Zoom in der Kritik – Status quo und Bewertung der Videokonferenz-Lösung

Die Coronakrise hat die Nutzerzahlen von Videokonferenzdiensten und Kollaborationstools explodieren lassen. Mit steigenden Nutzerzahlen ist auch die Kritik an dem Umgang der Dienste mit Datenschutz und Informationssicherheit gestiegen. In diesem Blogbeitrag möchte ich die Lösung „Zoom“ etwas genauer unter die Lupe nehmen und Handlungsempfehlungen für die private Nutzung von Videokonferenzdiensten geben.

Ein Zoom auf Zoom – immer mehr Online-Meetings im privaten Umfeld

Der Download von Videokonferenzlösungen geht durch die Decke, der weltweite Datenverkehr bricht alle Rekorde und Firmen implementieren Homeoffice-Lösungen im Eiltempo. Die Coronakrise stellt uns alle vor große Herausforderungen. Seit Wochen werden daher Vor-Ort-Meetings und Veranstaltungen als Videokonferenzen abgehalten. Doch auch im privaten Umfeld wird die Verlagerung von Terminen in die virtuelle Welt immer mehr zur Normalität. Neben dem Schulunterricht über Videokonferenzen werden mittlerweile auch Gottesdienste, Arzttermine, Tanz-, Musik- oder Sprachkurse, Homeworkouts oder private Termine wie ein Vereinsstammtisch oder ein Familientreffen über Videokonferenzen abgehalten. Dabei werden häufig verschiedene Dienste verwendet. Doch wie sieht es bei der Nutzung von Videokonferenzlösungen mit dem Schutz personenbezogener Daten aus? Wie kann ich sichergehen, dass private Gespräche von niemandem mitgehört werden und wo landen meine Daten?

Beim Thema Datenschutz sind spätestens seit dem Inkrafttreten der EU-DSGVO vor zwei Jahren auch Privatpersonen stärker sensibilisiert. Mit der verstärkten Nutzung dieser Tools gab es viele Sicherheitsbedenken und Kritik an dem Umgang mit den Daten der Nutzer. Eine Software, die für den Umgang mit dem Datenschutz in der Kritik steht, ist „Zoom“.

Was ist Zoom?

Zoom Video Communications Inc. ist ein US-amerikanischer Hersteller der gleichnamigen cloud-basierten Videokonferenzsoftware Zoom. Mit der Lösung können Video-Meetings, Audiokonferenzen, Webinare und Live-Chats abgehalten werden. Entwickelt wurde die Software hauptsächlich für Unternehmen.

Zoom unterstützt auch das Versenden von Textnachrichten oder Dateien innerhalb einer Videokonferenz. Diese Form der Team-Kollaboration ermöglicht allen Teilnehmern eines Meetings den Zugriff auf die gleichen Ressourcen und fördert somit die Zusammenarbeit in Teams, bei welchen von unterschiedlichen Standorten aus gearbeitet wird.

Die Lösung steht steht für alle wichtigen Plattformen und Betriebssysteme bereit (Windows, Mac OS, Linux, Android, iOS) und ist somit von allen PCs und mobilen Geräten (Handy/Tablett) nutzbar. Die Praxis zeigt, dass die Software stabil funktioniert und auch von relativ unerfahrenen Anwendern genutzt werden kann.

Als Besonderheit gegenüber anderen Lösungen gibt es noch folgende Funktionen:

  • Remote-Support
  • Breakout-Rooms (vorübergehend können Teilnehmer in Kleingruppen zusammenarbeiten und danach wieder am ursprünglichen Gesamtmeeting teilnehmen)

Ähnlich wie bei anderen Anbietern, profitiert auch Zoom in einem extremen Maße von der Coronakrise. So konnte der Anbieter im Dezember 2019 noch zehn Millionen Nutzer zählen, so nutzten im März schon mehr als 200 Millionen Menschen den Dienst.

Welche Alternativlösungen gibt es?

