Selfhosting von Videokonferenzen mit Jitsi Meet: Frage zu Kosten und Sicherheit.

[Aldwin]

Liebe Community,

ich bin auf der Suche nach einer möglichst sicheren Plattform für Videokonferenzen auf die Möglichkeit gestoßen Jitsi selbst zu hosten. Ich habe mich via googlen etwas eingelesen, aber bin nach wie vor noch recht blank bei den für mich zentralen Themen: Kosten & Nutzen von dieser Lösung. Sollte diese Frage zu Basic sein und ich zig gute Beiträge/Links übersehen habe, bin ich über das Teilen von diesen schon super happy!

Situation
Eine kleine Firma arbeitet u.a. mit Behörden zusammen. Es werden in der Regel Workshops gehalten, bei denen 2 bis maximal 20 Teilnehmer dabei sind. Zoom kommt aufgrund der Sicherheitsbedenken nicht in Frage, sodass Jitsi aktuell der Favorit ist. Die Firma hat keinen Kontakt zu IT-Dienstleistern (zu klein), aber wurde auf die Möglichkeit Jitsi selbst zu hosten aufmerksam gemacht.

Frage
Ist es aus eurer Sicht sinnvoll ein Selbsthosting (ggf. durch einen Dienstleister) von Jitsi in betracht zu ziehen? Die zentralen Faktoren sind Nutzen (Sicherheit, die auch dem Kunden kommuniziert werden kann) und die Kosten dafür. Die aktuelle Annahme ist, dass die Sicherheit durch gut strukturiertes Selbsthosting erhöht wird, allerdings die Kosten - sofern man dies von einem Dienstleister warten lässt - recht hoch sein sollten.

Vielen Dank für jegliche Hilfe und Tipps wo ich gut nach Infos suchen kann!

Grüße
Aldwin

 

[Fortatus]

Was für eine Firma ist das denn? Wenn kein (adequates) technisches Wissen vorhanden ist, kann ein falsch konfigurierter Jitsi-Server unsicherer sein, als einfach Zoom zu nutzen. Von der Haftungsfrage in dem Fall mal ganz abgesehen. Wer haftet, wenn Mitarbeiter xy, der sich zutraut den Server aufzusetzen, obwohl es nicht sein Fachgebiet ist, einen Fehler macht? Die Firma? Der Mitarbeiter persönlich?

 

[Dalek]

Was sind denn die Kriterien im Bereich Sicherheit? Geht es da ums abgehört werden, um Privatsphäre/Datenschutz insgesamt, oder darum das z.B. keine Daten in die USA kommen? Sind die Inhalte und die Firma interessant genug das ausländische Geheimdienste bzw. Industriespionage ein Thema sind?

Meine Fragen hören sich sicher etwas übertrieben an, sind sie auch, aber man muss halt wirklich realistisch betrachten gegen was man sich schützen will. Und wenn es jetzt nicht um US Geheimdienste geht und keine Datenschutzregeln dagegensprechen ist man vermutlich mit den üblichen Verdächtigen wie Google, Microsoft, Zoom am besten beraten.

Die Clients selbst sind ein gewisses Sicherheitsrisiko (wie praktisch jede Software die man installiert), reine Browservarianten zu verwenden ist da ein Vorteil und bietet meiner Meinung nach mehr Sicherheit.

Jitsi selbst aufsetzen ist vermutlich nicht trivial wenn da etwas Last drauf ist, und das braucht durchaus ordentliche Hardware soweit ich es gehört habe. Ich persönlich würde sowas sehr ungerne troubleshooten wenn es ein Problem gibt.

 

[madmax2010]

Frage
Ist es aus eurer Sicht sinnvoll ein Selbsthosting (ggf. durch einen Dienstleister) von Jitsi in betracht zu ziehen? Die zentralen Faktoren sind Nutzen (Sicherheit, die auch dem Kunden kommuniziert werden kann) und die Kosten dafür. Die aktuelle Annahme ist, dass die Sicherheit durch gut strukturiertes Selbsthosting erhöht wird, allerdings die Kosten - sofern man dies von einem Dienstleister warten lässt - recht hoch sein sollten.

Vielen Dank für jegliche Hilfe und Tipps wo ich gut nach Infos suchen kann!

Ja, das kann sinnvoll sein. Viele behörden nutzen selbst intern Jitsi.
Bei den Kosten kommt es sehr auf die Nutzung an. Soll ich dich mit einem Dienstleister, der sich auf Beratung und Hosting in dem Feld spezialisiert hat in Kontakt bringen?

