Sicherheit und Datenschutz in der Videokonferenzsoftware Zoom

Spätestens seit Beginn der Corona-Pandemie hat die Videokonferenzsoftware Zoom einen regelrechten Boom erlebt. Seitdem wird sie nicht nur von Privatpersonen, sondern auch von Bildungseinrichtungen und zahlreichen Unternehmen genutzt. Mit der Begeisterung für die Plattform wuchs jedoch auch die Kritik an Zoom. Vor allem Datenschutzprobleme wurden dabei laut.

Die IT-Abtei­lung sowie die Daten­schutz­be­auf­trag­ten der ene't GmbH und der ene't Ser­vice GmbH (nach­fol­gend bei­des ene't“ genannt) haben die Ent­wick­lun­gen seit­dem auf­merk­sam beob­ach­tet und bewertet.

ene't ist von den viel­fäl­ti­gen Funk­tio­nen und auch der Sicher­heit von Zoom über­zeugt. Für die Initi­ie­rung von Video­kon­fe­ren­zen, Webi­na­ren und Online­schu­lun­gen nutzt ene't daher die Soft­ware die­ses Anbie­ters. Dazu wur­de ein Ver­trag zur Auf­trags­ver­ar­bei­tung (AV) mit Zoom abge­schlos­sen (mehr dazu in der ene't Daten­schutz­er­klä­rung: https://​www​.enet​.eu/​d​a​t​e​n​s​chutz).

Auf die­ser Sei­te haben wir eini­ge Infor­ma­tio­nen und wei­ter­füh­ren­de Links für Sie zusam­men­ge­stellt, wel­che die in den Medi­en dis­ku­tier­ten Vor­be­hal­te zur Nut­zung von Zoom rela­ti­vie­ren oder entkräften.

Zusam­men­fas­sung der Kern­aus­sa­gen der Daten­schutz­er­klä­rung von Zoom

  • Zoom ver­kauft die Daten von Benut­zern nicht. Zoom hat in der Ver­gan­gen­heit noch nie Benut­zer­da­ten ver­kauft und beab­sich­tigt nicht, dies zukünf­tig zu tun.
  • Zoom über­wacht Bespre­chun­gen und deren Inhal­te nicht.
  • Zoom erfüllt alle gel­ten­den Daten­schutz­ge­set­ze, ‑regeln und ‑bestim­mun­gen in den Län­dern, in denen es tätig ist, ein­schließ­lich der Euro­päi­schen Daten­schutz­grund­ver­ord­nung (EU DSGVO) und dem Cali­for­nia Con­su­mer Pri­va­cy Act (CCPA).

Wei­te­re Infor­ma­tio­nen zum Umgang mit Ihren Daten fin­den Sie in der Daten­schutz­er­klä­rung des Anbie­ters unter (https://​zoom​.us/​d​e​-​d​e​/​p​r​i​v​a​c​y​.html).

Auf­tau­chen von Zoom-Zugangs­da­ten im Dar­kNet“

In Unter­grund­fo­ren des sog. Dar­kNets“ wer­den immer wie­der Zoom-Zugangs­da­ten gehan­delt. Die dort ver­kauf­ten Inhal­te stam­men zum Teil aus älte­ren Daten­lecks ande­rer Platt­for­men (sie­he nächs­tes Kapi­tel Creden­ti­al Stuf­fing“). Zum ande­ren stam­men die dort auf­tau­chen­den Daten aus Phis­hing-Kam­pa­gnen, wie z. B. in Ver­bin­dung mit Cis­co Web­ex zu beobachten.

(https://threatpost.com/cisco‑c…)

Creden­ti­al Stuffing

Beim sog. Creden­ti­al Stuf­fing“ ver­su­chen Hacker, sich mit Benut­zer­in­for­ma­tio­nen, die aus frü­he­ren Daten­lecks stam­men, beim betrof­fe­nen Dienst ein­zu­log­gen. Funk­tio­nie­ren­de Zugangs­da­ten wer­den gesam­melt und weiterverkauft.

In einem State­ment betont Zoom, dass Creden­ti­al Stuf­fing“ nicht an Zoom-spe­zi­fi­sche Sicher­heits­män­gel geknüpft ist.

(https://​www​.hei​se​.de/​s​e​c​u​rity/…)

Hand­ha­bung von Daten Routing:

Kos­ten­freie Accounts

Der­zeit sind die Rechen­zen­tren von Zoom auf fol­gen­de Regio­nen ver­teilt: USA, Kana­da, Euro­pa, Indi­en, Aus­tra­li­en, Chi­na, Latein­ame­ri­ka, Japan & Hong­kong. Benut­zer, die Zoom kos­ten­los ver­wen­den, wer­den an Rechen­zen­tren in ihrer Stan­dard­re­gi­on gebun­den, in der ihr Kon­to bereit­ge­stellt wird. Alle Daten flie­ßen zusätz­lich durch Ser­ver in den USA. Da ene't mit kos­ten­pflich­ti­gen Accounts arbei­tet, trifft dies für Sit­zun­gen, die durch ene't ein­ge­rich­tet wer­den, nicht zu. Daten von kos­ten­lo­sen Benut­zern außer­halb Chi­nas wer­den nie­mals durch Chi­na geleitet.

Kos­ten­pflich­ti­ge Accounts

Seit Sep­tem­ber 2020 kann jeder zah­len­de Kun­de eine bestimm­te Rechen­zen­trums­re­gi­on akti­vie­ren oder deak­ti­vie­ren, um so das Rou­ting selbst zu bestim­men. ene't hat alle Ein­stel­lun­gen so gewählt, dass aus­schließ­lich Rou­tings über Ser­ver mit dem Stand­ort Deutsch­land genutzt werden.

(https://​sup​port​.zoom​.us/​h​c/de/…)

Ver­schlüs­se­lung & Transparenz

Kri­ti­siert wird in Bezug auf Zoom oft das Feh­len einer unun­ter­bro­che­nen Ende-zu-Ende-Ver­schlüs­se­lung. Zoom setzt auf eine TLS-basier­te Trans­port­ver­schlüs­se­lung, die auch als Zoom-end-point-to-Zoom-end-point-Encryp­ti­on“ ver­stan­den wer­den kann (Zoom-Ser­ver sind Endpunkte).

Die­se Metho­de wird auch beim Ver­schlüs­seln von Web­sites genutzt (https). Das bedeu­tet, dass die Ver­bin­dung zwi­schen der App und dem Ser­ver von Zoom ver­schlüs­selt ist. Die Mee­tings blei­ben also bei der Inter­net­über­tra­gung (wie auch bei der Ende-zu-Ende-Ver­schlüs­se­lung) geschützt, sind aber inner­halb der Zoom-Cloud theo­re­tisch für das Unter­neh­men zugäng­lich. Dies wäre aller­dings auch bei der Kon­kur­renz der Fall (z. B. Goog­le Han­gouts, Slack oder Micro­soft Teams).

Aus die­sem Grund haben bei­spiels­wei­se Goog­le, Face­book und Micro­soft bereits Trans­pa­renz­be­rich­te ver­öf­fent­licht. Die­se beschrei­ben, wie vie­le behörd­li­che Anfra­gen nach Benut­zer­da­ten sie aus wel­chen Län­dern erhal­ten haben und wie vie­le von ihnen sie erfüllen.

Um zukünf­tig eine bes­se­re Ende-zu-Ende-Ver­schlüs­se­lung zu gewähr­leis­ten, hat Zoom das Unter­neh­men Key­ba­se gekauft.

(https://​blog​.zoom​.us/​w​o​r​d​press…)

DSGVO

Zoom behan­delt das The­ma DSGVO aktiv und ver­pflich­tet sich schrift­lich inner­halb der Daten­schutz­richt­li­ni­en, den Anwei­sun­gen eines Kun­den (Ver­ant­wort­li­cher im Sin­ne der DSGVO) in Bezug auf per­so­nen­be­zo­ge­ne Daten zu folgen.

(https://​zoom​.us/​d​e​-​d​e​/​p​r​i​v​a​c​y​.html)

Funk­ti­on Sicher­heit“

Für den Host eines Zoom-Mee­tings exis­tiert in der Steu­er­leis­te der But­ton Sicher­heit“. Somit kann jeder Ver­an­stal­ter eines Mee­tings ent­schei­den, wel­che Funktion(en) er den Teil­neh­mern erlau­ben möch­te und wel­che nicht.

Die­se Ein­stel­lun­gen sind schon beim Pla­nen eines Mee­tings mög­lich und kön­nen bei Bedarf auch wäh­rend des Mee­tings geän­dert werden.

(https://​zoom​.us/​d​e​-​d​e​/​s​e​c​u​r​i​t​y​.html)

Zoom-Bom­bing“

Zoom selbst hat eine Anlei­tung ver­fasst, um unge­be­te­ne Gäs­te von Mee­tings fernzuhalten.

Das sog. Zoom-Bom­bing“ wird durch unzu­rei­chend admi­nis­trier­te Mee­tings ermög­licht, indem Mee­ting-IDs solan­ge durch­pro­biert wer­den, bis eine ID ohne Pass­wort­schutz gefun­den wur­de. Man muss auch davon aus­ge­hen, dass bewusst Zugangs­da­ten zu Zoom-Mee­tings an Unbe­rech­tig­te wei­ter­ge­ge­ben und die vor­han­de­nen Sicher­heits­me­cha­nis­men von den Erstel­lern der Mee­tings nicht ver­wen­det wurden.

Zu der Ein­rich­tung eines Pass­wort­schut­zes wird daher drin­gend gera­ten. Außer­dem hat jeder Erstel­ler eines Zoom-Mee­tings die Mög­lich­keit, alle Teil­neh­mer zunächst in einem iso­lier­ten War­te­raum fest­zu­hal­ten, bis das Mee­ting beginnt. Zusätz­lich kön­nen Mee­tings für neue Teil­neh­mer gesperrt wer­den, um die Teil­nah­me uner­wünsch­ter Per­so­nen zu vermeiden.

ene't wen­det alle von Zoom vor­ge­schla­ge­nen Sicher­heits­maß­nah­men an (pass­wort­ge­schütz­te Mee­tings, War­te­räu­me etc.), um Zoom-Bom­bing“ zu ver­hin­dern. Daher kann an einem von ene't geplan­ten Online-Mee­ting beden­ken­los teil­ge­nom­men werden.

(https://​sup​port​.zoom​.us/​h​c/en-…)

Unbe­rech­tig­ter Zugriff auf die Kamera

Dies betrifft eine Sicher­heits­lü­cke aus dem Jahr 2019, wel­che aus­schließ­lich MacOS Gerä­te betraf. Das Pro­blem ist bereits seit län­ge­rem behoben.

Grund­sätz­lich emp­fiehlt es sich, die Lin­se von Web­cams immer abzu­de­cken, solan­ge die Kame­ra nicht genutzt wird.

Aus­spio­nie­ren von Benut­zer­da­ten und Codeausführung

In den Medi­en wur­de berich­tet, dass mit­hil­fe des Zoom-Chats Benut­zer­da­ten aus­ge­späht und Pro­gram­me gestar­tet wer­den kön­nen. Genau die­se Metho­de wird in (Spear-)Phishing Mails ange­wen­det. Hier ist also ein hohes Maß an Auf­merk­sam­keit der Benut­zer gefor­dert, damit Angriffs­ver­su­che ver­ei­telt wer­den können.

Um den Schutz an die­ser Stel­le zu erwei­tern, wäre es mög­lich, den Zoom-Chat zu deak­ti­vie­ren. Dies wür­de aller­dings im Fal­le von Audio- oder Video-Pro­ble­men der Teil­neh­mer eine Kom­mu­ni­ka­ti­on sehr erschweren.

(https://www.bleepingcomputer.c…)

Wei­ter­ga­be von Daten an Facebook

Laut eines Medi­en­be­richts wur­den kei­ne per­sön­li­chen Daten der Benut­zer, son­dern Infor­ma­tio­nen zum Gerät von Zoom an Face­book über­tra­gen. Dies macht aber auf­grund des bereits vor­han­de­nen Wis­sens von Face­book nahe­zu kei­nen Unterschied.

In einem Zoom-Update Ende März 2020 wur­de die­se Funk­ti­on entfernt.

Da die Daten­über­tra­gung in direk­tem Zusam­men­hang mit den Funk­tio­nen mit Face­book anmel­den“ oder mit Goog­le anmel­den“ steht, wird davon abge­ra­ten, die­se For­men der Ein­wahl zu nutzen.

(https://​www​.vice​.com/​e​n​_​u​s/art…)

Auf­merk­sam­keits­tracking

Eine wei­te­re Zoom-Funk­ti­on, die häu­fig in der Kri­tik stand, ist das Auf­merk­sam­keits­tracking“. Sie wur­de von Zoom ein­ge­führt, um die Anwe­sen­heit der Teil­neh­mer bei Pflicht­ver­an­stal­tun­gen zu prüfen.

Inzwi­schen wur­de die­se Funk­ti­on voll­stän­dig entfernt.

Die Funk­ti­on muss­te bei der Erstel­lung eines Mee­tings bewusst ein­ge­schal­tet wer­den. War sie aktiv, sah der Mode­ra­tor, bei wel­chem Teil­neh­mer das Mee­ting in einem Brow­ser im Vor­der­grund war, bzw. wer das Mee­ting-Fens­ter nicht akti­viert hat­te, son­dern sich in einem ande­ren Pro­gramm oder Brow­ser befand und sich somit nicht direkt an der Ver­an­stal­tung beteiligte.

(https://​sup​port​.zoom​.us/​h​c/en-…)

Wei­ter­füh­ren­de Informationen

Hier noch eini­ge Infor­ma­tio­nen von Zoom​.us selbst:

Ihre Ansprechpartner

Go to top of page