Zu Beginn der Corona-Krise noch als grosser Gewinner der Situation gefeiert, gerät der US-amerikanische Anbieter einer Videokonferenz-Plattform immer mehr wegen Datenschutzbedenken unter Druck. Zoom-Video reagiert nun mit neuen strikten Sicherheitsmassnahmen, um Angreifer effektiv abzuwehren.
Während der Corona-Krise sind ganze Bürokomplexe von einem Tag auf den nächsten ins Homeoffice umgezogen. Ein effizientes Tool für Videokonferenzen ist da dringend erforderlich, um den Betrieb am Laufen zu halten. Dieses Bedürfnis konnte kaum eine Software so gut befriedigen, wie das US-amerikanische Zoom-Video. Das Unternehmen war zuvor schon recht bekannt für sein attraktives Tool für Videokonferenzen. Doch bevor die Corona-Krise jeden persönlichen Kontakt unterband, trafen sich Menschen lieber persönlich, um Geschäftliches zu besprechen. Teams tagten in Meeting-Räumen und Manager verabredeten sich zum Essen. All diese Wege der Kommunikation sind nun verschlossen und hier kommt der Konferenz-Dienst ins Spiel. Doch relativ bald wird klar, dass es erhebliche Probleme mit der Sicherheit und dem Datenschutz mit dem Tool gibt. Die Amerikaner reagieren nun mit Massnahmen, um dieser Kritik zu begegnen.
Neue Features sollen Angreifer abwehren und Zoombombing unterbinden
Probleme bestanden unter anderem deshalb, weil Meeting-IDs, mit denen Nutzer Zugang zu einer Konferenz erhalten recht leicht zu erraten waren. Ausserdem waren die Meetings nicht ausreichend gegen fremde Eindringlinge geschützt. Spassvögel machten sich diese Mängel zunutze, um in Meetings zu platzen und unangemessene Inhalte zu verbreiten oder unbemerkt zu lauschen. Wie der Branchendienst TechCrunch zuerst berichtete, wurden Zoom-Nutzer nun per E-Mail informiert, dass seit dem 5. April 2020 Meetings mit der Meeting-ID nur in Zusammenhang mit einem Passwort betreten werden können. Legitime Nutzer erfahren das entsprechende Passwort aus der Konferenzeinladung oder bekommen es bei spontanen Meetings im Client des Dienstes angezeigt. So soll ausgeschlossen werden, dass sich Nutzer in Meetings einloggen, deren ID sie lediglich erraten haben. Als weiteren Sicherheitsstandard aktiviert das Unternehmen auch sogenannte Warteräume für alle Nutzer. Diese müssen damit durch den Moderator manuell ins Meeting hinzugefügt werden und können nicht mehr automatisch selbst beitreten.
Kommunikation ist kaum verschlüsselt – Daten fliessen auch durch China
Fehlende Sicherheitsmassnahmen und eine ungenügende Verschlüsselung sorgten zudem in der Vergangenheit dazu, dass Meetings durch Fremde aufgezeichnet werden konnten und Inhalte in falsche Hände gelangt sind. So beschränkt sich die durch das Unternehmen versprochene Ende-zu-Ende-Verschlüsselung auf die Textnachrichten, die im eigenen Chat-Programm versandt werden. Für ein Tool, das hauptsächlich Videokonferenzen anbietet, ist das eine aussergewöhnlich flache Interpretation von Ende-zu-Ende-Verschlüsselung. So werden gerade die Inhalte aus Audio- und Video-Kommunikation nicht davon erfasst. Diese Kommunikation ist nur auf dem Weg von einem Ende bis zum Zoom-Server und dann von dort zum anderen Ende verschlüsselt. Ausserdem gibt es Zweifel am Verschlüsselungs-Standard, den der Dienst für diese Daten nutzt. Brisant ist in diesem Zusammenhang auch, dass Daten offenbar zeitweise über China geleitet wurden. Nach Ausbruch der Corona-Krise musste das Unternehmen seine Serverkapazitäten in kürzester Zeit enorm steigern, um der Nachfrage gerecht werden zu können. Bei den Einstellungen wurden bestimmte Parameter nicht beachtet, die eigentlich sicherstellen, dass die Kommunikation stets über Server geleitet wird, die sich in der Region des Nutzers befinden. Bestimmte Konferenzen wurden anschliessend über Server in China geroutet, obwohl die Nutzer ihren Standort nicht dort hatten. Das Unternehmen stellte jedoch klar, dass mehrstufige Sicherheitsmassnahmen sicherstellen, dass auch diese Kommunikation nicht abgefangen werden kann. Datendiebstahl sei also insbesondere auch bei diesen Servern nicht möglich. Zudem sei der für politische Institutionen angebotene Dienst “Zoom for Government”. Diese Panne betrifft ausschliesslich Konferenzen, die vor dem 3. April stattfanden. Das Routing ist nun wieder rekonfiguriert und Konferenzen werden nun ausschliesslich über Server in der Region der Nutzer geleitet.
Weitere Schwachstelle in Zoom: Video-Aufzeichnungen
Ein weiteres Feature des Konferenz-Tools, das in letzter Zeit für Aufmerksamkeit sorgte, ist die Möglichkeit, Video-Aufzeichnungen der Konferenzen zu erstellen. Die Aufzeichnung muss von Nutzern manuell aktiviert werden. Die entsprechende Video-Datei wird auf Zoom-Servern verschlüsselt abgelegt. Dennoch tauchten in letzter Zeit immer wieder Videosequenzen von Meetings im Internet auf. Zahlreiche Nutzer legten die Dateien allerdings offenbar in dem Glauben auf anderen Cloud-Speichern ab, sie seien dort nur für autorisierte Personen abrufbar. Die Washington Post machte derweil zahlreiche Fälle ausfindig, in denen die Videos durch spezielle Suchmaschinen entdeckt werden können. Geholfen hat hier, dass Zoom-Video die Dateien offenbar nach einem einheitlichen Muster benennt. Zufallstreffern liefern damit Ergebnisse, die manchmal hochsensible private Gespräche enthalten. Die Videos umfassen Gespräche mit Ärzten und legen persönliche Informationen wie Telefonnummern offen. Klar ist allerdings, dass nicht eine Schwäche der Sicherheitsvorkehrungen von Zoom-Video selbst für die Panne verantwortlich ist. Achtlose Nutzer hatten die Videos auf unsicheren und öffentlich zugänglichen Cloud-Plattformen abgelegt und so leichtsinnig einen öffentlichen Zugang riskiert.
Datenschutz und Features in der Kritik
Auch die Datenschutzerklärung des Unternehmens ist ins Visier der Kritiker geraten. Die Formulierungen sind teils sehr schwammig, der Umgang mit persönlichen Daten durch das Unternehmen kann oft kaum nachvollzogen werden. Auch die Tatsache, dass Geräte-Informationen von Nutzern der iPhone-App an Facebook weitergeleitet werden, ohne dass das in der Datenschutzerklärung offengelegt würde, sorgte für Kritik. Zudem kam ein Feature, das die Aufmerksamkeit der Nutzer mit anderen Konferenzteilnehmern teilt, bei Kritikern nicht gut an. Befindet sich die Anwendung bei einem Teilnehmer für mehr als 30 Sekunden im Hintergrund, werden die übrigen Nutzer darüber informiert, dass ein Teilnehmer nur unaufmerksam dem Meeting folgt.
Zoom-Video legt Fokus auf Sicherheit
Das Unternehmen hat derweil auf die scharfe Kritik reagiert und Ressourcen zur Entwicklung von Sicherheitsmassnahmen umgeleitet. Dafür werden in den kommenden Monaten keine neuen Features für das Tool entwickelt. Die entsprechenden Abteilungen arbeiten stattdessen mit Hochdruck daran, die genannten Sicherheitslücken zu schliessen und dem Schutz der Privatsphäre mehr Aufmerksamkeit zu widmen.