Zoom-Meetings werden trotz anderslautendem Marketing nicht End-to-End verschlüsselt, schreiben die Investigativ-Journalisten von «The Intercept»: «Tatsächlich verwendet Zoom eine eigene Definition des Begriffs, die Zoom selbst den Zugriff auf unverschlüsselte Video- und Audiodaten von Besprechungen ermöglicht.»
Im Security-Paper von Zoom steht, man setze End-to-End-Verschlüsselung mit Private Keys ein und nutze dafür AES-256 — allerdings nur bei Einwahl über Computer, nicht via Telefon.
In der Praxis läuft es anders: Als Verschlüsselung kommt lediglich Transport Layer Security (TLS) zum Einsatz, wie «The Intercept» berichtet. Auf die direkte Frage zur End-to-End-Verschlüsselung antwortete ein Zoom-Sprecher: «Derzeit ist es nicht möglich, die E2E-Verschlüsselung für Zoom-Videokonferenzen zu aktivieren. Zoom-Videokonferenzen verwenden eine Kombination aus TCP und UDP. TCP-Verbindungen werden über TLS hergestellt, und UDP-Verbindungen werden mit AES unter Verwendung eines über eine TLS-Verbindung ausgehandelten Schlüssels verschlüsselt.»
Zoom-Server als „Endpoint“
TLS ist nicht dasselbe wie End-to-End-Verschlüsselung. Wer die Server kontrolliert, kann bei TLS auf den Datenstrom zugreifen — bei echter End-to-End-Verschlüsselung wäre das nicht möglich. Zoom beruft sich darauf, von Endpoint zu Endpoint zu verschlüsseln. «Endpoint» bedeutet in Zooms Lesart aber offenbar: Zoom-Server.
«Wenn wir in unseren anderen Dokumenten den Ausdruck ‹End to End› verwenden, bezieht er sich auf die Verbindung, die von Zoom-Endpunkt zu Zoom-Endpunkt verschlüsselt wird», schrieb der Zoom-Sprecher. «Der Inhalt wird nicht entschlüsselt, da er durch die Vernetzung zwischen diesen Rechnern über die Zoom-Cloud übertragen wird.»
Das bedeutet nebenbei noch gar nichts darüber, ob AES-256 auf die bestmögliche Weise implementiert ist. Je nach Betriebsmodus unterscheidet sich die Angreifbarkeit erheblich — das hat die Crypto-AG-Affäre eindrücklich gezeigt. Im Security-Paper steht dazu nichts.
Die Kritik an der Enterprise-Tauglichkeit von Zoom wächst. Schon zuvor standen die Datenschutzpraktiken der Firma unter Beschuss — darunter eine später überarbeitete Richtlinie, die Zoom offenbar erlaubte, Nachrichten und Dateien aus Besprechungen für Werbezwecke auszuwerten.