Zoom ist in aller Munde, unter anderem auch wegen gravierenden Problemen mit dem Datenschutz. Trotzdem stiegen die Nutzerzahlen von täglich 20 Millionen auf 200 Millionen. Damit ging auch der Aktienkurs des Unternehmens durch die Decke. Kein Wunder: Zoom ist einfach zu nutzen, funktioniert exzellent auch mit größeren Gruppen und ist obendrein in einer kostenlosen Variante erhältlich. Aber was hat es jetzt mit den Datenschutzproblemen auf sich und für wen ist Zoom geeignet? Im Folgenden zeigen wir dir die bekannten Probleme mit der Zoom App auf und helfen dir am Ende des Artikels bei der Entscheidung, ob Zoom für dich oder dein Unternehmen geeignet ist.
Zoom und der Datenschutz – it's complicated
Zoom ist mit seinem Aufstieg auch mehr und mehr in Kritik gekommen. Zahlreiche Datenschützer und Sicherheitsexpertinnen und -experten sehen sich nun natürlich gerade dieses Tool ganz genau an. So bleibt kaum eine Schwachstelle unbemerkt und verschiedene Nachrichtenportale nehmen diese Punkte gerne als Anlass und raten von dem Tool ab.
Was wir zu bedenken geben: durch den rasanten Aufstieg wurde Zoom einer stärkeren Aufmerksamkeit und Kontrolle unterzogen als andere Tools. Daher kann es gut sein, dass Sicherheitslücken von anderen Tools einfach noch nicht aufgefallen sind. Es macht daher Sinn, sich genauer mit den Schwachstellen des Programms auseinanderzusetzen und letztlich zu entscheiden, ob es für eine Benutzung für dich oder dein Unternehmen in Frage kommt.
Schauen wir uns also einmal die Probleme der Zoom App an:
Zoombombing
Dieses Phänomen ist wohl der einfachen Nutzbarkeit von Zoom geschuldet. Mit der ID eines Meetings oder dem Link dazu kann man sich einfach in das Meeting einwählen. Personen nutzten das, um etwa rassistische Inhalte zu verbreiten. Dies ist eigentlich nicht unbedingt ein Sicherheitsfehler von Zoom und auch im Hinblick auf Datenschutz weniger bedenklich, aber wurde doch so problematisch, dass sogar das FBI eine Warnung dafür veröffentlichte. Zoom reagierte darauf, in dem es auf Passwörter und Warteräume hinwies und diese Einstellungen mittlerweile standardmäßig implementiert sind. Aufpassen sollte man hierbei, ob die URL oder der Link zu dem Meeting bereits das Passwort enthält. Dies ist bei Zoom möglich und vereinfacht das Einsteigen in ein Meeting, allerdings auch für unerwünschte Personen.
Mittlerweile können die Sicherheitseinstellungen in einem Meeting einfacher geöffnet werden. So kann man Personen aus dem Meeting werfen, den Zugang für neue Personen sperren oder eine Bildschirmteilung nur durch den Meeting-Admin zulassen.
Datenschutz in Zoom Warteräumen
Zoom bietet bei Meetings die Möglichkeit für einen Warteraum. Eine Sicherheitslücke, die Personen im Warteraum Zugriff auf den Videostream erlaubte, bevor sie überhaupt in das Meeting aufgenommen wurden, wurde mittlerweile geschlossen. Die Sicherheitslücke wurde von Citizenlab entdeckt und Zoom hat prompt reagiert und das Problem gelöst.
Company Directory – das Problem mit der E-Mail Adresse
Mit diesem Feature möchte Zoom es Firmen besonders einfach machen, ihre Mitarbeiterinnen und Mitarbeiter mitereinander zu verknüpfen. Anhand der E-Mail Adresse werden Personen mit gleicher E-Mail Endung verknüpft. Ausgenommen waren natürlich öffentliche Adressen mit Endungen wie gmail.com oder gmx.at. Gescheitert ist das Tool allerdings, als Accounts von eher weniger bekannten Email-Anbietern vermehrt Zoom benutzen, wie zum Beispiel dänische Anbieter wie xs4all.nl, dds.nl oder quicknet.nl. Zoom erkannte nicht automatisch, dass dies nicht eine Firmenendung war und verknüpfte sämtliche Accounts von diesen Anbietern. Dabei bekamen die Nutzerinnen und Nutzer Zugriff auf persönliche Daten wie den Namen, Profilbild und E-Mail Adresse von fremden Personen.
Zoom hat mittlerweile die E-Mail Endungen in ihre „Blacklist“ aufgenommen, um ein Verknüpfen von fremden Personen zu verhindern. Zudem wurde eine Seite eingerichtet, bei der man um Aufnahme in die Blacklist ansuchen kann, theoretisch könnte aber das Problem noch weiter auftreten. Dieser Vorfall ist in Bezug auf Datenschutz auf jeden Fall brisant und zeigt deutlich, wie das Unternehmen von dem rasanten Anstieg völlig überrumpelt wurde.
Zoom schickt Daten an Facebook – aber welche?
