Die IT-Abteilung sowie die Datenschutzbeauftragten der ene't GmbH und der ene't Service GmbH (nachfolgend beides „ene't“ genannt) haben die Entwicklungen seitdem aufmerksam beobachtet und bewertet.
ene't ist von den vielfältigen Funktionen und auch der Sicherheit von Zoom überzeugt. Für die Initiierung von Videokonferenzen, Webinaren und Onlineschulungen nutzt ene't daher die Software dieses Anbieters. Dazu wurde ein Vertrag zur Auftragsverarbeitung (AV) mit Zoom abgeschlossen (mehr dazu in der ene't Datenschutzerklärung: https://www.enet.eu/datenschutz).
Auf dieser Seite haben wir einige Informationen und weiterführende Links für Sie zusammengestellt, welche die in den Medien diskutierten Vorbehalte zur Nutzung von Zoom relativieren oder entkräften.
Zusammenfassung der Kernaussagen der Datenschutzerklärung von Zoom
- Zoom verkauft die Daten von Benutzern nicht. Zoom hat in der Vergangenheit noch nie Benutzerdaten verkauft und beabsichtigt nicht, dies zukünftig zu tun.
- Zoom überwacht Besprechungen und deren Inhalte nicht.
- Zoom erfüllt alle geltenden Datenschutzgesetze, ‑regeln und ‑bestimmungen in den Ländern, in denen es tätig ist, einschließlich der Europäischen Datenschutzgrundverordnung (EU DSGVO) und dem California Consumer Privacy Act (CCPA).
Weitere Informationen zum Umgang mit Ihren Daten finden Sie in der Datenschutzerklärung des Anbieters unter (https://zoom.us/de-de/privacy.html).
Auftauchen von Zoom-Zugangsdaten im „DarkNet“
In Untergrundforen des sog. „DarkNets“ werden immer wieder Zoom-Zugangsdaten gehandelt. Die dort verkauften Inhalte stammen zum Teil aus älteren Datenlecks anderer Plattformen (siehe nächstes Kapitel „Credential Stuffing“). Zum anderen stammen die dort auftauchenden Daten aus Phishing-Kampagnen, wie z. B. in Verbindung mit Cisco Webex zu beobachten.
(https://threatpost.com/cisco‑c…)
Credential Stuffing
Beim sog. „Credential Stuffing“ versuchen Hacker, sich mit Benutzerinformationen, die aus früheren Datenlecks stammen, beim betroffenen Dienst einzuloggen. Funktionierende Zugangsdaten werden gesammelt und weiterverkauft.
In einem Statement betont Zoom, dass „Credential Stuffing“ nicht an Zoom-spezifische Sicherheitsmängel geknüpft ist.
(https://www.heise.de/security/…)
Handhabung von Daten Routing:
Kostenfreie Accounts
Derzeit sind die Rechenzentren von Zoom auf folgende Regionen verteilt: USA, Kanada, Europa, Indien, Australien, China, Lateinamerika, Japan & Hongkong. Benutzer, die Zoom kostenlos verwenden, werden an Rechenzentren in ihrer Standardregion gebunden, in der ihr Konto bereitgestellt wird. Alle Daten fließen zusätzlich durch Server in den USA. Da ene't mit kostenpflichtigen Accounts arbeitet, trifft dies für Sitzungen, die durch ene't eingerichtet werden, nicht zu. Daten von kostenlosen Benutzern außerhalb Chinas werden niemals durch China geleitet.
Kostenpflichtige Accounts
Seit September 2020 kann jeder zahlende Kunde eine bestimmte Rechenzentrumsregion aktivieren oder deaktivieren, um so das Routing selbst zu bestimmen. ene't hat alle Einstellungen so gewählt, dass ausschließlich Routings über Server mit dem Standort Deutschland genutzt werden.
(https://support.zoom.us/hc/de/…)
Verschlüsselung & Transparenz
Kritisiert wird in Bezug auf Zoom oft das Fehlen einer ununterbrochenen Ende-zu-Ende-Verschlüsselung. Zoom setzt auf eine TLS-basierte Transportverschlüsselung, die auch als „Zoom-end-point-to-Zoom-end-point-Encryption“ verstanden werden kann (Zoom-Server sind Endpunkte).
Diese Methode wird auch beim Verschlüsseln von Websites genutzt (https). Das bedeutet, dass die Verbindung zwischen der App und dem Server von Zoom verschlüsselt ist. Die Meetings bleiben also bei der Internetübertragung (wie auch bei der Ende-zu-Ende-Verschlüsselung) geschützt, sind aber innerhalb der Zoom-Cloud theoretisch für das Unternehmen zugänglich. Dies wäre allerdings auch bei der Konkurrenz der Fall (z. B. Google Hangouts, Slack oder Microsoft Teams).
Aus diesem Grund haben beispielsweise Google, Facebook und Microsoft bereits Transparenzberichte veröffentlicht. Diese beschreiben, wie viele behördliche Anfragen nach Benutzerdaten sie aus welchen Ländern erhalten haben und wie viele von ihnen sie erfüllen.
Um zukünftig eine bessere Ende-zu-Ende-Verschlüsselung zu gewährleisten, hat Zoom das Unternehmen Keybase gekauft.
