnte der Webhoster die Daten so abfangen, dass Videokonferenzen mitgehört werden könnten. Das wäre mit einer Ende-zu-Ende Verschlüsselung nicht möglich.

Kann ich an Videokonferenzen teilnehmen, ohne dass ich mich dazu registrieren (und Daten preisgeben) muss?

Ja. Eine Registration ist nur dann notwendig, wenn eigene Sitzungsräume erstellt werden sollen. Videokonferenz-Teilnehmende können vom Sitzungsorganisator beliebig eingeladen werden, ohne dass diese ein Konto auf dem Videokonferenz-Server besitzen.

Kann ich die Lösung selber hosten?

Ja. Das gibt die Sicherheit, dass alle notwendigen Sicherheitseinstellungen vorgenommen werden.

Kann eine OpenSource Lösung sicher sein?

Da BigBlueButton eine OpenSource-Software ist, können Sicherheitslücken bei einem Anbieter nicht versteckt werden (security through transparency, siehe dazu auch Kerckhoffs Prinzip). In der Vergangenheit aufgetretene Sicherheitslücken wurden sehr rasch behoben.

Fazit:

Ich bin vom Prinzip "Sicherheit durch Transparenz" (security through transparency) überzeugt. Für mich sind deshalb insbesondere OpenSource-Lösungen sichere Lösungen.

Fragen, Anmerkungen, Korrekturen und Widerspruch sind erwünscht. Bitte verwenden Sie dazu entweder das E-Mail oder Twitter (siehe Fusszeile).