Zoom hatte auf iOS Geräten ein Feature eingebaut, dass einen einfachen Login via Facebook ermöglichte. Dieses Feature sorgte dafür, dass bei jedem Start der Zoom App Daten wie Typ des Endgerätes oder die Bildschirmbreite an Facebook gesendet wurden. Dies gilt übrigens für alle Apps, die ein Login via Facebook anbieten.
Die Verwendung des Facebook Logins war hierbei aber nicht das Problem. Die Datenschutzerklärung von Zoom war unvollständig und hat nicht darauf hingewiesen, welche Daten an Facebook übermittelt werden. Ein Faux Pas, der ihnen mit uns nicht passiert wäre. Ein viel weitreichenderes Problem ist allerdings, dass den meisten Personen selten bewusst ist, dass sie durch die einfachen Logins via ihrer Facebook oder Google Accounts viele ihrer Daten freiwillig hergeben.
Gegen Zoom wurde jedenfalls eine Klage eingereicht, weil das Senden der Daten an Facebook ohne Notiz in der Datenschutzbestimmung rechtswidrig ist. Das Facebook Login Feature wurde mittlerweile entfernt.
Aufmerksamkeitstracking durch Zoom
Ein Feature von Zoom bestand darin, dass Meetingleiter einsehen konnten, ob die Teilnehmenden auch wirklich dem Meeting folgten. Wenn eine Person länger als 30 Sekunden Zoom nicht fokussierte, sondern etwas Anderes erledigte, bekam der Leiter neben der jeweiligen Person ein entsprechendes Symbol. Das Feature, das wohl hauptsächlich für Schulungen gedacht war, kam stark in die Kritik und wurde schließlich von Zoom entfernt. Im Bezug auf Datenschutz und Sicherheit ist diese Problematik aber nicht relevant. Sie zeigt aber erneut, wie sich die Nutzerstruktur von Zoom enorm verändert hat. Ein zuvor gewünschtes Feature hat sich durch die veränderte Nutzerstruktur zu einem stark unerwünschten Feature gewandelt.
Verschlüsselung
Die Behauptung, dass Zoom Meetings Ende-zu-Ende verschlüsselt sind, ist leider nicht korrekt. In Wirklichkeit ist nämlich nur der Chat Ende-zu-Ende verschlüsselt, die Videos aber nicht. Das wurde aufgrund einer Nachfrage von "The Intercept" offengelegt. Die Videocalls könnten daher theoretisch von Zoom abgefangen und analysiert werden. Zoom hat dazu Stellung genommen und davon gesprochen, eine andere Definition von Ende-zu-Ende-Verschlüsselung benutzt zu haben und sich dafür entschuldigt. Weiters versicherten sie, dass sie keine Meetings aufzeichneten, sofern sie nicht ausdrücklich vom Meeting Leiter darum gebeten werden.
Ebenso wurde von Zoom angegeben, dass sie eine AES-256 Verschlüsselung verwenden, obwohl Forscher von "Citizenlab" herausgefunden haben, dass Zoom nur eine AES-128 Verschlüsselung verwendet, die leichter zu knacken ist. Zoom bezog bisher noch keine Stellung dazu.
Zoom und geklaute Windowspasswörter
Mit Zoom sollen Windowspasswörter geklaut werden können. Das funktioniert, indem man einen UNC Link per Zoom verschickt, also ein Link auf einen Ordner. Solche Links können folgendermaßen aussehen: \\Computername\Freigegebener Ordner\Dateiname. Zoom stellte diesen als klickbaren Link dar und wenn eine Person darauf klickte, versuchte Windows Explorer diesen zu öffnen. Dabei schickte er den User-Namen und eine leicht verschlüsselte Version des Passwortes, den NTLM credential Hash, mit. Das ist aber eigentlich ein Problem des Windows Explorer. Diese Methode wird auch häufig in Phishing-Mails und anderen Betrugsarten ausgenutzt. Zoom hat das Feature mittlerweile entfernt, sodass UNC Links nicht mehr nutzbar sind.
Zoom Videos öffentlich zugänglich
Wie the Washington Post berichtet, wurden mehrere Tausend aufgenommene Zoom Videos öffentlich zugänglich im Internet gefunden. Darunter befanden sich Videos mit privaten Daten von Schülern oder sogar Aufzeichnungen einer Therapie. Schuld daran ist Zoom selbst allerdings nicht. Die Videos wurden aufgezeichnet und von Privatpersonen hochgeladen, meist auf Storage Clouds, die nicht durch ein Passwort geschützt waren. Alle Aufnahmen konnten einfach mit einer Suchmaschine gefunden werden. Dies kommt daher, dass Zoom seine Userinnen und User nicht dazu zwingt eigene Namen für die Aufnahmen zu wählen und alle Aufnahmen daher sehr ähnlich betitelt sind. So lassen sie sich einfach im Internet finden. Wir raten daher wie immer zur Vorsicht, wo eigene Daten im Netz abgespeichert werden. Mehr dazu findest du in unserem 10 Punkte Plan für mehr Sicherheit im Internet.
