Wie sicher ist WebRTC für Videokonferenzen?

Kommunikation, vor allem per Video, erfordert in der heutigen Zeit ein hohes Maß an Vertrauen. Dabei spielt es keine Rolle mehr ob nur für private oder geschäftliche Gespräche, besonders wenn in den Medien immer häufiger von Problemen berichtet wird. Doch wie sicher ist WebRTC als Technologie? Kann man dieser wirklich vertrauen?

Wenn man Fachzeitschriften aufblättert, Nachrichten schaut oder sich mit Experten unterhält, bekommt man schnell den Eindruck auf Technologie und Werbeversprechen besser nicht zu vertrauen. Videokonferenzen sind jedoch ein immer stärker werdender Teil der Geschäftswelt und gerade für Unternehmen von entscheidender Bedeutung. Nicht nur um sich unnötige Reisen zu ersparen, der Umwelt zur Liebe oder weil die Corona-Krise gezeigt hat wie wichtig Kommunikation mit anderen Menschen ist. Es ist ein grundlegendes Bedürfnis und aus unserer Welt nicht mehr wegzudenken.

Wenn es um Kommunikation geht ist die eingesetzte Technologie entscheidend für die Sicherheit des gesamten Systems. Die meisten Hersteller haben dazu ihre eigenen Verfahren und Technologien, bei denen nicht nur viel Geld investiert wird, sondern diese auch die einzigen sind die über diese Technologie wachen. In der heutigen Gesellschaft und den ständig wachsenden Anforderungen an Kompatibilität, Sicherheit und Vertrauen ist dieses Vorgehen kontraproduktiv und für Unternehmen, die diese Technologien einsetzen zunehmend keine Option mehr. Die Kehrseite ist jedoch, dass diesem Aufruf immer mehr Folgen und sich WebRTC als Standard und Folge dessen etabliert hat.

 

Was ist WebRTC überhaupt?

WebRTC (Web Real-Time Communication - Web Echtzeitkommunikation) ist ein offener Standard der von großen Unternehmen wie z.B. Google, Mozilla oder Microsoft definiert wird und Teil eines jeden modernen Browsers ist. Dies ermöglicht die Browser die Chrome oder Firefox direkt und in Echtzeit mit anderen Teilnehmern zu kommunizieren und Daten auszutauschen, ohne dass es einen "Mittelsmann" benötigt. Der Softwarehersteller, welcher nun einen Client bereitstellt, steuert damit im Prinzip nur den Browser, es bedarf damit keiner eigenen Software oder Plugins die man sich installieren muss. Auch ist der Standard und der Code öffentlich einsehbar und kann von allen geprüft und nachvollzogen werden.

 

Keine Plugins mehr

Eines der wesentlichen Vorteile ist, dass WebRTC Sitzungen vor dem Starten einer Videokonferenz keine Plugins benötigt und somit direkt einsatzbereit ist. Dies verhindert auch, dass schadhafter Code auf den Computer gelangt, reduziert den Aufwand in der Administration und man muss dem Hersteller der Software mit seinem Programm nicht mehr vertrauen müssen, da diese nicht vorhanden ist. Ohne WebRTC muss ein Programm (meist Plugin) auf dem Computer installiert werden. Dies erhöht das Risiko durch böswillige Software, Fehlerhaften Code und der Etablierung von möglichen Schwachstellen; selbst bei seriösen Herstellern. Dieses Risiko ist somit bei WebRTC als Basistechnologie ausgeschossen worden und eines der wesentlichen Prinzipien der Webtechnologien.

 

Schnelle Sicherheitsupdates

Die großen Anbieter nehmen das Thema Sicherheit sehr ernst und reagieren bei Sicherheitsproblemen oder neu auftretenden Möglichkeiten die Sicherheit zu untergraben extrem schnell. Davon profitiert man bei WebRTC automatisch durch die Aktualisierung des Browsers und man ist ein Stück weit unabhängiger vom Softwareanbieter, insbesondere wenn dieser nur langsam oder gar nicht auf aktuelle Probleme reagiert. Dies erreichen diese nicht nur durch ihre gewaltigen Ressourcen, sondern auch durch Bug-Bounty-Programme, einer offenen Community und dem Mitwirken vieler Menschen. Somit können Benutzer dieser Systeme sicher sein, dass die Probleme zweckmäßig und automatisch behoben werden. Dies kann von geschlossenen oder weniger verbreiteten Systemen in diesem Umfang wirtschaftlich nicht gewährleistet werden.

 

Automatische Software-Updates

Standards entwickeln sich weiter und Browser bieten automatische Updates an. Auf diese Weise können nicht nur potenzielle Sicherheitsbedrohungen behoben werden, sondern man kann auch von neuen Funktionen profitieren und schaft eine weitere Unabhängigkeit vom Softwareanbieter. Es ist von Natur aus unzuverlässig, sich darauf zu verlassen, dass Mitarbeiter ihre Programme regelmäßig aktualisieren und mit allem auf dem Laufenden bleiben. Während einige fleißig sind ignorieren, verzögern oder vergessen dies andere, was das Unternehmen gefährden kann. WebRTC profitiert von diesem also dadurch, dass es unabhängiger von Updates, gegenüber normalen Systemen ist.

