Durch die Corona Pandemie haben sich virtuelle Events durchgesetzt. Nach der Pandemie sind Präsenzveranstaltungen wieder Normalität, doch für viele Events bieten sich rein virtuelle oder auch hybride Formate an. Teilnehmer profitieren durch die Flexibilität der Events und für die Veranstalter bringen digitale Formate eine Reichweitensteigerung. Doch wie jede andere Aktivität im Internet bergen digitale Events Sicherheitsrisiken.
Für eine Vielzahl von Veranstaltungen müssen sich Teilnehmer mit ihren persönlichen Daten anmelden. Veranstalter erfassen nicht nur Teilnehmerdaten, auf digitalen Veranstaltungen werden unter Umständen wichtige oder sensible Informationen in Präsentationen dargestellt. Diese Daten sind nicht nur für den Organisator essenziell, sondern auch bei Cyberkriminellen begehrt. Informationen zur Registrierung, zu den Zahlungsdetails und persönliche Daten der Teilnehmer sowie vertrauliche Geschäftspräsentationen und andere wichtige Inhalte sollten nicht durch unzureichend gesicherte Datenbanken, unsichere Übertragungswege und Plattformen oder unzureichende Zugriffskontrollen kompromittiert werden können. Häufig unterschätzte Gefahrenquellen sind zudem öffentlich zugängliche Zugangscodes und schwache Passwörter. Ist ein Angriff auf eine Veranstaltung erfolgreich, kann dies unter Umständen zur Unterbrechung des Events führen.
Veranstaltungsorganisatoren tun Gut daran, eine sorgfältige Risikoanalyse durchzuführen und geeignete Maßnahmen zu ergreifen, um die Sicherheit aller digitalen Prozesse und Datenflüsse zu gewährleisten.
Maßnahmen für mehr Sicherheit
Einsatz sicherer Event-Plattformen und -Tools
Die Basis für die Cybersicherheit bei virtuellen und hybriden Veranstaltungen ist eine geeignete Event-Plattform bzw. ein Eventmanagement-Tool. Die Sicherheit der eingesetzten Softwarelösung hat direkten Einfluss auf den Schutzstatus der Events. Wird eine sichere Softwarelösung eingesetzt, sind die Daten vor Cyberangriffen besser geschützt. Veranstalter sollten daher bei der Evaluierung und Auswahl der Plattform bzw. des Eventmanagement-Tools gezielt auf Sicherheitsfunktionen achten und prüfen, ob alle relevanten datenschutzrechtlichen Vorgaben eingehalten werden.
DSGVO-Konformität
Achten Sie auf DSGVO-Konformität. Die Serverstandorte der Plattform sollten ausschließlich in Deutschland sein. Die Datenübertragung und Datenspeicherung sollte verschlüsselt erfolgen. Es muss ein automatisiertes Löschkonzept für personenbezogene Daten vorliegen. Sie sollten einen Auftragsdatenverarbeitungsvertrag (ADV) abschließen.
Verschlüsselungstechnologien für sensible Eventdaten
Der Einsatz moderner Verschlüsselungstechniken kann sowohl die Vertraulichkeit der Daten als auch die Datenintegrität sicherstellen. Chat-Nachrichten, Teilnehmerdaten, weitere Inhalte und sensible Informationen sollten verschlüsselt übertragen werden, sodass sie nicht von Unbefugten abgefangen und gelesen werden können. Organisatoren, die auf State-of-the-Art Standards setzen, schaffen die Grundlage für ein störungsfreies und erfolgreiches Veranstaltungserlebnis.
- Ende-zu-Ende-Verschlüsselung
Die Ende-zu-Ende-Verschlüsselungstechnologie stellt sicher, dass Daten während der Übertragung ausschließlich für die vorgesehenen Empfänger lesbar sind. Selbst der Anbieter der Plattform hat keinen Zugriff auf die verschlüsselten Inhalte.
- TLS-Verschlüsselung (Transport Layer Security)
Für den Schutz der Daten während der Übertragung im Internet sollte die Plattform mindestens TLS 1.2 oder höher verwenden, um den Datenverkehr vor Man-in-the-Middle-Angriffen zu schützen.