Aktuell gibt es viele weitere Anbieter von Videokonferenzsoftware auf dem Markt. Darunter unter anderem:

  • Microsoft Teams
  • Microsoft Skype
  • LogMeIn GoToMeeting / GoToWebinar (früher Citrix)
  • Cisco Webex
  • Slack
  • Google Hangouts (Meet)
  • Selbstbaulösungen mit Asterisk & Voip-Software (Soft-Phone)
  • Open Source Lösungen wie Jitsii oder Ähnliche

Vorwürfe gegenüber Zoom

In letzter Zeit gab es viele Sicherheitsbedenken gegenüber der Nutzung von Zoom als Videokonferenzsoftware. So gab es Vorwürfe, dass die Nutzer ausspioniert und die Daten an Dritte weitergegeben werden. Insbesondere über die Konformität mit der EU-DSGVO wurde hier viel diskutiert. In einigen Unternehmen gibt es aktuell Verbote die Software im Enterprise-Umfeld und mit Firmenequipment zu nutzen. Im Folgenden möchte ich einige dieser Vorwürfe aufzählen und darstellen, wie der Softwareanbieter auf die verschiedenen Vorwürfe reagiert hat:

1. Zoom leitet Daten an Facebook weiter

Im iOS-Client wurde von Zoom das Facebook-Software Development Kit, vermutlich mit Standard-Einstellungen, genutzt. Bei jedem Programmstart der Software wurde so vor der Anmeldung eine Verbindung zu Facebook aufgebaut.
Lösung: Zoom hat das Facebook-Software Development Kit aus der Software entfernt und stellt die aktualisierte Zoom-Version per Update zur Verfügung.
(https://www.heise.de/mac-and-i/meldung/Zoom-beendet-Datenweitergabe-der-iOS-App-an-Facebook-4692815.html)

2. Hijacking von Sessions

Es war möglich, an unzureichend gesicherten Video-Konferenzen teilzunehmen. So konnte man sich beispielsweise bei laufenden Video-Konferenzen einwählen und sensible Daten abgreifen oder per Screesharing fremde Inhalte einspielen.

Lösung: Der Anbieter hat verschiedene Einstellungen vorgenommen, die es erschweren, als Fremder an einer Video-Konferenz teilzunehmen:

    • standardmäßiges Aktivieren des Warteraums – alle Teilnehmer im Warteraum müssen vom Moderator zur Konferenz hinzugefügt werden.
    • standardmäßiges Setzen von Passwörtern für jedes Session: bei ungesicherten Sessions musste man nur die Meeting-ID erraten, um teilzunehmen. Jetzt ist für jedes Session ein Passwort erforderlich und die Meeting-ID ist verdeckt. Somit wird es schwerer, den Zugang zu Konferenzen zu erraten.
    • Zusätzlich ist es möglich, detailliert zu wählen, wer Screen-Sharing aktivieren kann (Alle vs. Moderator)

(https://www.heise.de/newsticker/meldung/Gegen-Zoombombing-Meeting-Tool-Zoom-aktiviert-Passwoerter-und-Warteraeume-4697256.html)

Durch diese Einstellungen sollte es über 1000-mal schwerer geworden sein, illegal an einem Zoom-Meeting teilzunehmen.

3. Zoom verschlüsselt nicht ausreichend

Zoom verschlüsselt die Verbindung zwischen Client und Server (Transport-Verschlüsselung). Chat-Nachrichten sind maximal Ende-zu-Ende verschlüsselt.

Lösung:

  • Der Nutzer muss dem Anbieter vertrauen, dass keine Videokonferenzen von Zoom zwischen den Servern abgehört werden (wie beim Telefon auch).
  • Zoom hat die Dokumentation aktualisiert.
  • Empfehlung: kein Datei-Austausch, kein Recording in der Cloud
  • In einem Statement des Anbieters wurde versichert, dass es keine Hintertür für Regierungen gibt

4. Aufmerksamkeits-Tracker

Zoom hatte ein Feature in der Software, um zu erkennen, welche Nutzer aktiv in einem Meeting zuhören oder sich mit anderen Software-Fenstern beschäftigen. Es ist nicht klar, wer diese Informationen einsehen konnte und ob Informationen aus den parallel laufenden Anwendungen an Zoom übermittelt wurden.

Lösung: Zoom hat diese Software-Funktion am 2. April 2020 aus der Software entfernt.

(https://support.zoom.us/hc/en-us/articles/115000538083-Attendee-attention-tracking)

5. Geleakte Zoom-Accounts

Cyber-Kriminelle haben eine Liste aus E-Mail-Adressen und Passwörtern geprüft, ob diese Accounts auch mit Zoom verwendet werden. Diese Liste wurde dann im Darknet geleakt.

Lösung: Dieses Problem besteht nicht direkt bei dem Dienst, sondern wird verursacht von Nutzern, die ihr Passwort wiederverwenden. Für jeden Dienst im Internet (Zoom, Online-Banking, Social Media, Bahn-App) sollte man ein neues Passwort verwenden. Tipps für sichere Passwörter finden Sie in unserem Blogbeitrag.

