Interview zu Sicherheit von Zoom
Donnerstag, 16. April 2020
Die Diskussionen um die Sicherheitsbedenken der Videokonferenzlösung Zoom reissen nicht ab. Der Journalist Tobias Bolzern von 20 Minuten hat sich ausgiebig mit Marc Ruef unterhalten. Im Interview werden verschiedene Aspekte, wie Sicherheit, Privatsphäre, Verschlüsselung, Server in China und Möglichkeiten der Absicherung, besprochen. Es wurde ebenfalls auf heute.at publiziert.
Sehr viele Leute im Homeoffice zoomen derzeit. Wenn der Firmenname zum Verb wird, hat mans geschafft. Hat das Unternehmen diesen Erfolg verdient?
Erfolg ist meines Erachtens dann verdient, wenn man ein gutes Produkt anbieten kann. Zoom vermag das in Bezug auf die Funktionalität zu tun und kann andere Branchengrössen diesbezüglich hinter sich lassen. In Bezug auf die Sicherheit muss sich das Produkt aber berechtigte Fragen gefallen lassen.
Zoom hat 20-mal mehr Nutzer als vor ein paar Wochen. Wie ist das technisch möglich?
Es ist nicht davon auszugehen, dass von vornherein eine Infrastruktur betrieben wird, die nur minimal ausgelastet ist. Viel eher kann man davon ausgehen, dass die Infrastruktur modular und skalierbar entwickelt wurde. Dies muss man dem Unternehmen zu Gute halten. Denn nur so kann man kurzfristig und nachhaltig auf einen solchen explosionsartigen Wachstum reagieren.
Datenschützer warnen vor der App. Was genau wird über mich gesammelt, wenn ich es nutze?
In erster Linie hat der Betreiber einer Infrastruktur stets die Möglichkeit, die Daten auszuwerten. Für Zoom dürfte es also bei Bedarf gut ersichtlich sein, wer mit wem kommuniziert.
Zudem ist die Kommunikation nur von den Clients bis zu den Zoom-Servern verschlüsselt. Zoom selbst hat also ebenfalls Zugriff auf die unverschlüsselten Daten (Video, Audio, Chat).
Dann gab es natürlich noch die Anbindung der iOS-App an Facebook, die unweigerlich Informationen an das Soziale Netzwerk weitergereicht hat. Diesen Effekt beobachtet man ebenfalls, wenn auf einer Webseite ein Like-Button eingebunden ist. Zoom hat diese Funktionalität wieder entfernt.
Wenn ich über Kühlschränke spreche, sehe ich künftig Werbung für Kühlschränke?
Das ist nicht anzunehmen. Eine solche Funktionalität käme in der heutigen Zeit einem PR-Disaster gleich. Zoom wird sich hüten, eine solche Funktionalität heimlich einzubauen. Falls sie sich dennoch dafür entscheiden, müssten die Benutzer in der Datenschutzerklärung darauf hingewiesen werden.
Was passiert mit den gesammelten Daten? Was darf Zoom damit machen?
Was Zoom genau mit den Daten macht, ist unklar. Denkbar ist, dass sie das anonymisierte Benutzerverhalten analysieren, um ihre Dienste den Bedürfnissen besser anpassen zu können.
Welchen Weg nehmen Daten? Welche Dienste/Server nutzt Zoom?
Untersuchungen haben gezeigt, dass Zoom verschiedene Entwicklerteams in China engagiert. Unter anderem wird der Schlüsselaustausch ebenfalls über Server in China umgesetzt. Dass die chinesische Regierung Interessen an einzelnen Kommunikationen hat, dürfte nicht von der Hand zu weisen sein. Ob und inwiefern Zoom da zur Kooperation bereit ist, kann gegenwärtig nicht gesagt werden.
Google und Space X haben Zoom verboten. Sind Zoom-Meetings nicht sicher?
Die Beurteilung der Sicherheit einer Lösung ist von vielen Faktoren abhängig. Unter anderem auch davon, welches Sicherheitsniveau erwartet wird. Für unverbindliche Gespräche, Schulungen, Workshops und Vorträge eignet sich das Produkt ganz gut. Den Austausch von hochgeheimen Informationen würde ich persönlich über andere Kanäle anstreben wollen. Eine hohe Sicherheit ist nur dann möglich, wenn man ein eigenes Produkt auf eigener Infrastruktur betreibt. Das Ausweichen auf cloudbasierte Alternativen wie Microsoft Teams, Skype und Cisco WebEx ist also ebenso mit Risiken behaftet.
Wer kann zuschauen, wenn ich eine Videositzung habe?
Abgesehen von Zoom selbst müssten Angreifer entsprechenden Zugriff auf ein Meeting erhalten. Dies ist vor allem dann möglich, wenn Meetings nicht explizit geschützt sind.
Kann auch jemand unbemerkt zuschauen?
Dies ist nicht ohne weiteres Möglich. Dazu müsse eine Schwachstelle in einem Client, den Servern oder der Netzwerkkommunikation ausgenutzt werden. Eine solche ist gegenwärtig nicht bekannt.
Bestehen sonst Gefahren, wenn ich Zoom nutzte? Welche?
Der Einsatz jeder zusätzlichen Software erhöht die Angriffsfläche. Aus diesem Grund ist stets abzuwägen, ob ein solcher Einsatz gerechtfertigt ist. Unsere Cyber Threat Intelligence Analysen zeigen, dass Angriffe noch immer bevorzugt auf Betriebssysteme und Webbrowser abzielen. Lösungen für Audio- und Videokonferenzen sind verhältnismässig wenig im Fokus der Angreifer.
Nutzt du es? Gibt es ev. bessere Alternativen? – die genauso einfach zu bedienen sind?
Ich bin Dozent an verschiedenen Hochschulen und bevorzuge Zoom bei meinen Vorlesungen und Vorträgen. Die Videoqualität, Übersichtlichkeit und Möglichkeit der Breakout-Sessions ist überdurchschnittlich gut. Für sensitive Gespräche mit Arbeitskollegen oder Kunden pflegen wir jedoch eine eigene Lösung einzusetzen.
Kann ich mich auf Zoom besser schützen? Wie genau?
Es gibt eine Reihe von Massnahmen, die beim Einsatz von Zoom empfohlen sind. Einerseits sollte die Software durch Updates stets auf dem neuesten Stand gehalten werden. Meetings sollten mit einem Kennwort geschützt werden und einen registrierten Zoom-Account voraussetzen. Durch das Einrichten eines Warteraums können Störenfriede frühzeitig erkannt und verbannt werden. Sind einmal alle Teilnehmer im Meeting angekommen, kann dieses gesperrt und damit weitere Zugriffe unterbunden werden. Und durch das Einschränken von Zugriffsrechten können Screensharing und Annotations vor Missbrauch geschützt werden. Weitere Informationen finden sich in unserem Fachartikel.
Links
- https://beta.20min.ch/story/wer-schaut-alles-mit-wenn-ich-zoom-nutze-556835025161
- https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/
- https://www.20min.ch
- https://www.heute.at/s/55168244
- https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account
- https://zoom.us
Tags
Herausforderung Datenschutz-Grundverordnung DSGVO?
Unsere Spezialisten kontaktieren Sie gern!