Sichere Teams Meetings
Teams ist sicher, alle Übertragungen sind verschlüsselt aber der Link zum Betritt ist für alle Teilnehmer identisch. Die Seite ist entstanden, nachdem Mitte Januar wohl mehrere Teilnehmer es nicht lassen konnten, die Konferenz von Schulklassen (Home-Schooling) zu kapern und unangemessen Inhalte zu zeigen. Ich beschreibe die Ursachen, passende Einstellungen und wie Sie eine Besprechung sicher machen.
Die Standardeinstellung
Microsoft hat bei der Einführung von Teams die Nutzung möglichst einfach machen wollen. Daher sind einige Einstellung "unsicher":
- Jeder Teilnehmer bekommt den gleichen Link
So kann der Link problemlos weitergegeben gegeben werden. Das ist im Firmenumfeld sogar gewünscht, z.B. damit eine andere Person als Ersatz einspringen kann. Aber man "vertraut" natürlich den Teilnehmern, dass der Link nicht an unseriöse Personen gegeben ist. Und man kann nicht mal ermitteln, wer den Link absichtlich, unabsichtlich oder per Phishing weitergegeben hat. - Es gibt keine Zugangskontrolle, d.h. Teilnehmer dürfen direkt ins Meeting
eintreten
Den "Warteraum" (Lobby) gab es am Anfang noch gar nicht und nachträglich dies zu erzwingen, hätte eine Änderung bei den Bestandkunden bedeutet. Hier hätte ein Admin schon die Standards auf die neuen Möglichkeiten anpassen können - Alle Teilnehmer dürfen (fast) alles.
Team kann zwar zwischen Firmenmitarbeitern, authentifizierten Anwendern anderer Firmen und anonymen Teilnehmern unterscheiden. Aber die Standardeinstellung erlaubt auch anonymen Teilnehmern sehr viel wie z.B. andere Teilnehmer stummschalten, rauswerfen, Präsentation starten, eigene Stummschaltung aufheben
Wenige Hürden bei der Nutzung erleichtern die Einführung und Akzeptanz aber mittlerweile sollten Sie die Sicherheit deutlich anheben. Informieren Sie ihre Anwender und fangen Sie schnellstens damit an.
Kurzfassung
Um anonyme Teilnehmer und Störungen zu verhindern, sollte ihr Teams Administrator folgendes tun:
- Surfen Sie auf
https://admin.teams.microsoft.com/policies/meetings und
melden sich als Administrator an
- Klicken Sie dann auf die Richtlinie "Global" und ändern Sie
zumindest die beiden Einstellungen im Bereich Teilnehmer und
Gäste
Das Bild zeigt schon die geändert "sicherere" Einstellung.
- Informieren Sie ihre Organisatoren über die neue
Voreinstellung
Und zeigen Sie diesen, wie sie einen schon geplanten Termin auch entsprechend absichern.
Diese Einstellung gilt nur für Organisatoren, die keine andere Richtlinie zugewiesen bekommen haben. Prüfen Sie ggfls. auch noch die anderen Richtlinien
Die Änderung wirkt sich auf neu geplante Besprechungen aus betrifft keine bereits geplanten Termine. Hier muss der Organsiator selbst die Einstellungen anpasen.
Das hilft allerdings nicht, wenn ein Schüler oder Teilnehmer auch seine Zugangsdaten zur Plattform (Benutzername und Kennwort) verraten hat. Dann sollten Sie das Konto umgehend sperren lassen und dessen Kennwort ändern.
Wenn es passiert ist, dann können Sie bei Teams z.B. ermitteln, von welcher IP-Adresse der Teilnehmer teilgenommen hat. Einfacher "Streiche" lassen sich so vermutlich noch nachverfolgen aber spätestens wenn die andere Seite z.B. Tor, FreiFunk, offee WLANs oder VPN-Dienste im Ausland o.ä. nutzt, verlaufen die meisten Ermittlungen im Sande. Zumal gerade Schulen solche Besprechungen auch nicht aufzeichnen und damit weitere Beweise fehlen. Daher ist es besser vorzusorgen.
- Meeting policy settings - Designated presenter role mode
https://docs.microsoft.com/en-us/microsoftteams/meeting-policies-in-teams#meeting-policy-settings---designated-presenter-role-mode
Reales Risiko
Die Nutzung von Konferenzlösungen von Teams, aber auch Zoom, WebEx, Jitsi u.a. muss einfach sein. Der Organisator lädt zu einem Meeting ein und die Einladung ist eine URL, die neben der Adresse der Plattform eine Zugangskennung enthält. Bei Audio-Konferenzen ist es meist eine Rufnummer zur Einwahl mit einer numerischen Zugangskennung. Diese Information kann nun per Mail, Chat, InstantMessage oder andere Kommunikationswege an die Teilnehmer verteilt werden. Zum fraglichen Zeitpunkt startet der Organisator die Besprechung und die Teilnehmer treten ein.
Bei diesem Verfahren hat der Organisator allerdings nicht die Kontrolle, ob die Zugangsdaten "geheim" bleiben. Ein Teilnehmer könnte Sie ja weitergeben, so dass weitere nicht eingeladene Teilnehmer zur Konferenz dazu stoßen. Der Organisator hat keine Möglichkeit zu ermitteln, der die Information unerlaubterweise weiter gegeben hat. Es muss ja nicht mal in Absicht erfolgt sein. Selbst Innenminister haben schon Fotos aus dem Homeoffice geposted, auf denen Zugangsdaten sichtbar waren.
- Peinliche Panne: Journalist crasht Videokonferenz der
EU-Verteidigungsminister
https://www.rtl.de/cms/journalist-crasht-geheime-videokonferenz-der-eu-hoffe-minister-bekommen-gute-schulung-4654523.html - Videotreffen von EU-Verteidigungsministern gehackt
https://www.spiegel.de/politik/ausland/eu-video-treffen-der-verteidigungsminister-gehackt-a-7b028270-fcbc-442d-854f-e08fce234943 - Übergriffe im Distanzunterricht: Pornografie statt Mathe und
Deutsch
https://www.heise.de/news/Uebergriffe-im-Distanzunterricht-Pornografie-statt-Mathe-und-Deutsch-5033792.html
Wobei die beiden martialischen Verben "gehackt" oder "crasht" natürlich fehlt am Platz sind. Dennoch war es für die Minister peinlich nur gut, dass der unerwünschte Teilnehmer sofort bemerkt wurde. Das Risiko ist aber genauso bei virtuellen Schulstunden aber auch Firmenbesprechungen vorhanden. Durch eine korrekte Konfiguration seitens des Administrators aber auch der Organisators kann das Risiko minimiert oder sogar vermieden werden. Allerdings ist eine höhere Sicherheit auch mit weniger Bequemlichkeit verbunden.
Teilnehmerkreis und Lobby
In einer Besprechung gibt es in der Regel mehrere Personengruppen mit unterschiedlichem Vertrauenslevel. Die farbigen Bilder zeigen, wo ein Risiko bestehen kann. Damit einige Punkte "Grün" sind, müssen Sie als Administrator oder Organisator die Besprechungsoptionen entsprechend einstellen.
| Level | Authentifiziert | Angezeigter Name | Kann Meeting Starten | Kann Meeting Optionen bearbeiten | Gäste aus der Lobby zulassen |
|---|---|---|---|---|---|
Organisator |
 Im
AzureAD |
Displayname
aus dem AzureAD |
Ja |
Ja |
Ja |
Teilnehmer |
Im
AzureAD |
Displayname
aus dem AzureAD |
Ja |
 Leider
Nein |
Ja |
Federated |
aus
dem B2B Im AzureAD |
Displayname
aus dem AzureAD |
? |
Nein |
? |
Gast |
Anonym |
Durch
den Teilnehmer frei einzugeben |
? |
Nein |
? |
Von den Vertrauenslevel sollte auch abhängig sein, was diese Person tun kann. Ein Organisator sollte authentifizierte Teilnehmer, Gäste und anonyme Teilnehmer jederzeit stummschalten oder entfernen können. Aber es gibt weitere Abstufungen, wer was kann. Manchmal reicht nicht Stummschalten sondern man möchte auch die Reaktivierung durch den Teilnehmer unterbinden. Auch das Teilen eines Bildschirms sollten z.B. anonyme Personen nicht ohne Bestätigung durch höher privilegierte Personen nutzen können. Ein anonymer Benutzer sollte natürlich auf keinen Fall den Sprech stummschalten oder sogar aus der Konferenz werden können.