- Verschlüsselte Datenspeicherung
Werden Daten wie Aufzeichnungen, Chatprotokolle oder Teilnehmerlisten auf der Plattform gespeichert, sollten sie im Ruhezustand (Data-at-Rest) ebenfalls verschlüsselt werden, um sie vor unberechtigtem Zugriff zu schützen.
Identitätsmanagement und Zugriffskontrolle
Für einen sicheren Einsatz einer Eventmanagement-Plattform sind eine sorgfältig geplante Zugriffskontrolle und ein wirksames Identitätsmanagement entscheidend. Die Softwarelösung sollte die Möglichkeit bieten, geeignete Authentifizierung und Autorisierung abzubilden. Ohne geeignete Mechanismen gibt es ein deutliche höheres Risiko, dass unbefugte Personen Zugang zu sensiblen Informationen erhalten oder Störungen während des Events verursachen.
Implementierung von Multi-Faktor-Authentifizierung (MFA)
Implementierung von Multi-Faktor-Authentifizierung (MFA)
Die Authentifizierungsfaktoren bei MFA basieren in der Regel auf drei Kategorien:
- Etwas, das der Benutzer weiß (z.B. Passwort oder PIN)
- Etwas, das der Benutzer besitzt (z.B. Smartphone oder Sicherheits-Token)
- Etwas, das der Benutzer ist (z.B. biometrische Daten wie Fingerabdruck oder Gesichtserkennung)
Zusätzlich können für die MFA zeit- und ortsgebundene Faktoren verwendet werden, um die Sicherheit weiter zu erhöhen. Für Veranstalter empfiehlt es sich, MFA als Standard für alle Benutzer einzuführen, insbesondere für Administratoren und Referenten, die auf sensible Daten und Konfigurationsfunktionen zugreifen.
Rollenbasierte Zugriffskontrolle für Eventmitarbeiter und Teilnehmer
Die Eventmanagement Software sollte die Möglichkeit bieten, eine rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) einzurichten. Nicht jeder Nutzer einer Software oder Plattform benötigt die gleichen Berechtigungen. Benutzer sollten nur den Zugriff auf die Funktionen und Informationen haben, die für ihre Rolle erforderlich sind. Auf diese Weise verringert sich das Risiko von Datenlecks.
Netzwerksicherheit für hybride Veranstaltungsorte
Wenn an Veranstaltungen sowohl in Präsenz als auch digital teilgenommen werden kann, ist die Netzwerksicherheit von besonderer Bedeutung. Teilnehmer, Teams und Veranstalter selbst nutzen bei jeder Art von Veranstaltung ihre PCs, Laptops, Tablets und Smartphones. Sie loggen sich in WLAN-Netze ein, um eine stabile Verbindung zu nutzen und in Echtzeit Informationen zu teilen, an Online-Votings etc. teilzunehmen.
Sowohl die Absicherung der physischen Netzwerke vor Ort als auch der sichere Zugriff auf die Eventplattformen durch remote arbeitende Teams sind wesentliche Aspekte, um das Risiko von Cyberangriffen zu minimieren.
Absicherung von WLAN-Netzwerken bei physischen Events
Bei physischen Veranstaltungen ist das WLAN-Netzwerk eine kritische Komponente. Ein unzureichend gesichertes WLAN kann ein Einfallstor für Cyberangriffe sein, etwa durch das Abfangen sensibler Daten oder das Einschleusen von Schadsoftware.
Um das Risiko zu reduzieren, sollten Organisatoren folgende Maßnahmen ergreifen:
Starke Verschlüsselung
Das WLAN sollte mindestens mit WPA3 oder, falls nicht verfügbar, mit WPA2 verschlüsselt sein, um sicherzustellen, dass der Datenverkehr geschützt ist.
Getrennte Netzwerke
Es empfiehlt sich, getrennte Netzwerke für Teilnehmer und das Event-Team einzurichten. Das interne Netzwerk für Organisatoren, Referenten und technische Teams sollte zusätzlich durch Zugangsbeschränkungen abgesichert werden.