 

Zugriff auf Medien

Jeder hat dies bereits mindestens einmal mitbekommen, dass Webkameras "entführt" wurden, um private Gespräche aufzuzeichnen, abzuhören und auszuspähen ohne dass man keinen Anruf entgegengenommen hat.

Die WebRTC-Spezifikationen und die Umsetzung der Browserhersteller ergreifen jedoch aktive Maßnahmen, um sicherzustellen, dass Probleme wie kürzlich bei FaceTime nicht auftreten können. Dies geschieht unter anderem durch ein mehrstufiges Prinzip, bei dem ohne Zustimmung des Anwenders der willkürliche Zugriff auf die Kamera oder das Mikrofon nicht möglich ist. Während als die WebRTC-Software des Herstellers um einmaligen oder dauerhaften Zugriff bitten darf, kann sie ohne diese ausdrückliche Genehmigung keinen Zugriff erhalten. Diese Zustimmung ist nicht gekoppelt an die Software, sondern an den Browser und wird mehr als deutlich visualisiert. Vorher kann kein Zugriff erfolgen und es werden auch keine Mediendaten übertragen. Darüber hinaus erfordert WebRTC bei Verwendung eines Geräts, dass die Benutzeroberfläche des Browsers klar anzeigt, wann ein Mikrofon oder eine Kamera verwendet wird, damit Sie sicher sein können, dass kein Risiko eines möglichen Abhörens besteht.

 

Verschlüsselung

Die Verschlüsselung ist ein wesentlicher Bestandteil von WebRTC und wird in allen Aspekten der Verbindung durchgesetzt. Es macht es damit praktisch unmöglich, dass jemand Zugriff auf die Inhalte erhält, da alle Medienströme durch standardisierte und bewährte Verschlüsselungsprotokolle bereits im Browser sicher verschlüsselt werden. Die beste Vorgehensweise hierfür ist die Verwendung von PFS-Chiffren (Perfect Forward Secrecy) in einem DTLS-Handshake (Datagram Transport Layer Security), um Schlüsseldaten sicher auszutauschen (dies ist die Methode, die Frozen Mountain verwendet). Für Audio und Video können dann Schlüsseldaten verwendet werden, um AES-Schlüssel (Advanced Encryption Standard) zu generieren, die wiederum von SRTP (Secure Real-Time Transport Protocol) zum Ver- und Entschlüsseln der Medien verwendet werden. Dieser akronymreiche Stapel von Technologien führt zu extrem sicheren Verbindungen, die mit der aktuellen Technologie nicht zu brechen sind. Sowohl WebRTC als auch ORTC schreiben diesen speziellen Stack vor, der abwärtskompatibel und mit VoIP-Systemen interoperabel ist.

 

HTTPS als Grundvoraussetzung

WebRTC hat als einer der wenigen Technologien die Voraussetzung, dass der Zugriff und Datenaustausch nur erfolgen kann, wenn man über eine HTTPS (Hypertext Transfer Protocol Secure) Verbindung geht. Dies bedeutet also für den Anwender, dass eine Verbindung nur hergestellt werden kann, wenn auch der Server von dem aus kommuniziert wurde sicher sein muss und damit den Softwarehersteller zu sicheren Verfahren zwingt.

 

Fazit

WebRTC ist durch seine Unabhängigkeit wesentlich stärker aufgestellt, wenn es um eine sichere Kommunikation geht und den Schutz des Anwenders vor unerlaubten Zugriff von Geräten. Es zwingt die Browserhersteller dies umzusetzen und den Zwang an die Softwarehersteller weiterzugeben. Damit ist die Sicherheit im Gegensatz zu eigenen Technologien nicht nur wesentlich gestärkt, sondern man muss dem Hersteller auch nicht mehr so viel vertrauen müssen, da die Einhaltung von Mindeststandards erst dazu führt, dass seine Anwendungen erst dann lauffähig sind. Die relative Unabhängigkeit von Updates ist auch eine der wesentlichen Stärken, die Softwarehersteller nicht nur unterstützt, sondern auch immer wieder zwingt sich den aktuellen Standards zu beugen und die geforderten Sicherheitsanforderungen umzusetzen. Halten sich Softwarehersteller also nicht an diese Vorgaben sorgt die Verkettung dazu, dass das Programm gar nicht erst starten kann und der Anwender optimal geschützt ist.

Als Vorschau auf die nächsten Jahre können wir von dem WebRTC Standard noch viel erwarten, da noch nicht alle Funktionen umgesetzt wurden und die Sicherheit mit jedem Release stetig verbessert wird. Das Potenzial ist zumindest vorhanden und schon jetzt ein wesentlicher Vorsprung.

Unterstütze die Forschung im Kampf gegen COVID-19 und weitere Krankheiten mit folding@home
Spende ungenutzte Kapazitäten und werde Teil des Netzwerkes.


Case ist ein Produkt der: