Wie sicher ist WebRTC für Videokonferenzen?

Wenn man Fachzeitschriften aufblättert, Nachrichten schaut oder sich mit Experten unterhält, bekommt man schnell den Eindruck neuen Technologien besser nicht zu vertrauen. Videokonferenzen sind jedoch ein immer stärker werdender Teil der Geschäftswelt und gerade für Unternehmen von entscheidender Bedeutung - nicht nur um sich unnötige Reisen zu ersparen, der Umwelt zur Liebe oder wenn Krisen wie die Corona-Krise persönliche Kommunikation mit anderen Menschen verhindern. Kommunikation im privaten und beruflichen Kontext ist ein grundlegendes Bedürfnis und Telekommunikation ist in Zukunft aus unserer Welt nicht mehr wegzudenken.

Wenn es um Telekommunikation geht, ist die eingesetzte Technologie für die Sicherheit des gesamten Systems entscheidend. Die meisten Hersteller haben dazu ihre eigenen proprietären Verfahren und Technologien, bei denen viel Geld investiert wird und die Hersteller einzig alleine Ihre Technologie überwachen können. In der heutigen Gesellschaft und den ständig wachsenden Anforderungen an Kompatibilität, Sicherheit und Vertrauen ist dieses Vorgehen oftmals kontraproduktiv und für Unternehmen, die diese Technologien einsetzen zunehmend keine Option mehr. Die Konsequenz ist, dass diesem Aufruf immer mehr Entwickler folgen und sich somit WebRTC als Standard zu etablieren scheint.

WebRTC (Web Real-Time Communication - Web Echtzeitkommunikation) ist ein offener Standard, der von großen Unternehmen wie z.B. Google, Mozilla oder Microsoft definiert wird und Teil eines jeden modernen Browsers ist. Dies ermöglicht es Browsern wie Chrome oder Firefox direkt und in Echtzeit mit anderen Teilnehmern zu kommunizieren und Daten auszutauschen, ohne dass es einen "Mittelsmann" benötigt. Der Softwarehersteller, welcher nun einen Client bereitstellt, steuert damit im Prinzip nur den Browser, es bedarf damit keiner eigenen Software oder Plugins die installiert werden müssen. Auch ist der Standard und der Code öffentlich einsehbar und kann von allen geprüft und nachvollzogen werden.

Einer der wesentlichen Vorteile ist, dass WebRTC Sitzungen vor dem Starten einer Videokonferenz keine Plugins benötigen und somit direkt einsatzbereit sind. Dies verhindert auch, dass schadhafter Code auf den Computer gelangt, reduziert den Aufwand in der Administration und verringert die Abhängigkeit und die Sicherheitsbedenken gegenüber den Herstellern der Software. Ohne WebRTC muss ein Programm (meist Plugin) auf dem Computer installiert werden. Dies erhöht das Risiko durch böswillige Software, fehlerhaften Code und der Etablierung von möglichen Schwachstellen; selbst bei seriösen Herstellern. Dieses Risiko ist somit bei WebRTC als Basistechnologie ausgeschossen worden und eines der wesentlichen Prinzipien der Webtechnologie.

Die großen Anbieter nehmen das Thema Sicherheit sehr ernst und reagieren bei Sicherheitsproblemen oder neu auftretenden Möglichkeiten, die Sicherheit zu untergraben, extrem schnell. Davon profitiert die WebRTC Technologie automatisch aufgrund der ständigen Aktualisierung des Browsers. Gleichzeitig wird die Unabhängigkeit zum Softwareanbieter erhöht, insbesondere wenn dieser nur langsam oder gar nicht auf aktuelle Probleme reagiert. Dies ewird gestützt durch gewaltige Ressourcen der Browser-Firmen,sowie durch Bug-Bounty-Programme, einer offenen Community und dem Mitwirken vieler Entwickler. Somit können Benutzer dieser Systeme sicher sein, dass die Probleme zweckmäßig und automatisch behoben werden. Dies kann von geschlossenen oder weniger verbreiteten Systemen in diesem Umfang wirtschaftlich nicht gewährleistet werden.

Standards entwickeln sich weiter und Browser bieten automatische Updates an. Auf diese Weise können nicht nur potenzielle Sicherheitsbedrohungen behoben werden, sondern es können auch neue Funktionen installiert werden. Es ist von Natur aus unzuverlässig, sich darauf zu verlassen, dass Mitarbeiter ihre Programme regelmäßig aktualisieren und  auf dem Laufenden halten. Während einige fleißig sind, ignorieren, verzögern oder vergessen dies andere, was das Unternehmen gefährden kann. WebRTC profitiert von diesem also dadurch, dass es unabhängiger von Updates, gegenüber normalen Systemen ist.