 

[Kyze]

Sorry, aber eine Firma die so klein ist, kein eigenes Know-How hat und noch nichtmal Kontakt mit einem Dienstleister soll etwas selber hosten was dann irgendwie "sicher" ist ?

Das beißt sich IMO einfach.

Entweder man nimmt sowas as-a-Service, oder man lässt die Finger davon und begnügt sich mit einer kommerziellen Lösung die man einfach nur einkauft.

 

[Golgorod]

Jitsi ist ok, es funbktioniert recht brauchbar. Nur muss man sich Gedanken machen wie die Räume abgesichert werden. BigBlueButton ist ordentlich.
Nur wie immer WebRTC hat Anforderungen die erfüllt werden müssen - auch administrativ. z.B. Zertifikate sind wichtig. Nur macht man das mal eben nicht nebenbei...

 

[derlorenz]

Dann vielleicht MS Teams?

 

[hpxw]

Nextcloud Talk

 

[Aldwin]

Vollzitat entfernt

Genau dies ist die zentrale Frage.

Die Firma ist eher "old-school" und passt sich den aktuellen Gegebenheiten an. Da viel mit Führungskräften im Behördenumfeld (eher ü50) gearbeitet wird, geht es auch darum Aktzeptanz für Videokonferenzen zu schaffen. Ein Artikel à la "Zoom ist die Datenschutzkatastrophe schlechthin und nicht DSGVO-konform" in der FAZ kann dann schonmal für längere Diskussionen sorgen, sodass Selfhosting bzw. ein Einkauf einer SaaS-Lösung von Jitsi in Frage kommt, um im Bereich Datenschutz Sicherheit kommunizieren zu können.

Vollzitat entfernt

Danke für Deine spannende Ausführung!

Nein, es werden keine brisanten Informationen besprochen, die für Akteure à la NSA interessant sein sollten. Es geht darum, dass die kleine Firma ihren Kunden kommunizieren kann "Wir nutzen dieses Tool und das ist absolut DSGVO-konform und sicher" .. Wie würdest du dieses Thema lösen, wenn intern nur wenig technisches know-how verfügbar ist?

Vollzitat entfernt

Vielen Dank für den Vorschlag, allerdings sind wir aktuell noch nicht so weit. Hast du eine Idee, wie hoch die Kosten ungefähr pro Jahr wären für das Self-Hosting durch einen Dienstleister?

Vollzitat entfernt

Danke für Deine Einschätzung! Wie würdest du dieses Thema lösen bzw. welchen Anbieter würdest du wählen?

 

[snaxilian]

Die Frage kannst nicht mit ja oder nein beantworten. Unter der Voraussetzung, dass der Server auf dem es läuft vernünftig gehärtet ist UND Patches zeitnah eingespielt werden UND das System aus Securitysicht überwacht wird UND Datentransfer als auch Datenablage verschlüsselt stattfindet ist es aus Datenschutzsicht besser/sicherer.
Oder man sucht sich einen Anbieter für Jitsi-as-a-Service. Beispielhaft erstbester Treffer: https://nws.netways.de/de/apps/jitsi/
Firma aus DE, Datacenter nach ISO27001 zertifiziert, humane Preise und monatlich kündbar.

BigBlueButton hat mehr Optionen und Features und skaliert für größere Treffen deutlich besser, kann aber genauso gravierende Lücken haben: https://www.golem.de/news/big-blue-button-das-grosse-blaue-sicherheitsrisiko-2010-151610.html
Datenschutz und Datensicherheit hat eben mehr als einen Aspekt und die muss man entsprechend abwägen bei der Entscheidung für oder gegen ein Tool bzw. Anbieter.

 

[xexex]

Ein Artikel à la "Zoom ist die Datenschutzkatastrophe schlechthin und nicht DSGVO-konform" in der FAZ kann dann schonmal für längere Diskussionen sorgen,

Was durchaus klar ist und für Microsoft Teams Lösung spricht. Zoom ist wegen diverser Berichte bezüglich Datenschutz in Deutschland schlichtweg "verbrannt".

 

[Fortatus]

Genau dies ist die zentrale Frage.

Die Firma ist eher "old-school" und passt sich den aktuellen Gegebenheiten an. Da viel mit Führungskräften im Behördenumfeld (eher ü50) gearbeitet wird, geht es auch darum Aktzeptanz für Videokonferenzen zu schaffen. Ein Artikel à la "Zoom ist die Datenschutzkatastrophe schlechthin und nicht DSGVO-konform" in der FAZ kann dann schonmal für längere Diskussionen sorgen, sodass Selfhosting bzw. ein Einkauf einer SaaS-Lösung von Jitsi in Frage kommt, um im Bereich Datenschutz Sicherheit kommunizieren zu können.

Das schreit aber doch nach einem Dienstleister. Wer von den Angestellten möchte denn auf eigenes Risiko so eine Plattform selbst aufsetzen, wenn die Firma selbst old-school ist und die Behördenmitarbeiter ebenfalls eher ein älteres Semester sind.
Ich kann mir schon förmlich ausmalen, wie der Server in der ersten Woche nur mittelmäßig läuft und die Herren in der Führungsetage sich denken: "Wir haben es immer gewusst. Dieses neumodische Zeug funktioniert nicht. Sobald Corona vorbei ist, gehen wir zu Schreibmaschine und Fax zurück."

Für die Akzeptanz in so einem Umfeld ist es wichtig, dass das System von Tag 1 vernünftig läuft und das geht nur mit Geld (für vernünftige Hardware und kompetente Administratoren) und Erfahrung (für die sichere und stabile Konfiguration).

Es ist ganz einfach: Wenn es einfach und billig sein soll, bleiben Zoom, MS Teams und Konsorten. Wenn es ein quelloffenes System a la Jitsi oder BigBlueButton sein soll, muss halt Geld ausgegeben werden für einen dedizierten Server (gekauft oder gemietet) + Business-Betreuung durch Dienstleister. Datenschutz kostet Geld und deswegen pfeifen ja auch die meisten darauf.

Und der Link von @snaxilian zeigt ja auch, dass ein gemietetes/betreutes Jitsi nicht die Welt kosten muss. Ich würde in einer solchen Situation die Finger von Bastellösungen lassen.

 

[Aldwin]

Vollzitat entfernt

Danke für Deine Einschätzung. Eine Jitsi-Lösung mit z.B. dem von Dir genannten Anbieter macht absolut Sinn für den Anwendungsfall.

Vollzitat entfernt

Absolut.

Ich möchte das Thema einfach richtig verstehen, um eine gute Entscheidung treffen zu können. Ob es extern oder intern gelöst wird, ist dabei zweitrangig und u.a. abhängig von den von dir genannten Punkten.

Deine Ausführung zu den Kosten von gutem Datenschutz finde ich spannend! Ich habe mich damit bisher wenig auseinander gesetzt, aber glaube das hier ein interessanter Markt für nicht-IT-Konzerne entsteht.

Nach Eurem Feedback nehme an, dass es final ein betreutes Jitsi - wie in dem Link von @snaxilian - werden wird. Wie würdet ihr hier die Anbieter vergleichen bzw. Unterschiede festmachen?

 

[snaxilian]

@xexex Wenn man nach der Definition geht ist Teams genauso verbrannt, da afaik mehrere Landesdatenschutzbeauftragten den Einsatz von Teams an Schulen untersagt oder stark eingeschränkt haben und wenn man das Schrems II Urteil konsequent anwenden würde wären alle Anbieter aus den USA raus...
Da ist Zoom nicht besser oder schlechter als MS Teams oder Google Meet oder Cisco WebEx.

Naja die Unterschiede bzw. Vergleichsfaktoren wären:

• Vertragslaufzeiten
• Kosten
• Erreichbarkeit Support (zu welchen Uhrzeiten, in welcher Form, z.B. Telefon/Mail/Webformular/etc, gibt es SLAs, usw.)
• Verfügbarkeit des Dienstes
• Ist der Dienst skalierbar/erweiterbar oder nicht
• Welche rechtlichen oder sonstigen Bedingungen gibt es (Serverstandort, Verschlüsselung, Firmensitz und damit welche zuständige Gerichtsbarkeit, sind irgendwelche Zertifizierungen entweder vorgeschrieben oder optional vorhanden)

Ansonsten müsstest du doch wissen was für euch wichtig ist, zumindest gehört das zum Umfang einer entsprechenden Ausbildung oder Studium oder ist das hier nur die nächste verkappte Hausaufgabenhilfe? In dem Fall frage deinen Ausbilder, denn das ist seine Aufgabe und nicht unsere.

 

[Aldwin]

Vollzitat entfernt

Hallo snaxilian,

vielen Dank für Deine große Hilfe und die Informationen in Bezug auf Videokonferenzen und Datenschutz.