(https://www.heise.de/security/meldung/Zugangsdaten-fuer-hunderttausende-Zoom-Accounts-zum-Kauf-im-Darknet-entdeckt-4701838.html)

6. Auswahl des Datencenters

Aufgrund des steigenden Bedarfs an Video-Konferenzen musste auch der Anbieter Zoom schnell reagieren und kurzfristig neue Serverkapazitäten bereitstellen. So sei es möglich gewesen, dass Videotelefonate über verschiedene Zoom-Rechenzentren im Ausland geleitet wurden. Viele davon auch über das Rechenzentrum in China. Vor allem in den USA hat dies für viel Kritik gesorgt.

Lösung: Zahlende Nutzer sollen zukünftig mitentscheiden können, welcher Server für die Videokonferenz genutzt werden soll.

(https://t3n.de/news/videokonferenz-zoom-gibt-nutzern-1270621/)

Warum verbieten Unternehmen die Nutzung von Zoom?

  1. Viele Unternehmen wie Banken, Pharmaunternehmen oder Unternehmensberatungen arbeiten mit streng vertraulichen Daten. Insbesondere der ungeklärte Datenverkehr über das Ausland ist für einige Unternehmen hier ein zu großes Risiko.
  2. Einige Unternehmen möchten Daten in der Cloud für einen gemeinsamen Zugriff ablegen – aufgrund verschiedener Sicherheitslücken hat Zoom hier keinen guten Ruf.
  3. Manche Unternehmen haben schon eine Lösung für Videokonferenzen und/oder Remote-Support im Haus. Wenn Zoom zusätzlich durch einen Mitarbeiter installiert wurde, verstößt dies meist gegen die Firmenrichtlinien.

Auch die TO hat die Nutzung von Zoom im Unternehmen nicht erlaubt. Beim Ausbruch der Coronakrise und der damit verstärkten Homeoffice-Nutzung haben wir uns dafür entschieden Microsoft Teams unternehmensweit einzuführen. Diesen Dienst konnten wir schnell und sicher in unsere bestehende Microsoft-Exchange-Umgebung integrieren.

Marketing & Vertrieb nutzen – wie auch bereits zuvor – zusätzlich die Lösungen von LogMeIn, insbesondere bei unseren Webinaren.

Wie sicher ist Zoom im Vergleich zu anderen Kommunikationskanälen?  

  • Microsoft Teams, Cisco Webex: Das Rechenzentrum der genannten Anbieter ist sicherheitsmäßig besser zertifiziert als das von Zoom. In Bezug auf die Softwarequalität holt Zoom langsam auf. Eine Software mit weniger Funktionen (wie Zoom gegenüber Microsoft Teams) schneidet statistisch gesehen besser ab.
  • Telefon: Durch die Möglichkeit der Video-Übertragung werden über Zoom mehr Daten übertragen als in einfachen Telefongesprächen. Andererseits ist die Verschlüsselung in Telefongesprächen bis heute nicht eindeutig geklärt. Anbieter haben (theoretisch) Zugriff auf jedes Gespräch. Das Sicherheitsniveau von Zoom und Telefon ist daher vergleichbar.
  • E-Mail: E-Mails werden bisher oft nicht verschlüsselt. Die Transportverschlüsselung erfolgt meist nur zum E-Mail-Server der eigenen Organisation. Das Sicherheitsniveau von E-Mail ist daher schlechter als das von Zoom.
  • Der Computer des Anwenders: Es gibt Anwender, welche auf die Sicherheit ihres Computers achten: Alle Updates einspielen, Antivirus-Software nutzen und Spam-E-Mails nicht öffnen. Bei gut gewarteten Computern oder anderen Endgeräten wie Mobiltelefonen oder Tablets ist das Sicherheitslevel für die Vertraulichkeit für Zoom und das Endgerät sicher gleich. Bei schlecht gewarteten Systemen erfolgt der Fremdzugriff oft über das Endgerät! Lesen Sie die wichtigsten Tipps beim Schutz ihrer Endgeräte in unserem Blogbeitrag.
  • Selbstbau-Lösungen mit Asterisk und VoIP-Software: Selbstbau-Lösungen können sehr viel sichererer als Zoom sein oder aber auch sehr viel schlechter. Eine eindeutige Einschätzung ist hier schwierig.

Kann Zoom für private Kommunikation mit Freunden und Verwandten genutzt werden?