Benutzer-Authentifizierung
Der Zugang zum WLAN sollte nur authentifizierten Benutzern gestattet werden, beispielsweise über individuelle Zugangscodes oder ein zentrales Authentifizierungssystem.
Netzwerküberwachung
Die kontinuierliche Überwachung des Netzwerks kann helfen, ungewöhnliche Aktivitäten frühzeitig zu erkennen und Gegenmaßnahmen einzuleiten.
Weitere technische Sicherheitsaspekte
ISO 27001 und 27018 zertifizierte Rechenzentren
ISO 27001 und 27018 Zertifizierungen spiegeln ein hohes Maß an Sicherheit und Zuverlässigkeit für Rechenzentren wider, die virtuelle und hybride Events hosten.
Verschlüsselte Streaming-Aufrufe mit Benutzerdatenbanken
Die Implementierung verschlüsselter Streaming-Aufrufe in Verbindung mit Benutzerdatenbanken erhöht die Sicherheit von virtuellen Events erheblich. HTTP Live Streaming Verschlüsselung verwendet den AES 128-Standard zur Inhaltsverschlüsselung.
Regionale Verteilung der Serverkapazitäten zur Ausfallsicherheit
Die geografische Redundanz und Verteilung von Serverkapazitäten ist entscheidend für die Ausfallsicherheit von virtuellen und hybriden Events. Die Verteilung von Daten und Diensten auf unterschiedliche Standorte kann in der Regel regionale Ausfälle abfedern.
VPN-Lösungen für remote arbeitende Eventteams
Veranstaltungen werden häufig von Teams organisiert, deren Mitglieder an unterschiedlichen Standorten arbeiten. Auch für diese verteilten und remote arbeitenden Teams ist ein sicherer Zugriff auf zentrale Systeme und Plattformen eine Grundvoraussetzung. Hier stellt in der Regel ein Virtual Private Network (VPN) sicher, dass der Datenverkehr zwischen dem Endgerät der Teammitglieder und dem Event-Server verschlüsselt wird.
Schulung und Sensibilisierung von Mitarbeitern
Wie bei allen Sicherheitsfragen spielt auch bei der Cybersicherheit von virtuellen und hybriden Veranstaltungen das Verhalten der Mitarbeiter einen entscheidenden Faktor. Selbst die wirksamsten technischen Sicherheitsmaßnahmen können nur dann korrekt greifen, wenn Mitarbeiter über potenzielle Risiken aufgeklärt sind und wissen, wie sie diese vermeiden können. Die Schulung und Sensibilisierung aller Beteiligten durch klare Sicherheitsrichtlinien und gezielte Trainingsprogramme trägt daher wesentlich dazu bei, Cyberangriffe zu verhindern.
Fazit
Digitale Events haben die Veranstaltungsbranche revolutioniert. Sie eröffnen neue Möglichkeiten, bringen aber auch Herausforderungen mit sich. Sie bieten höhere Flexibilität, Reichweite und eine bessereTeilnehmererfahrung. Doch diese Vorteile bringen auch spezifische Cybersicherheitsrisiken mit sich, die von Veranstaltern nicht unterschätzt werden dürfen. Der Schutz sensibler Daten, die Sicherung der genutzten Plattformen sowie eine gezielte Schulung der Mitarbeiter sind entscheidend, um Teilnehmer- und Veranstaltungsdaten wirksam vor Angriffen zu schützen.
Ein umfassender Ansatz, der von der Wahl sicherer Event-Plattformen über den Einsatz moderner Verschlüsselungstechnologien bis hin zu Identitäts- und Zugriffskontrollmaßnahmen reicht, bildet die Grundlage für eine sichere digitale Eventdurchführung. Ergänzend sichern Maßnahmen wie die Absicherung von WLAN-Netzwerken bei physischen Veranstaltungen und der Einsatz von VPN-Lösungen für remote arbeitende Teams die gesamten Veranstaltungsprozesse ab.