RECHT:ORDNUNG

Während einer Videokonferenz, die im Rahmen des Schulunterrichts stattfindet, tauchen plötzlich ungebetene “Spaßvögel” auf, um mit Grimassen und sonstigen Scherzen zu stören. Was sich hier noch als relativ harmloser Streich darstellen mag, kann schnell zu einer ernsteren Angelegenheit werden, wenn womöglich pornografische, rassistische oder verfassungswidrige Inhalte eingesetzt werden.
Wie kann ich meine Web-Veranstaltung vor so etwas schützen?

“Conference-Hijacking”, die gewaltsame Übernahme einer Videokonferenz, wird im Übrigen dieses (teils) kriminelle Vorgehen genannt. Weiter verbreitet ist der Begriff “Zoom-Bombing”, der das Attackieren des Videokonferenzdienstes Zoom aufgreift. Auch wenn gerade Zoom in der Vergangenheit aufgrund der Popularität des Tools Ziel solcher Angriffe war, muss im Grunde auch bei allen anderen vergleichbaren Applikationen mit ähnlichen Vorfällen gerechnet werden.
Nachfolgend wird beispielhaft anhand des Dienstes Zoom geschildert, welche Gegenmaßnahmen ergriffen werden können. Bei anderen Videokonferenz- bzw. Kollaborativtools kann prinzipiell analog dazu verfahren werden, obwohl nicht alle Tools alle Möglichkeiten unterstützen.

Eine kurze und bündige Übersicht der vorbeugenden Maßnahmen finden Sie weiter unten bzw. hier.

Warum sollte das Problem ernst genommen werden?

Solche Vorfälle unterbrechen und stören zunächst die laufenden Vorlesungsveranstaltungen oder Besprechungen und können durch ihre Inhalte auf die Teilnehmenden verstörend, angsteinflößend oder auch ekelerregend wirken. Sie werden oft als direkte persönliche Belästigung wahrgenommen mit zum Teil heftigen emotionalen Reaktionen.
Sofern das Hochladen von Dateien allen Teilnehmenden im Meeting erlaubt ist, könnten Angreifer:innen auch manipulierte oder mit Viren verseuchte Dateien oder Programme hochladen, die wiederum von den Teilnehmenden heruntergeladen und ausgeführt werden könnten.

Während Zoom-Bombing auf die Störung einer Online-Veranstaltung abzielt, besteht darüber hinaus generell das Risiko, dass Informationen, die während derartiger Vorgänge geteilt werden, an Unberechtigte gelangen mit eventuellen nachteiligen Folgen. Dies betrifft zum einen die Inhalte, die Gegenstand der Vorlesung, sonstigen Besprechung oder Veranstaltung sind, ob es nun das gesprochene Wort oder beispielsweise Vortragsfolien sind, aber auch das Recht am eigenen Bild und die Namen der Teilnehmenden.
Angreifer:innen, die es auf die Inhalte abgesehen haben oder die Meinungen von teilnehmenden Menschen bei einer Sitzung ausspähen wollen, verhalten sich grundlegend anders als Störer:innen und bleiben möglichst unauffällig, um nicht als unberechtigte Teilnehmende identifiziert zu werden. Diese Art Vorfälle können insoweit auch urheber-, datenschutz- und persönlichkeitsrechtlich relevant sein und somit stärkere rechtliche Eingriffe mit sich bringen.

Wie machen die das?

Der unberechtigte Zugang zu einer Online Konferenz wird möglich, wenn die Zugangsdaten, d. h. der Link oder die Meeting-ID mit dem hoffentlich ebenfalls gesetzten Passwort, abgefangen werden oder wenn diese durch Ausprobieren zufällig herausgefunden werden. Dieses Ausprobieren ist aufwändig und Zoom stört aktiv solche Versuche, wenn diese erkannt werden, aber wenn z.B. kein Passwort gesetzt wurde und immer wieder die gleiche Meeting-ID genutzt wird, erhöht sich das Risiko drastisch.
Die dritte Möglichkeit, an diese Zugangsdaten zu gelangen, besteht darin, dass diese durch berechtigte Teilnehmende z.B. über soziale Netzwerke geteilt und so öffentlich bekannt werden oder auch, indem ein Endgerät von Angreifer:innen übernommen wird und diese hierdurch auch an diese Daten gelangen.

Wie kann ich mich und andere davor schützen?

Vollständig verhindern lassen sich derartige Vorfälle technisch nicht, aber die Vornahme einiger Schutzmaßnahmen können die Eintrittswahrscheinlichkeit und damit das verbundene Risiko deutlich reduzieren.