Sie sollten bei Besprechungen mit externen "anonymen" Teilnehmern überlegen, ob diese direkt in das Meeting kommen oder erst in einer "Lobby" auf eine Freischaltung warten müssen. So können Sie den Zugang auch kontrollieren.
Wichtig ist auch die Frage, wer das Meeting starten kann. Es ist innerhalb einer Firma mit überwiegend authentifizierten Teilnehmern wichtig, dass jeder das Meeting starten kann und nicht auf die Person gewartet werden muss, die den Termin eingeladen hat. Der Organisator kann ja auch krank geworden sein oder aus einem anderen Grund nicht teilnehmen. Dann wäre es untauglich, wenn alle in der Lobby warten und niemand weiß, wann es los geht. Ein federated User oder anonymer Gast sollte natürlich das Meeting nicht starten können. Wir wollen ja keine Plattform für Personen bieten, wenn nicht mindestens ein Teilnehmer der ausrichtenden Instanz dabei ist. Das ist bei geplante Besprechungen wichtig, die z.B. 60 Tage lang gültig sind.
Vorgaben per Richtlinie
All diese Einstellungen kann der Organisator einer Besprechung selbst einstellen. Er muss nur dran denken. Bei Microsoft Teams kann ein Administrator daher per "Meeting Policy" gewisse Einstellungen vorgeben. Solche Richtlinien sind aber "Default"-Werte, die bei jedem neuen Meeting dieser Person voreingestellt sind. Der Organisator kann natürlich die Einstellungen ändern.
In meinem Teams Tenant habe ich folgende Einstellungen in den Meeting Policies (https://admin.teams.microsoft.com/policies/meetings) bei der Richtlinie "Global (Org-wide defaults)", die erst einmal für alle Benutzer gilt.
Beim Default ist schon mal unterbunden, dass Anonyme Teilnehmer das Meeting starten. Das ist gut so, da ansonsten jemand mit einem "aufgeschnappten" Meeting-Link für bis zu 60 Tage jederzeit ein Meeting starten kann. Bei einem geplanten Meeting sollte schon immer zumindest der Organisator oder ein Teilnehmer aus dem Tenant des Organisators dabei sein.
Sie sehen hier aber auch zwei kritische Einstellungen:
- "Presenter Rights": Jeder kann Präsenter sein
- "Admit People": Jeder kommt direkt in das Meeting.
Für beide Parameter gibt es "sicherere" Einstellungen. Ich würde je nach Besprechungstyp die Einstellungen Anpassen. Sie können als Teams Administrator auch mehrere Richtlinien anlegen, die Sie dann den Personen zuweisen. Leider kann ein Anwender aber nicht bei der Planung eine "Voreinstellung" als Template auswählen.
| Besprechungsart | Presenter Right | Automatischer Zugang | DialIn |
|---|---|---|---|
| Default (Global) | Jeder |
Everyone in your organization |
Lobby |
| Offenes Meeting | Jeder |
Everyone in your organization |
Lobby |
| Firma mit externen | Jeder in der Firma und Federated Orgs |
Jeder in der Firma und Federated Orgs |
Lobby |
| Projektmeeting | Jeder in der Firma |
Jeder in der Firma |
Lobby |
| Geheimes Meeting | Nur Organisator |
Nur Organisator |
Nein, nur DialOut |
| Schule | Nur Organisator |
Jeder in der Firma |
Entfällt |
Wer z.B. nicht Presenter ist, kann das Recht während des Meetings immer noch Anfragen und wer keinen automatischen Zugang hat, muss eben in der Lobby auf Einlass warten
Auch wenn so in der Schule alle Teilnehmer weiterhin authentifiziert sind und Missbrauch auf eine Person zurückgeführt werden kann, ist es doch nervig, wenn jeder als Organisator vielleicht auch nur unabsichtlich jemand anderes stummschaltet. Schüler könne ja "die Hand heben" und der Lehrer ruft dann auf bzw. stuft zum Presenter hoch.