Jeder hat dies bereits mindestens einmal mitbekommen, dass Webkameras "entführt" worden sind, um private Gespräche aufzuzeichnen, abzuhören und auszuspähen, ohne dass man einen Anruf entgegengenommen hat.

Die WebRTC-Spezifikationen und die Umsetzung der Browserhersteller ergreifen jedoch aktive Maßnahmen, um sicherzustellen, dass Probleme wie kürzlich bei FaceTime vermieden werden können. Dies geschieht unter anderem durch ein mehrstufiges Verfahren, bei dem ohne Zustimmung des Anwenders der willkürliche Zugriff auf die Kamera oder das Mikrofon nicht möglich ist. Während die WebRTC-Software des Herstellers um einmaligen oder dauerhaften Zugriff bitten darf, kann sie ohne diese ausdrückliche Genehmigung keinen Zugriff erhalten. Diese Zustimmung ist nicht gekoppelt an die Software, sondern an den Browser und wird deutlich visualisiert. Vor einer Zustimmung kann kein Zugriff erfolgen und es werden auch keine Mediendaten übertragen. Darüber hinaus erfordert WebRTC bei der Verwendung eines Geräts, dass die Benutzeroberfläche des Browsers klar anzeigt, wann ein Mikrofon oder eine Kamera verwendet wird, damit Sie sicher sein können, dass kein Risiko eines möglichen Abhörens besteht.

Die Verschlüsselung ist ein wesentlicher Bestandteil von WebRTC und wird in allen Aspekten der Verbindung durchgesetzt. Es ist somit praktisch unmöglich, dass jemand Zugriff auf Inhalte erhält, da alle Medienströme durch standardisierte und bewährte Verschlüsselungsprotokolle bereits im Browser sicher verschlüsselt werden. Die beste Vorgehensweise hierfür ist die Verwendung von PFS-Chiffren (Perfect Forward Secrecy) in einem DTLS-Handshake (Datagram Transport Layer Security), um Schlüsseldaten sicher auszutauschen (dies ist die Methode, die Frozen Mountain verwendet). Für Audio und Video können dann Schlüsseldaten verwendet werden, um AES-Schlüssel (Advanced Encryption Standard) zu generieren, die wiederum von SRTP (Secure Real-Time Transport Protocol) zum Ver- und Entschlüsseln der Medien verwendet werden. Dieser akronymreiche Stapel von Technologien führt zu extrem sicheren Verbindungen, die mit der aktuellen Technologie nicht zu brechen sind. Sowohl WebRTC als auch ORTC schreiben diesen speziellen Stack vor, der abwärtskompatibel und mit VoIP-Systemen interoperabel ist.

WebRTC hat als einer der wenigen Technologien die Voraussetzung, dass der Zugriff und Datenaustausch nur erfolgen kann, wenn man über eine HTTPS (Hypertext Transfer Protocol Secure) Verbindung geht. Dies bedeutet also für den Anwender, dass eine Verbindung nur hergestellt werden kann, wenn auch der Server, von dem aus kommuniziert wurde, sicher sein muss und damit den Softwarehersteller zu sicheren Verfahren zwingt.

WebRTC ist durch seine Unabhängigkeit wesentlich stärker aufgestellt, wenn es um eine sichere Kommunikation geht und den Schutz des Anwenders vor unerlaubten Zugriffen. Browserhersteller sind gezwungen die Sicherheitsstandards umzusetzen und geben diesen Zwang automatisch an die Softwarehersteller weiter. Damit ist die Sicherheit im Gegensatz zu proprietären Technologien wesentlich stärker und Herstellern muss nicht mehr blind vertraut werden. Das liegt daran, dass die Software des Herstellern erst dann luffähig ist, wen Mindeststandards eingehalten werden. Die relative Unabhängigkeit von Updates ist zudem eine der wesentlichen Stärken, die Softwarehersteller nicht nur unterstützt, sondern auch immer wieder zwingt sich den aktuellen Standards anzupassen und die geforderten Sicherheitsanforderungen umzusetzen. Halten sich Softwarehersteller also nicht an diese Vorgaben sorgt die Verkettung dazu, dass das Programm gar nicht erst starten kann und der Anwender optimal geschützt ist.

Als Vorschau auf die nächsten Jahre können wir von dem WebRTC Standard noch viel erwarten, da noch nicht alle Funktionen umgesetzt wurden und die Sicherheit mit jedem Release stetig verbessert wird. Schon jetzt hat der WebRTC Standard einen gewaltigen Vorsprung gegenüber propreitären Softwarelösungen.