Zu Beginn der Corona-Krise noch als grosser Gewinner der Situation gefeiert, gerät der US-amerikanische Anbieter einer Videokonferenz-Plattform immer mehr wegen Datenschutzbedenken unter Druck. Zoom-Video reagiert nun mit neuen strikten Sicherheitsmassnahmen, um Angreifer effektiv abzuwehren.
Während der Corona-Krise sind ganze Bürokomplexe von einem Tag auf den nächsten ins Homeoffice umgezogen. Ein effizientes Tool für Videokonferenzen war dringend nötig, um den Betrieb am Laufen zu halten. Kaum eine Software konnte dieses Bedürfnis so gut bedienen wie das US-amerikanische Zoom. Das Unternehmen war schon vorher bekannt für sein Konferenz-Tool – doch solange persönliche Treffen möglich waren, zogen die meisten Meetings im Raum der digitalen Konferenz vor. Teams tagten in Meeting-Räumen, Manager sassen beim Mittagessen zusammen. Mit dem Lockdown fielen diese Wege weg. Zoom füllte die Lücke – und bekam dabei schnell ein Problem: Sicherheit und Datenschutz stimmten nicht. Jetzt reagiert das Unternehmen.
Neue Features sollen Angreifer abwehren und Zoombombing unterbinden
Meeting-IDs waren leicht zu erraten, und Meetings selbst waren kaum gegen ungebetene Gäste gesichert. Das nutzten manche aus: Sie platzten in laufende Konferenzen, verbreiteten unangemessene Inhalte oder hörten unbemerkt zu. Wie der Branchendienst TechCrunch zuerst berichtete, wurden Zoom-Nutzer per E-Mail informiert: Seit dem 5. April 2020 ist für Meetings mit Meeting-ID ein Passwort Pflicht. Wer legitim eingeladen ist, findet das Passwort in der Einladung – oder bekommt es direkt im Client angezeigt. Wer die ID nur erraten hat, kommt nicht mehr rein. Zusätzlich aktiviert Zoom Warteräume für alle Nutzer. Das bedeutet: Der Moderator muss jeden Teilnehmer manuell ins Meeting lassen. Selbst beitreten geht nicht mehr.
Kommunikation ist kaum verschlüsselt – Daten fliessen auch durch China
Die Ende-zu-Ende-Verschlüsselung, die Zoom versprach, gilt nur für den Text-Chat – nicht für Audio und Video. Das ist eine ausgesprochen schmale Interpretation des Begriffs für ein Tool, das hauptsächlich Videokonferenzen anbietet. Audio- und Videodaten sind lediglich auf dem Weg zum Zoom-Server verschlüsselt, nicht durchgehend. Dazu kommen Zweifel am verwendeten Verschlüsselungsstandard.
Brisant ist ausserdem: Nach Ausbruch der Corona-Krise musste Zoom seine Serverkapazitäten in kürzester Zeit massiv ausbauen. Dabei wurden Parameter nicht korrekt gesetzt, die normalerweise sicherstellen, dass Konferenzdaten über Server in der Region der Teilnehmenden geleitet werden. Das Ergebnis: Bestimmte Gespräche liefen zeitweise über Server in China – obwohl die Beteiligten nicht dort sassen. Zoom betont, dass mehrstufige Sicherheitsmassnahmen auch in diesem Fall einen Datenzugriff verhindert hätten. Die Panne betrifft nur Konferenzen vor dem 3. April 2020. Das Routing ist inzwischen korrigiert.
Weitere Schwachstelle in Zoom: Video-Aufzeichnungen
Wer Konferenzen aufzeichnet, kann die Datei auf Zoom-Servern verschlüsselt ablegen. Trotzdem tauchten zuletzt immer wieder Videosequenzen aus Meetings im Netz auf. Der Grund: Viele Nutzer speicherten die Dateien auf anderen Cloud-Diensten – in der Annahme, sie seien dort nur für Berechtigte abrufbar. Die Washington Post fand zahlreiche Fälle, in denen solche Videos über spezielle Suchmaschinen auffindbar waren. Begünstigt wurde das durch Zoom selbst: Die Dateien folgen einem einheitlichen Benennungsschema, was gezielte Zufallssuchen vereinfacht. Die gefundenen Videos enthielten teils hochsensible Inhalte – Arztgespräche, persönliche Kontaktdaten. Die eigentliche Lücke lag aber nicht bei Zoom: Nutzer hatten die Dateien leichtsinnig auf öffentlich zugänglichen Plattformen abgelegt.
Datenschutz und Features in der Kritik
Auch die Datenschutzerklärung von Zoom stand in der Kritik. Die Formulierungen sind teils schwammig, der tatsächliche Umgang mit persönlichen Daten bleibt oft unklar. Besonders negativ aufgenommen wurde, dass die iPhone-App Gerätedaten an Facebook weiterleitete – ohne das in der Datenschutzerklärung zu erwähnen. Ausserdem sorgte ein Aufmerksamkeits-Feature für Unmut: Wer die Zoom-App während eines Meetings länger als 30 Sekunden in den Hintergrund verschiebt, wird den anderen Teilnehmenden als unaufmerksam angezeigt.
Zoom-Video legt Fokus auf Sicherheit
Zoom hat auf die Kritik reagiert und Entwicklungsressourcen auf Sicherheitsthemen umgeleitet. Neue Features werden vorerst nicht gebaut. Die entsprechenden Teams arbeiten stattdessen daran, die beschriebenen Lücken zu schliessen und den Datenschutz zu verbessern.