Zooms seltsame Installation
Um Programme auf einem Mac zu installieren, durchläuft man meist mehrere Schritte. Man wird immer wieder aufgefordert, die Installation zu bestätigen oder kann diese anpassen. Installierte man Zoom, wurden viele dieser Schritte einfach ausgelassen. Zoom nutzte dafür preinstallation scripts aus und umging die normale Sicherheitspraxis von Apple. Dafür nutzte es auch Admin Rechte aus und falls man nicht Admin ist, fragte es nach dem Root Zugang. Dafür gab es sich sogar als System aus. Wie Felix Seele, der auf diese Technik zuerst hinwies, schrieb, ist das zwar nicht schädlich, aber doch sehr dubios. Zoom reagierte sofort darauf und verzichtet nun auf diese Praxis, die vorrangig darauf abzielte, die Verwendung zu vereinfachen.
Ein erstes Fazit
In den meisten Fällen verhielt sich Zoom also immerhin nachträglich recht gut und reagierte prompt auf die entdeckten Sicherheitslücken. Das Unternehmen kündigte auch an, in den nächsten 90 Tagen alle anderen Features ruhen zu lassen und sich voll und ganz auf Sicherheit zu konzentrieren. Dazu arbeiten sie auch unter anderem mit dem ehemaligen Sicherheitschef von Facebook zusammen.
Ein paar Fälle, in denen Zoom sich aber nicht so gut verhalten hat, wollen wir euch nicht vorenthalten.
Webbeacon
Es wurde festgestellt, dass auch wenn man Zoom auf einem Mac deinstalliert hat, ein sogenannter Webbeacon auf dem Mac bleibt. Eigentlich wäre dieser dafür gedacht, eine mögliche Reinstallation von Zoom zu vereinfachen. Dieser könnte theoretisch dafür verwendet werden, um Zugriff auf die Kamera zu bekommen. Dafür würde man aber bereits Zugriff auf den PC benötigen. Apple war davon aber nicht gerade begeistert und wieß Zoom darauf hin, diesen zu entfernen. Für die Reinstallation wollte Zoom diesen aber beibehalten. Als dann Apple ein silent Update verwendete, um den Webbeacon zu entfernen, zog Zoom mit und verzichtet seither auf diesen. Dies ist eine eher seltsame Praxis von Zoom, die darauf abzielte die Verwendung des Programms zu vereinfachen.
One-Click-Meetings
Jonathan Leitschuh deckte folgendes auf: Mittels eines einfachen Links, kann jede Webseite einen Zoom Nutzer dazu bringen, einem Meeting beizutreten, auch mit aktivierter Kamera. Dies funktionierte auch, wenn man Zoom nicht mehr installiert hat. Leitschuh schickte dies an Zoom. Normalerweise kommt es bei solchen aufgedeckten Bugs zu Verträgen zwischen dem Aufdecker und der Firma, die diesem für seine Leistung meist etwas Geld anbietet und dieser einen non-disclosure-Vertrag (NDV) unterzeichnet. Damit darf er seine Erkenntnisse nicht veröffentlichen, zumindest auf bestimmte Zeit, da diese Verträge meist zeitlich begrenzt sind. Damit bekommt die Firma Zeit den Fehler zu beheben und der Aufdecker irgendwann den „Ruhm“ für seine Arbeit.
Zoom wollte Leitschuh aber einen zeitlich unbegrenzten NDV unterzeichnen lassen, welchen dieser ablehnte. Er gibt an, den Eindruck zu haben, dass Zoom den Fehler nicht für wichtig empfand, und ihn daher eher nicht beheben würde. Zoom selbst gab auch an, dass One-Click-Meetings ein Key-Feature von Zoom sind, dass es von anderen Tools abgrenzt.
Später gab Zoom an, zu bedauern, wie schlecht sie mit der Situation umgegangen sind, und dass sie versuchen in Zukunft solche Situationen besser zu lösen.
Offenlegung von Daten
Zoom gibt im Gegensatz zu anderen Unternehmen wie Microsoft, Google oder Facebook keine Einsicht in etwaige Ansuchen von Regierungen zur Ausgabe von Daten, wurde aber von der Aktivistengruppe Acces Now etwa in einem offenen Brief dazu aufgefordert.
Sollte man nun Zoom verwenden oder eher nicht?
Oder besser gesagt, wer sollte Zoom verwenden und wer nicht? Steven M. Bellovin schreibt, dass ein Ausspionieren auf Zoom durchaus möglich ist. Er meint aber, dafür ist sehr viel technisches Know-How und Fokus erforderlich. Wenn man nicht von Interesse für einen Geheimdienst oder Hackerkollektive ist, braucht man sich hierüber keine Sorgen machen. Die Journalistin Kim Zetter meint ebenfalls in einem Tweet, dass Zoom wohl schon bald eines der sichersten Tools am Markt wäre.
Wenn du trotzdem nicht genau weißt, ob Zoom oder ein anderes Tool für dich und dein Unternehmen am besten geeignet ist, dann wende dich ganz einfach an unsere Expertinnen und Experten an office@datenwerk.at!