Leider gibt es keine "Sonderposition" des Organisators. So kann es schon passieren, dass auch der Organisator "stumm" geschaltet wird. Das große Problem der "weitergegebenen MeetingIDs" mit wildfremden Teilnehmern, die dann auch noch aktiv stören können. ist damit schon mal Einhalt geboten.
Ein Administrator kann mehrere unterschiedliche Richtlinien anlegen aber pro Benutzer nur genau eine Richtlinie zuweisen. Damit können Sie aber unterschiedliche Richtlinie für die verschiedenen Benutzerprofile konfigurieren. Bedenken Sie aber, dass dies nur die "Defaults" für den die vom Organisator geplanten Besprechungen sind.
- Manage meeting policies in Teams
https://docs.microsoft.com/en-us/microsoftteams/meeting-policies-in-teams - Manage meeting settings in Microsoft Teams
https://docs.microsoft.com/en-us/microsoftteams/meeting-settings-in-teams
Meeting sicher planen
Wer eine Besprechung plant, erbt die Einstellung der für ihn zugewiesenen Richtlinie. Der Inhaber der Besprechung kann diese Einstellungen aber bei der Planung auch nachträglich und sogar während der Besprechung jederzeit wieder anpassen. So kann eine für die Individuelle Besprechung ungeeignete Einstellung umgestellt werden.
Leider können Sie die Optionen aktuell nicht beim der Planung des Termins direkt einstellen. Sie müssen die in Teams oder Outlook erstellte Einladung erst an die Teilnehmer senden und dann den Termin noch einmal öffnen
Erst dann hat Teams die Besprechungsinformationen beigefügt und damit auch den Link zur Bearbeitung der Besprechung:
s
Der Link in Teams und Outlook starten beide einen Browser zum Einstellen der Besprechungsoptionen:
Hier können Sie die Einstellungen immer noch abweichend von der Richtlinie anpassen. Ein Administrator sollte die Richtlinie pro Benutzer entsprechend "weise" wählen.
Tipp: Wir arbeiten z.B. mit einem Teams Führerschein, bei dem solche Einstellungen erklärt werden und die "freizügigeren Defaults" bekommt der Benutzer erst, wenn er sie anfordert und die Bedeutung verstanden hat.
Meeting starten
Mit dem Klick auf den Link startet der erste Nutzer das Meeting. Im Hintergrund werden die Ressourcen und Dienste (CPU, IP-Adressen/Ports und Prozesse etc.) bereitgestellt, mit dem sich dann auch die weitere Teilnehmer verbinden. Allerdings passiert das nicht einfach so, denn zuerst wird geprüft, wer der Anwender ist.
- Authentifiziert
Wenn der Anwender sich mit einem Office 365-Konto anmelden kann, dann ist er "bekannt" und Teams zeigt auch den hinterlegten Benutzernamen an, den der Anwender auch nicht ändern kann. - Anonym
Wenn der Anwender sich nicht anmelden kann, dann fragt Teams ihn nach dem Namen, den der Teilnehmer aber frei wählen kann. Der Name, der daher später in der Besprechung erscheint, ist nicht zwingend korrekt.
Je nach Authentifizierung kann Teams dann weiter unterscheiden. Bei erfolgreicher Authentifizierung kann Teams folgende Identitäten unterscheiden:
- Organisator des Teams Meetings
- Teilnehmer aus der gleichen Organisation
- Teilnehmer aus einer verbundenen Organisation (Federation)
- Anonymer Gast
Je nach Einstellung der Besprechung sind sie dann eben der Presenter, landen in der Lobby oder können Personen aus der Lobby abholen.
Es ist eine gute Idee, als Organisator einige Minuten vorher im Meeting zu sein, wenn sie externe Gäste erwarten, die in der Lobby landen. Gerade weniger erfahrene Teilnehmer können Sie so vorher auch schon abholen, Audio und Video testen und generell etwas die Angst nehmen.
Speziell bei größeren Meetings sollte die einladende Person auch dabei sein, denn denken Sie daran:
Nur der Organisator kann die Besprechungsoptionen während des Meetings bearbeiten und das Meeting beenden
Wer Besprechungen durch einen Assistenten einladen lässt, ist dann auch nur "Teilnehmer". Ein Blick auf die aktuell gültigen Einstellungen als Organisator ist eine gute Idee. Dies geht in einer Teams-Besprechung direkt im Client:
Als Organisator einer Besprechung sollten sie also immer dran denken, dass jemand notfalls für sie einspringen kann.
Meeting führen
Während eines Meetings kann viel passieren. "Störer" kommen nicht gleich am Anfang dazu. Das gilt insbesondere, wenn ihnen nur der Zugangslink aber nicht der Zeitraum bekannt ist. Rechnen Sie daher damit, dass Störungen jederzeit erfolgen können. Bei einer Schule mit einem Lehrer und den Schülern kann es nur ein Hintergrundgeräusch bei einem Schüler sein, welches Sie als Lehrer mal schnell "stummschalten". Der Schüler bekommt eine Meldung und kann sich hoffentlich denken, dass dies keine Sanktion war. Wobei in einer Schule die meisten Schüler vermutlich sich eh stummschalten.
Das gilt genauso für größere Besprechungen in Firmen, denn niemand ist gegen störende Hintergrundgeräusche immun. Sei dass der Postbote klingelt, eine WC-Spülung läuft, ein Kind (oder ein Elternteil) flucht oder ein Telefon sich meldet. Heute gehört eine aktive Steuerung der "Stummschaltung" zum guten Ton.
Wenn Sie mit einer Lobby arbeiten, dann sollten Sie damit umgehen können, wenn mitten im Redefluss und der Präsentation ein "xx wartet in der Lobby" aufpoppt. Ein hilfreicher Kollege kann sich um diese Teilnehmer speziell zu Beginn der Besprechung kümmern.
Aber Achtung: Der angezeigte Name bei einem anonymen Teilnehmer wird vom Teilnehmer eingegeben und kann damit komplett falsch sein. Wer sichere Meetings fordert, erlaubt generell nur authentifizierte Teilnehmer. Das gilt insbesondere bei Teilnehmern, die sich per Telefon einwählen. Angezeigte Rufnummern sind einfach zu fälschen. Sie können auch per "Dialout" jemand hinzuholen. Das ist sicherer
Allerdings gibt es nicht nur kooperative Teilnehmer.
- Störende Lautmeldungen/Zwischenreden
Als Organisator ist es ihr Meeting und damit bestimmen Sie die Regeln. Sollte es "Probleme" zwischen Menschen und nicht im Bezug auf den Besprechungsinhalt geben, dann wird das außerhalb der Besprechung geklärt. Denken Sie immer daran, dass Sie noch weitere Teilnehmer eingeladen haben, die sie ansonsten verlieren. Dann besser den "störenden Teilnehmer" stummschalten. Wenn er dies nicht akzeptiert, kann er das Meeting verlassen oder er akzeptiert, dass Sie die Regeln verschärfen, indem Sie die Aufhebung der Stummschaltung nicht mehr Teilnehmer überlassen. - Kriminelle, beleidigende, destruktive Teilnehmer
Die Steigerung sind Teilnehmer, die sich komplett destruktiv verhalten, z.B. indem sie den aktiven Sprecher/Presenter stummschalten, mit entsprechenden Rechten, aus dem Meeting entfernen oder ungeeignete Inhalte per Chat, per Bildschirmfreigabe oder Hyperlinks auf Webseiten verteilen. Das bedeutet aber auch, dass ihre Meeting-Einstellungen nicht passend sind. Sie können den Teilnehmer schnell entfernen aber er wird sicher über den Link wieder eintreten. Spätestens jetzt sollten sie das Meeting über einen Lobbyzwang für Gäste oder sogar alle Teilnehmer absichern und die Berechtigung zur Präsentation beschränken.