Wenn ich die Alternative habe, soziale Beziehungen per Zoom zu pflegen und mit Eltern oder Freunden per Videokonferenz Kontakt zu halten, statt gar keinen Austausch zu haben, dann ist meine Empfehlung Zoom zu nutzen. Für private Gespräche mit Verwandten über die letzte Fahrradtour, Austausch mit Oma über Backrezepte oder Abstimmungen zum Rasen mähen auf der Vereinsplatz ist die Nutzung von Zoom allemal unbedenklich. Grundsätzlich sollte vor der ersten Nutzung eines neuen Tools aber immer eine individuelle Einschätzung erfolgen, wie vertraulich die Daten sind, die über die Software übertragen werden. Wenn Sie nun also über Themen wie ihr Aktiendepot, laufende Finanzierungen oder ihren Arbeitsplatz austauschen, gilt es die Nutzung gut abzuwägen.

Handlungsempfehlungen zur Nutzung von Videokonferenzdiensten für den Privatgebrauch

  1. Datenschutzrichtlinien des Anbieters kennen: Machen Sie sich mit den relevanten Richtlinien des Anbieters vertraut und recherchieren Sie, mit wem Ihre Daten geteilt werden (z.B. Zoom Datenschutzrichtlinien).
  2. Anwendungen schließen: Bevor Sie die Videokonferenz beginnen, sollten Sie alle nicht benötigten Anwendungen im Hintergrund schließen.
  3. Nutzen Sie einen Warteraum: Nutzen Sie bei Konferenzen mit mehreren Teilnehmern einen Warteraum um die Teilnehmer zu verifizieren.
  4. Passwörter verwenden: Verwenden Sie für Konferenzen möglichst immer Zugangsbeschränkungen wie Passwörter.
  5. Kein Wiederverwenden von Meeting-IDs: Nutzen Sie für eine neue Session immer eine neue Meeting-ID. So vermeiden Sie, dass sich ungebetene Gäste in Ihre Session einwählen.
  6. Meeting-Teilnehmer im Auge behalten: Der Moderator sollte immer überprüfen, wer an der Videokonferenz teilnimmt
  7. Keine Aufzeichnung: Manchmal werden beispielsweise Vereinssitzungen oder Sportkurse aufgezeichnet, um diese dokumentieren zu können oder auf Video-Plattformen hochzuladen. Klären Sie deshalb zu Beginn der Konferenz, ob diese aufgezeichnet wird. In einem privaten Termin gibt es eigentlich keinen Anlass eine Session aufzuzeichnen, sollte das trotzdem der Fall sein, sollte dies immer vorher mit allen Teilnehmern abgesprochen werden.
  8. Aktualisieren Sie Ihre Software: Grundsätzlich sollten alle Anwendungen immer auf dem aktuellsten Stand sein. Vor der Nutzung und Installation von neuen Tools sollten Sie jedoch sicherstellen, dass Ihre Anwendungen und ihr Betriebssystem aktualisiert sind.
  9. Sicherheitsregeln befolgen: Wenn Sie per E-Mail oder Social Media einen Link für eine Videokonferenz erhalten, sollten sie die Legitimität des Links überprüfen und Kontakt mit dem Absender aufnehmen.

Fazit

Wägen Sie immer gut ab, ob sie ein neues Tool nutzen möchten. Selbst wenn Sie alle unsere Handlungsempfehlungen beachten, gibt es keine Garantie, dass Ihre Daten bei der Nutzung von Zoom oder vergleichbaren Lösungen wirklich sicher sind. Es ist davon auszugehen, dass die Coronakrise die Meetingkultur in Deutschland und den privaten Umgang miteinander nachhaltig verändern wird. Auch in Zukunft werden daher Videokonferenzen zu unserem Alltag gehören. Machen Sie sich daher stets mit den Datenschutzbestimmungen vertraut und befolgen die grundlegenden Sicherheitsregeln. Falls Sie sich für weitere Videokonferenzlösungen oder einen Vergleich im Enterprise-Umfeld interessieren, hinterlassen Sie uns gerne einen Kommentar.

3 Kommentare

  1. Ich benutze anstatt Zoom als Online-Meeting Wolkesicher.de, da es einen Hohen Datenschutz hat und zuverlässig funktioniert.

  2. Schöner Beitrag, ich hätte noch das Meeting Programm citomeeting.de auf die Liste getan, da ich es in meiner Firma verwende, sehr zufrieden bin und ich es daher nur empfehlen kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA *