In den vergangenen Wochen haben Videokonferenzen auf der ganzen Welt einen regelrechten Boom erlebt, egal ob in Unternehmen, Schulen, Behörden oder im Privaten. Im Zuge dessen kamen auch die Themen Sicherheit, Datenschutz und Kontrollmechanismen bei Videokonferenz-Services auf.
Im Sinne der Transparenz möchten wir unseren Kunden und potenziellen Neukunden zeigen, dass Sicherheit und Datenschutz bei uns oberste Priorität haben.
Unser Sicherheitsansatz
Bei RingCentral ist Sicherheit ein Thema mit höchstem Stellenwert, das wir auf vielfältige Weise angehen. Für uns als Cloud-Anbieter steht die Cybersicherheit auf vier Grundpfeilern – Unternehmen, Cloud, Produkt und Kundenvertrauen. Jedem dieser Aspekte kommt in unserem täglichen Geschäft große Bedeutung zu. Ein zuverlässiges Unternehmen, das seinen Kunden einen sicheren Service bietet, muss all diese Themen mit großer Disziplin und echtem Engagement angehen.
Unternehmenssicherheit
Unternehmen bietet RingCentral eine mehrschichtige Sicherheitsstrategie, für die wir eine Reihe von organisatorischen, technischen und betrieblichen Cybersicherheitsmaßnahmen implementiert haben. Sie umfasst mehrere funktionsübergreifende Abläufe im gesamten Unternehmen und wird federführend von unserem globalen Sicherheitsteam gemanagt. Bestimmte Kennzahlen werden von uns fortlaufend überwacht, damit wir einen optimalen Überblick über die diversen Cybersicherheitsmaßnahmen bekommen, proaktive Sicherheitsbewertungen vornehmen sowie Governance und Risikomanagement umsetzen können. Im Laufe eines Jahres führen wir unterschiedliche Sicherheitsbewertungen sowie Aktivitäten in den Bereichen Governance und Risikomanagement durch. Auch unser Managementteam ist darin aktiv involviert.
Cloud-Sicherheit
Bei der Cloud-Sicherheit geht es um die Sicherheit unserer Cloud-Infrastruktur, unserer Backend-Kommunikationsplattform, unserer Service-Umgebungen und unseres Service-Betriebs. Wir setzen in unserer gesamten Service-Cloud auf ein mehrschichtiges Sicherheitskonzept, das aus Schutzmechanismen an der Netzwerkgrenze, mehrstufigen Zugangskontrollen, einer Cloud-Sicherheitsinfrastruktur, Schutzmaßnahmen auf Host-Ebene, Sicherheitstelemetrie und Monitoring besteht. Zu unseren Sicherheitsverfahren gehören über 300 jährlich überprüfte Kontrollen. Unser Sicherheitsteam besteht aus Experten aus den Bereichen Sicherheitstechnik, Sicherheitsdatenanalyse sowie Erkennung von und Reaktion auf Bedrohungen. Außerdem überwachen wir mithilfe eines Network Operations Center rund um die Uhr (24/7) die Serviceverfügbarkeit und ergreifen im Falle von Unterbrechungen umgehend Maßnahmen. Unsere Services werden nicht in China gehostet und der Datenverkehr unserer Kunden wird nicht an Standorte in China weitergeleitet. Wenn es darum geht, wo wir Kundendaten speichern und verarbeiten, setzen wir auf umfassende Transparenz.
Produktsicherheit
Bei der Produktsicherheit geht es um die Sicherheitsvorkehrungen, die wir in unsere Produkte und Services integrieren. Bei jedem Produkt-Release führen wir Sicherheitstests durch, für die wir interne und externe Experten einbeziehen. Für die Tests nutzen wir sowohl automatisierte als auch manuelle Methoden und in unserem Sicherheitsteam gibt es Experten für das Thema Anwendungssicherheit. Wir nutzen verschiedene sichere Frameworks für die Softwareentwicklung und erstellen während des gesamten Entwicklungszyklus Daten, anhand derer wir bestimmte sicherheitsspezifische Kennzahlen in unserer täglichen Entwicklungsarbeit messen. Dazu gehören Privacy-by-Design-Frameworks und Frameworks für eine sichere Softwareentwicklung. Außerdem führen wir jedes Jahr Penetrations- und Red-Team-Tests durch.