Es klingt einfach aber in so einem Fall müssen Sie als Organisator des Meetings schon etwas Erfahrung haben, um die richtigen Schalter schnell zu finden. Es hilft sicher, wenn Kollegen ihnen beistehen. Aber die Besprechungsoptionen kann nur der Organisator ändern.
Meeting geordnet beenden
Jede Besprechung ist irgendwann zu Ende und alle verlassen das Meeting. Damit ist die Besprechung aber noch nicht beendet. Es könnte ja eine kurze Unterbrechung sein (Pause, Netzwerkprobleme etc.) oder es ist eine wiederkehrende Besprechung. Die Besprechungen in Microsoft Teams haben eine gewisse Gültigkeitsdauer und es ist gerade mit mehreren Zeitzonen nicht ungewöhnlich, dass jemand eine Stunde zu spät das Meeting aufsucht und einen leeren Raum findet.
Als Organisator haben Sie beim "Verlassen"-Button oben rechts aber eine Möglichkeit das Meeting nicht zu zu verlassen sondern auch zu beenden.
Damit verlassen nicht nur sie als Organisator die Besprechung sondern alle Teilnehmer werden auch aus der Besprechung entfernt. Wenn Sie dann wieder die Lobby-Einstellung richtig gewählt haben, kommt auch kein Gast mehr in das Meeting.
Weitere Links
- Manage meeting policies in Teams
https://docs.microsoft.com/en-us/microsoftteams/meeting-policies-in-teams - Meeting policy settings - Designated presenter role mode
https://docs.microsoft.com/en-us/microsoftteams/meeting-policies-in-teams#meeting-policy-settings---designated-presenter-role-mode - Manage meeting settings in Microsoft Teams
https://docs.microsoft.com/en-us/microsoftteams/meeting-settings-in-teams - So halten Sie erfolgreiche und sichere Meetings mit Microsoft Teams
https://pulse.microsoft.com/de-at/work-productivity-de-at/na/fa3-top-tipps-fur-clevere-remotearbeit-mit-microsoft-teams/ - Peinliche Panne: Journalist crasht Videokonferenz der
EU-Verteidigungsminister
https://www.rtl.de/cms/journalist-crasht-geheime-videokonferenz-der-eu-hoffe-minister-bekommen-gute-schulung-4654523.html - Videotreffen von EU-Verteidigungsministern gehackt
https://www.spiegel.de/politik/ausland/eu-video-treffen-der-verteidigungsminister-gehackt-a-7b028270-fcbc-442d-854f-e08fce234943 - Übergriffe im Distanzunterricht: Pornografie statt Mathe und
Deutsch
https://www.heise.de/news/Uebergriffe-im-Distanzunterricht-Pornografie-statt-Mathe-und-Deutsch-5033792.html - How do I schedule a Teams meeting on behalf of another user?
– Cross the Divide (zendesk.com)
https://crossthedivide.zendesk.com/hc/en-us/articles/360045550152-How-do-I-schedule-a-Teams-meeting-on-behalf-of-another-user- - MS Teams Meeting Delegation - Outlook Permission and
Schedule Meeting In 2020 (techieberry.com)
https://techieberry.com/ms-teams-meeting-delegation/ - How To Schedule Teams Meeting From Shared Mailbox [2020]
https://techieberry.com/teams-meeting-from-shared-mailbox/ - Meetings sent out from a Shared mailbox
https://microsoftteams.uservoice.com/forums/555103-public/suggestions/37485490-meetings-sent-out-from-a-shared-mailbox - Share a phone line with a delegate
https://support.microsoft.com/en-us/office/share-a-phone-line-with-a-delegate-16307929-a51f-43fc-8323-3b1bf115e5a8 - Scheduling Teams Meetings as Delegate for another mailbox
https://answers.microsoft.com/en-us/msoffice/forum/msoffice_o365admin-mso_teams-mso_o365b/scheduling-teams-meetings-as-delegate-for-another/cc720859-2c01-4194-812b-f8067e1e43ca