Ich finde es allerdings schade, dass Du annimmst ich würde Dein Wissen nutzen, um Hausaufgaben o.ä. damit zu machen. Ich interessiere mich immer mehr für das Thema IT-Sicherheit, aber habe weder in meiner Ausbildung/Studium (habe Geisteswissenschafte studiert) noch mich im Job mich richtig mit dem Thema Datenschutz auseinander gesetzt. In meinem ehemaligen Job war Datenschutz sogar das Thema non-Grata für meine Vorgesetzten, da sie stets im Konzernumfeld irgendwelche US-Software reinbringen wollten, was zu schwierigen Auseinandersetzngen mit dem Datenschutzbeauftragen führte (die Chefs wollten halt ihre externe "bessere" US-Software nutzen). Damals kam es mir vor als wolle der Konzern-Datenschutzbeauftragte vor allem bremsen, wenn er jedes Tool und externe Datenspeicherung sehr kritisch sah - das sehe ich heute komplett anders und versuche mich deshalb immer stärker einzuarbeiten.

Ich helfe einem Bekannten dabei seine kleine Firma (mehr oder weniger Solo-Selbstständig) ein wenig IT fitter zu machen. Das hilft mir, weil ich in der Recherche auf spannende Themen/Antworten stoße und ihm, weil er sehr weit weg vom Thema ist.

Noch mal großes Danke für Deine Ausführungen
Aldwin

 

[xexex]

Da ist Zoom nicht besser oder schlechter als MS Teams oder Google Meet oder Cisco WebEx.

Man kann sich bei Microsoft aber durchaus auf DSGVO Gutachten oder die Platzierung der Server in Deutschland berufen, wo liegt in diesem "Vergleich" Zoom?

@Aldwin Hier ein kleine Übersicht.
Welches Videokonferenzsystem erfüllt die Anforderungen an den Datenschutz? | Datenbeschützerin Regina Stoiber (regina-stoiber.com)

 

[snaxilian]

Serverstandort ist halt Augenwischerei. Die Server stehen unter administrativer Fuchtel von MS, MS ist ein US-Konzern und untersteht damit dem CLOUD Act. Ist das juristische Haarspalterei und als 'normal denkender' Mensch doof? Auf jeden Fall und kann sich zusammen mit der BND'schen Weltraumtheorie gleich setzen.
Genau deshalb gab es vor paar Jahren eigene Datacenter die der Telekom gehörten und wo MS nur treuhänderisch die Administration übernahm. Das war dann ein Konstrukt bei dem Cloud Act und Co nicht mehr griffen. Wurde halt soweit ich weiß inzwischen eingestellt der Service.
Solange $Cloudanbieter mir also nicht die Möglichkeit bietet meine eigenen Encryption Keys zu verwenden muss ich darauf vertrauen, dass schon nix passiert. Aufgrund der geltenden Gesetzeslage bekommst du es ja nicht einmal mit, wenn die eigenen Daten abgeschnorchelt werden und mal Hand aufs Herz: Wer liest denn schon wirklich komplett die kilometerlangen AGBs und Datenschutzbedingungen?
Wird es in der Realität anders gehandhabt? Ja wird es aber korrekt/richtig wird es dadurch nicht.

@Aldwin Einen Vergleich hast ja bereits bekommen, hier noch ein weiterer: https://www.e-recht24.de/artikel/da...nzen-und-datenschutz-vergleichstest-zoom.html
Tja und mit der Annahme musst halt leben. Die Fragen könnten auch 1:1 von nem Fachinformatiker Azubi oder so kommen und die Regeln sind da im Forum eindeutig.

 

[Aldwin]

@Aldwin Einen Vergleich hast ja bereits bekommen, hier noch ein weiterer: https://www.e-recht24.de/artikel/da...nzen-und-datenschutz-vergleichstest-zoom.html
Tja und mit der Annahme musst halt leben. Die Fragen könnten auch 1:1 von nem Fachinformatiker Azubi oder so kommen und die Regeln sind da im Forum eindeutig.

Ich finde es Schade, dass für Dich nicht meine Dankbarkeit für Deine Unterstützung zentral ist, sondern das Herabsetzen meines Wissens samt unbegründetem Generalverdacht die Forenregeln zu missachten.

Ausführungen wie Deine zum Cloud Act sind sehr spannend und geben den nötigen Kontext in Diskussionen und bei der Lektüre von anderen Quellen. Vielen Dank dafür und falls Du eine gute Quelle (z.B. ein Buch) für einen guten Gesamteinstieg empfehlen kannst, fände ich das toll.

Liebe Grüße