Programm für mehr Vertrauen
Beim Thema Vertrauen geht es um unsere Sicherheitsphilosophie insgesamt. Diese besagt, dass wir unseren Kunden größtmögliche Transparenz bieten, Sicherheitsmaßnahmen von Grund auf in unsere Produktentwicklung und den Infrastruktur- bzw. Servicebetrieb integrieren und beim Test unserer Sicherheitsmaßnahmen sowie bei der Empfehlung von Best Practices auf unabhängige externe Experten vertrauen. Wir sind davon überzeugt, dass wir beim Thema Sicherheit eine starke Vision verfolgen, doch wir wissen, dass es dazu nicht nur interne, sondern auch externe Perspektiven braucht. Diese sind wertvoll für uns und für unsere Kunden. Unabhängige Perspektiven ermöglichen uns erst eine umfassende Transparenz. Innerhalb eines Jahres unterziehen wir uns regelmäßigen und proaktiven Tests, Bewertungen und unabhängigen Sicherheitsaudits, um unseren Kunden die Gewissheit zu verschaffen, dass unsere Kontrollen in den verschiedensten Umgebungen zuverlässig und wirkungsvoll funktionieren.
Zu unseren Sicherheitsmaßnahmen gehören:
- Schutzmechanismen an der Netzwerkgrenze auf Netzwerk- und Anwendungsebene, darunter Firewalls, Session Border Controller, UCTM-Funktionen (Unified Communications Threat Management), DDoS-Abwehr und mehrstufige Authentifizierung.
- Cloud-Sicherheitsmaßnahmen wie zum Beispiel verschiedene Arten von Geräten für die Sicherheitsinfrastruktur, Anti-Malware-Programme, Erkennung von/Reaktion auf Bedrohungen an Endpunkten, Konfigurations- und Schwachstellenmanagement, Container-Scans, Sicherheitsanalysen für die Erkennung von Bedrohungen und das Monitoring von Cloud-Bedrohungen.
- Anwendungssicherheit, zu der statische Anwendungssicherheitstests, dynamische Anwendungssicherheitstests, Runtime-Anwendungssicherheitstests, Penetrationstests, Metriken für die Codequalität, Webanwendungstests, Mobilanwendungstests und API-Scans gehören.
- Verschlüsselung: Für die Datenübertragung nutzen wir standardbasierte Verschlüsselungen wie TLS, SIP over TLS, SRTP und WebRTC. Bei gespeicherten Daten verwenden wir AES mit 256-bit-Schlüsseln. Außerdem verschlüsseln wir die Provisioning-Daten von Tischtelefonen und unterstützen eine lokale Datenverschlüsselung in unserem Softphone-Client.
- Benutzerspezifische Richtlinieneinstellungen: Wir stellen unseren Kunden verschiedene Funktionen für die Identitäts- und Zugangskontrolle bereit, darunter Zugangsprüfung, Passwörter, Session Timeout, Warteräume, Meetingsperre, Rollen und Berechtigungen, gebündelte Account-Daten, Data Retention Management, Prüfpfad, API-Schlüssel für Entwickler, OATH für Google und Unterstützung von SAML 2.0.
- Vorinstallierte Integrationen, die unseren Kunden noch mehr Sicherheitsoptionen sowie einen größeren Wirkungsgrad für ihre bestehenden Sicherheits- und Compliance-Tools ermöglichen. Dazu gehören RingCentral for Smarsh, die Integration mit Okta sowie Theta Lake for RingCentral. Mithilfe unserer sicheren Entwickler-APIs erarbeiten wir, unsere Partner und unsere Kunden fortlaufend weitere Integrationen für verschiedene Anwendungsfälle.
- Datenschutzmaßnahmen und Offenlegungen, die klar und transparent sind. Wir haben niemals Kundendaten verkauft und werden das auch nie tun. Außerdem halten wir uns an die Datenschutz-Grundverordnung (DSGVO), den California Consumer Privacy Act (CCPA), und den Health Insurance Portability and Accountability Act (HIPAA). Datenschutz und die Offenlegung von Daten sollen klar und transparent erfolgen.