  • Regelmäßige Updates
    Um die Möglichkeit für Angreifer:innen, vorhandene Sicherheitslücken in den verwendeten Tools auszunutzen, einzudämmen, sollten stets aktuelle Versionen der jeweiligen Videokonferenz- bzw. Kollaborativtools eingesetzt werden. Dies betrifft auch Apps, die aus den Stores der bekannten Hersteller heruntergeladen werden müssen.
  • Meeting-ID/Passwortschutz
    Sie sollten darauf achten, dass Ihre Online-Veranstaltungen grundsätzlich, zumindest sofern der Kreis der Teilnehmenden nicht regelmäßig wiederkehrend ist, eine eigene Meeting-ID erhalten und für Veranstaltungen nicht Ihre Nutzer:innen-ID (Personal-Meeting-ID) verwenden.
    Generieren Sie für jede öffentliche Veranstaltung eine eigene Meeting-ID, um es Dritten zu erschweren, Ihre Online-Veranstaltungen aufzufinden. Außerdem erreichen Sie dadurch eine Trennung der Teilnehmenden, die sonst in eine andere Veranstaltung, ob nun zufällig oder gezielt, gelangen können, wenn Sie einmal die generische Meeting-ID bekommen haben.
    Es muss immer ein Passwort gesetzt werden, weil sonst die Meeting-ID zu schnell geraten werden kann und mit einer gefundenen Meeting-ID direkt der Zugang ohne weitere Schranken möglich wird.

    In Zoom können Sie unter Einstellungen > ‚Kennwort‘ das vorgeschlagene und automatisch generierte Passwort abändern oder erweitern. Auf keinen Fall dürfen generische Zusätze wie „123“ oder immer gleiche Passwörter für unterschiedliche Meeting-IDs verwendet werden.
  • Keine öffentliche Ankündigung
    Kündigen Sie Online-Vorlesungen oder -Meetings nur in geschützten Bereichen an. Das könnte z. B. der passwortgeschützte Raum in einem Learning Management System (LMS), wie etwa EMIL der HAW Hamburg, sein.
    Oder teilen Sie die Informationen per E-Mail (mit dem Passwort ggf. in einer zweiten E-Mail), aber keinesfalls öffentlich. Dies verhindert, dass Unbefugte wissen, wann und wo genau Ihre Vorlesung/Ihr Meeting stattfindet. Das für die Meeting-ID gesetzte Passwort sollten Sie niemals öffentlich weitergeben. Weisen Sie die Studierenden Ihrer Lehrveranstaltung bzw. sonstige Teilnehmende in der Ankündigung Ihrer Online-Veranstaltung darauf hin, dass Pünktlichkeit der Teilnahme sehr wichtig ist, um eine störungsfreie Veranstaltung zu gewährleisten (Formulierungsbeispiel: „Die Veranstaltung beginnt pünktlich. Alle Studierenden werden gebeten, sich bereits einige Minuten vor Beginn einzufinden“).
  • Einstellung ‚Nur registrierte User’
    Nutzen Sie ggf. die Einstellung ‚Nur berechtigte Nutzer*innen können an Meetings teilnehmen‘ (Anmeldung per E-Mail erforderlich).
  • Virtuellen Warteraum anlegen
    Nutzen Sie die Warteraum-Funktion. Durch diese müssen die Teilnehmenden durch Sie bzw. eine andere Person (Host) aktiv zugelassen werden und können sich nicht einfach zur Veranstaltung dazu schalten. Über Einstellungen > ‚Warteraum‘ können Sie bestimmen, welche Teilnehmenden im Warteraum platziert werden sollen.
    Tipp: Ziehen Sie bei größeren Lehrveranstaltungen in Betracht, sich durch, ggf. studentische, Co-Hosts unterstützen zu lassen. Insbesondere wenn Sie selbst vortragen, können Sie nicht zugleich alle Teilnehmenden im Blick behalten oder den Warteraum beobachten.
    Sie können andere Teilnehmende zu Co-Hosts ernennen, indem Sie nach vorangegangener Absprache während des Meetings die Teilnehmendenliste aufrufen, neben der betreffenden Person den Button ‚mehr‘ anklicken und „Zum Host ernennen“ anklicken.
  • Rechtzeitige Anwesenheit
    Sollten Sie die Warteraum-Funktion nutzen, deaktivieren Sie unter Einstellungen die Option ‘Beitritt vor Moderator‘ und seien Sie bereits vor Beginn der Vorlesung/des Meetings anwesend.
  • Teilnehmendenliste überprüfen
    Sollten Sie mit einer Teilnahmeliste arbeiten und haben die Teilnehmenden sich mit Klarnamen angemeldet, sollten Sie (insbesondere bei kleineren Gruppen) die Teilnehmendenliste überprüfen. Unbefugte können dann sogleich wieder ausgeschlossen werden. Es sollte auch verhindert werden, dass sich Teilnehmende (ständig) umbenennen können, auch hierfür gibt es bei den Einstellungen entsprechende Möglichkeiten (S. 5 im PDF).
    Über das Teilnehmende-Fenster können Sie außerdem alle Nutzer:innen (im Bereich unter der Teilnehmendenliste) stummschalten. Bei sensitiven Besprechungen können Sie die Teilnehmenden auffordern, nur Klarnamen zu verwenden und im Rahmen einer Vorstellungsrunde alle bitten, die Video-Kamera kurzfristig anzuschalten (visueller Blickkontakt) und sich kurz vorzustellen. Dies erleichtert allen die spätere Diskussion und verhindert das bereits oben angesprochene zweite Angriffsszenario, wo unberechtigte Personen unerkannt bleiben.
  • Meeting sperren/ Kein erneuter Beitritt von entfernten Teilnehmenden Sobald alle berechtigten bzw. eingeplanten Teilnehmenden anwesend sind, können Sie, wenn die Art der Veranstaltung es zulässt, das Meeting auch für Dritte sperren.
    Um die Teilnehmendenliste aufzurufen, klicken Sie im Meeting in der Mitte links unten auf ‚Sicherheit‘ und wählen dort den Punkt ‚Meeting sperren‘ aus. Zudem sollten Sie unter Einstellungen die Option ‚Entfernten Teilnehmern den erneuten Beitritt erlauben‘ deaktivieren. Wenn Teilnehmende aus technischen Gründen das Meeting verlassen, können Sie vorübergehend die Sperrung auch wieder aufheben, bis wieder alle dabei sind. Auch hierbei ist ein Co-Host hilfreich.
  • Übertragungen anderer nur bei Bedarf freigeben
    Beschränken Sie die Möglichkeiten von Teilnehmenden, eigene Übertragungen vorzunehmen. In den Einstellungen können Sie vorsehen, dass nur der Mensch, der das Meeting hostet, die Bildschirmübertragung und die Kamerasteuerung freigeben kann.
    Gehen Sie dazu wie folgt vor:
    Klicken Sie auf ‚Mein Konto‘ > ‚Einstellungen‘ > ‚In Meeting (Grundlagen)‘ und wählen Sie bei der Option ‚Bildschirmübertragung‘ aus, dass nur der*die Host den Bildschirm freigeben kann.
  • Hochladen von Dateien nur bei Bedarf freigeben
    Die meisten Meetings kommen ohne die Notwendigkeit, dass Dateien durch die Teilnehmenden direkt hochgeladen werden, aus. Da hierdurch Unberechtigte die Möglichkeit erhalten, Malware oder störende Bilder hochzuladen, sollte es nur freigegeben werden, wenn die Funktion erforderlich ist. Für diese Bedarfe ist der Cloud-Dienst mit einem freigegebenen Verzeichnis oder das Learning Management System Ihrer Hochschule sicherer und somit besser geeignet.