(https://blog.zoom.us/wordpress…)
DSGVO
Zoom behandelt das Thema DSGVO aktiv und verpflichtet sich schriftlich innerhalb der Datenschutzrichtlinien, den Anweisungen eines Kunden (Verantwortlicher im Sinne der DSGVO) in Bezug auf personenbezogene Daten zu folgen.
(https://zoom.us/de-de/privacy.html)
Funktion „Sicherheit“
Für den Host eines Zoom-Meetings existiert in der Steuerleiste der Button „Sicherheit“. Somit kann jeder Veranstalter eines Meetings entscheiden, welche Funktion(en) er den Teilnehmern erlauben möchte und welche nicht.
Diese Einstellungen sind schon beim Planen eines Meetings möglich und können bei Bedarf auch während des Meetings geändert werden.
(https://zoom.us/de-de/security.html)
„Zoom-Bombing“
Zoom selbst hat eine Anleitung verfasst, um ungebetene Gäste von Meetings fernzuhalten.
Das sog. „Zoom-Bombing“ wird durch unzureichend administrierte Meetings ermöglicht, indem Meeting-IDs solange durchprobiert werden, bis eine ID ohne Passwortschutz gefunden wurde. Man muss auch davon ausgehen, dass bewusst Zugangsdaten zu Zoom-Meetings an Unberechtigte weitergegeben und die vorhandenen Sicherheitsmechanismen von den Erstellern der Meetings nicht verwendet wurden.
Zu der Einrichtung eines Passwortschutzes wird daher dringend geraten. Außerdem hat jeder Ersteller eines Zoom-Meetings die Möglichkeit, alle Teilnehmer zunächst in einem isolierten Warteraum festzuhalten, bis das Meeting beginnt. Zusätzlich können Meetings für neue Teilnehmer gesperrt werden, um die Teilnahme unerwünschter Personen zu vermeiden.
ene't wendet alle von Zoom vorgeschlagenen Sicherheitsmaßnahmen an (passwortgeschützte Meetings, Warteräume etc.), um „Zoom-Bombing“ zu verhindern. Daher kann an einem von ene't geplanten Online-Meeting bedenkenlos teilgenommen werden.
(https://support.zoom.us/hc/en-…)
Unberechtigter Zugriff auf die Kamera
Dies betrifft eine Sicherheitslücke aus dem Jahr 2019, welche ausschließlich MacOS Geräte betraf. Das Problem ist bereits seit längerem behoben.
Grundsätzlich empfiehlt es sich, die Linse von Webcams immer abzudecken, solange die Kamera nicht genutzt wird.
Ausspionieren von Benutzerdaten und Codeausführung
In den Medien wurde berichtet, dass mithilfe des Zoom-Chats Benutzerdaten ausgespäht und Programme gestartet werden können. Genau diese Methode wird in (Spear-)Phishing Mails angewendet. Hier ist also ein hohes Maß an Aufmerksamkeit der Benutzer gefordert, damit Angriffsversuche vereitelt werden können.
Um den Schutz an dieser Stelle zu erweitern, wäre es möglich, den Zoom-Chat zu deaktivieren. Dies würde allerdings im Falle von Audio- oder Video-Problemen der Teilnehmer eine Kommunikation sehr erschweren.
(https://www.bleepingcomputer.c…)
Weitergabe von Daten an Facebook
Laut eines Medienberichts wurden keine persönlichen Daten der Benutzer, sondern Informationen zum Gerät von Zoom an Facebook übertragen. Dies macht aber aufgrund des bereits vorhandenen Wissens von Facebook nahezu keinen Unterschied.
In einem Zoom-Update Ende März 2020 wurde diese Funktion entfernt.
Da die Datenübertragung in direktem Zusammenhang mit den Funktionen „mit Facebook anmelden“ oder „mit Google anmelden“ steht, wird davon abgeraten, diese Formen der Einwahl zu nutzen.
(https://www.vice.com/en_us/art…)
Aufmerksamkeitstracking
Eine weitere Zoom-Funktion, die häufig in der Kritik stand, ist das „Aufmerksamkeitstracking“. Sie wurde von Zoom eingeführt, um die Anwesenheit der Teilnehmer bei Pflichtveranstaltungen zu prüfen.
Inzwischen wurde diese Funktion vollständig entfernt.
Die Funktion musste bei der Erstellung eines Meetings bewusst eingeschaltet werden. War sie aktiv, sah der Moderator, bei welchem Teilnehmer das Meeting in einem Browser im Vordergrund war, bzw. wer das Meeting-Fenster nicht aktiviert hatte, sondern sich in einem anderen Programm oder Browser befand und sich somit nicht direkt an der Veranstaltung beteiligte.
(https://support.zoom.us/hc/en-…)
Weiterführende Informationen
Hier noch einige Informationen von Zoom.us selbst:
- Stellungnahme von Zoom: https://blog.zoom.us/wordpress/2020/04/01/a‑message-to-our-users/
- Zoom Privacy Policy: https://blog.zoom.us/wordpress/2020/03/29/zoom-privacy-policy/
- 90-Tage Plan-zur Verbesserung der Datenschutz & Sicherheitsinitiativen: https://blog.zoom.us/wordpress/de/2020/05/20/90-tage-sicherheitsplan-fortschrittsbericht-20-mai/
- Zoom-Unterstützung während Covid-19: https://zoom.us/docs/en-us/covid19.html?zcid=1231