Jährliche Audits:
- SOC2- und SOC3-Audits, die Servicebetriebskontrollen auf Sicherheit, Verfügbarkeit und Datensicherheit prüfen. Unseren SOC2-Bericht erhalten Sie auf Anfrage, unser SOC3-Bericht wird auf unserer Website veröffentlicht.
- Dank der unabhängigen HIPAA-, FINRA- und HITRUST-Audits können wir unseren Kunden aus Branchen mit hohen regulatorischen Anforderungen, zum Beispiel dem Gesundheits- oder Finanzsektor, belegen, dass wir die Mindeststandards im Bereich Compliance übertreffen. Vor kurzem haben wir die Cyber Essentials-Zertifizierung des U.K. National Cyber Security Centre erhalten.
- Noch in diesem Jahr wollen wir unser Programm für mehr Vertrauen um die ISO 27001- und die ISO 270171-Zertifizierung sowie die C5-Audits ergänzen.
Sicherheit bei RingCentral Meetings
RingCentral Meetings basiert auf der Zoom-Plattform und daher möchten wir einige Fragen im Bezug auf Datenschutz und Sicherheit bei RingCentral Meetings beantworten.
Hier finden Sie Antworten auf die häufigsten Fragen unserer Kunden.
- F: Wurden meine Meeting-Daten über China geleitet?
A: RingCentral hostet und steuerte seine eigenen Medienserver, über die auch die Daten von RingCentral Meetings geleitet werden. Diese Server befinden sich nicht in China, weshalb sich dieses Problem bei RingCentral Meetings nicht stellt.
- F: Wurden meine Nutzerdaten über ein SDK an Facebook weitergegeben?
A: Dieses Risiko besteht bei RingCentral Meetings nicht, da das Produkt das Facebook SDK nicht nutzt.
- F: Ist der MacOS-Client von RingCentral Meetings anfällig für Rechteausweitung und Hijacking der Client-Zugriffsrechte auf die Kamera und das Mikrofon des Mac-Nutzers?
A: Diese Schwachstellen wurden als CVE-2020-11469 bzw. CVE-2020-11470 eindeutig identifiziert und öffentlich gemacht. Sie kommen jedoch im MacOS-Client von RingCentral Meetings nicht vor. Das gilt auch für das Script, die Berechtigungen und das Authentifizierungstool, die laut der veröffentlichten Sicherheitsstudie zu diesen Angriffen beitragen.
- F: Wir kann ich verhindern, dass ungeladene Teilnehmer an Meetings teilnehmen und Daten erhalten?A: Wir empfehlen nachdrücklich einige effektive Maßnahmen und Best Practices bei der Nutzung von RingCentral Meetings, die Ihnen bereits bekannt sind: 1. Legen Sie Passwörter für alle Meetings fest, damit nur Personen teilnehmen können, die das Passwort kennen. 2. Senden Sie Meeting-Links nur an Personen, die am Meeting teilnehmen sollen. Veröffentlichen Sie sie nicht in sozialen Medien. 3. Sperren Sie das Meeting, sobald alle Teilnehmer anwesend sind.
RingCentral arbeitet gemeinsam mit Zoom aktiv an der Einbindung geeigneter Sicherheitsupdates in RingCentral Meetings. Den Status bestimmter Sicherheits- und Datenschutzthemen können Nutzer auf unserer Support-Website verfolgen.
Optimale Sicherheit für unsere Kunden
Die aktuelle Situation ist für uns alle neu. Unseren Kunden bei der Bewältigung ihrer Herausforderungen zu helfen, hat für uns oberste Priorität. Schon seit der Gründung von RingCentral sind Sicherheit, Datenschutz, Transparenz und Zuverlässigkeit die Grundpfeiler unseres Unternehmens. Auch in Zukunft werden wir kontinuierlich und unbeirrbar an unserem Fokus auf eine sichere Unternehmenskommunikation festhalten – das ist unser Versprechen an Sie.
Ursprünglich veröffentlicht 13 Nov, 2020, Aktualisiert 13 Jan, 2023