Was tun, wenn es trotz der getroffenen Maßnahmen zu Vorfällen kommt?

Bereiten Sie sich und die Teilnehmenden bereits im Vorfeld auf die möglichen Szenarien vor. Erläutern Sie zu Beginn Ihres Meetings oder Ihrer Vorlesungsreihe kurz, dass entsprechende Vorfälle nicht vollständig ausgeschlossen werden können (Formulierungsbeispiel: „[…] Wenn wir gestört werden sollten, beende ich das Meeting und wir treffen uns in 10 Minuten wieder im gleichen Meeting-Raum. Sollten wir dann weiter gestört werden, schicke ich per E-Mail eine neue Einladung mit einer neuen Konferenz-ID.“).

Sollte Ihr Meeting trotz der von Ihnen getroffenen Maßnahmen von unberechtigten Personen gestört oder Teilnehmende belästigt werden, sorgen Sie für eine schnellstmögliche Entfernung der unbefugten Personen und schalten als wichtigste Maßnahme sofort und ohne weitere Überlegung alle Teilnehmenden erst einmal stumm.
Unterbrechen Sie dann die Veranstaltung, indem Sie rechts unten den Button ‚Meeting beenden‘ anklicken und starten Sie ggf. nach ca. 5 Minuten Wartezeit das gleiche Meeting noch einmal, um zu überprüfen, ob die unbefugten Personen weiterhin aktiv sind. Wenn Sie dies mit den Teilnehmenden vereinbart haben, lassen Sie das Meeting nach weiteren 5 Minuten wieder weitergehen. Wenn die Personen immer noch aktiv sind, können Sie das Meeting nicht weiterführen.

Bitte beachten Sie, dass das Teilen von anstößigen, oder rechtswidrigen Inhalten nicht einfach hingenommen werden muss. Melden Sie solche Störungen und Belästigungen an die entsprechende Stelle Ihrer jeweiligen Institution.

Kurz und bündig: Alle vorbeugenden Maßnahmen im Überblick

Weiterführende Information:

Credits für diesen Artikel:
Autor:innen: Klaus-Peter Kossakowski, Andrea Schlotfeldt, Michaela Koch, Jakob Kopczynski
Lizensiert unter Creative Commons Namensnennung – Weitergabe unter gleichen Bedingungen 4.0 International (CC BY-SA 4.0)