BR24 Logo
BR24 Logo
Startseite

NEU

Videodienst Zoom zieht die Notbremse | BR24

© BR

Die populäre Videokonferenz-App Zoom will nachbessern.

1
Per Mail sharen
  • Artikel mit Audio-Inhalten

Videodienst Zoom zieht die Notbremse

Bedienbarkeit und Funktionen alleine reichen nicht. Zoom hat ein Gerichtsverfahren am Hals, ist mit Vorwürfen zu mangelndem Datenschutz konfrontiert und hat mit enormen Sicherheitslücken zu kämpfen. Der Dienst will nachbessern, aber klappt das?

1
Per Mail sharen

Zoom kann jeder bedienen. Die Features sind praktisch und kosten tut die Videokonferenz-App in der einfachsten Variante auch nichts. Handfeste Gründe für den Erfolg der App.

Im Dezember 2019 lag die Zahl der täglichen Videokonferenz-Teilnehmer nach Angaben von Zoom bei etwa 10 Millionen - im März dieses Jahres ist die Zahl auf über 200 Millionen angewachsen. Nun sind es nicht mehr nur Geschäftskunden, die den Dienst nutzen, sondern auch Schüler, Studenten, Familien und Freunde oder kleine Arbeits- und Freizeitgruppen.

Eigentlich eine Erfolgsgeschichte, aber jetzt hat es gekracht: Der CEO des Unternehmens, Eric Yuan, musste die Notbremse für Zoom ziehen und hat in einem Blogeintrag Besserung versprochen und eine Art Transparenz-Offensive gestartet. Zu groß ist der Druck, zu viel läuft schief. Was ist da los?

Massive Sicherheitslücken und Datenverkauf

Zuletzt hatte ein ehemaliger NSA-Mitarbeiter zwei massive Sicherheitslücken, sogenannte Zero Day Exploits aufgedeckt, über die ein Angreifer nicht nur Konferenzen belauschen, sondern sich auch Root- bzw. Administratoren-Rechte beschaffen kann. Damit kann enormer Schaden verursacht werden: Passwörter auslesen, Nutzer abhören oder aufzeichnen.

Neben den Sicherheitslücken wurden bei Zoom auch Probleme im Umgang mit Nutzerdaten bekannt. Wie das Magazin Motherboard recherchierte, hat Zoom ohne das Wissen der Nutzer Daten an Facebook weitergegeben - selbst wenn diese gar keinen Facebook-Account besitzen. Derzeit ermittelt die New Yorker Staatsanwaltschaft deswegen.

"Zoom-Bombing"

Auch weitere Vorwürfe wurden zuletzt laut, unter anderem, dass Zoom seine Nutzer zu wenig vor Angreifern schütze, etwa vor sogenanntem "Zoom-Bombing". Dabei verschaffen sich Personen Zugang zu einer Videokonferenz und stören diese. Von einer Schule aus Los Angeles wurde berichtet, dass es während einer Unterricht-Konferenz zu einem virtuellen Übergriff kam, bei dem Angreifer auf dem Bildschirm dann Nazi-Symbole oder pornografische Inhalte zeigten.

Entwicklungs-Stopp und externe Kontrolle

Jetzt soll laut Zoom-Chef Yuan aber alles besser und transparenter werden: Die größten Sicherheitslücken seien gestopft, die Datenschutzrichtlinien angepasst, das Feature, das Daten weitergab, wurde aus dem Programmcode entfernt und in den kommenden 90 Tagen soll noch viel mehr passieren.

Erst mal sollen keine weiteren Features entwickelt, sondern alle Ressourcen auf das Ausbessern der bestehenden Fehler verwendet werden. Zudem sollen externe Experten eingebunden werden und sogar sogenannte "White-Box-Penetrationstests" durchführen dürfen, also Vollzugriff auf Zooms IT-Infrastruktur bekommen, um Sicherheitslücken aufzudecken.

Transparenz nicht die Stärke von Zoom

Zooms Transparenz-Offensive weckt dennoch Zweifel. Das Unternehmen hat sich in der Vergangenheit nicht gerade mit Ruhm bekleckert, was Ehrlichkeit angeht. Ein Beispiel ist Zooms Behauptung, dass die Videokonferenzen Ende-zu-Ende-verschlüsselt sein, dass also außer den Teilnehmern niemand Zugriff auf den Inhalt der Gespräche bekommen kann. Ein gutes Verkaufsargument, denn diese Verschlüsselung ist technisch nur schwer herzustellen.

Es stellte sich aber heraus, dass das gar nicht der Fall ist: Zoom nutzt nur eine Transportverschlüsselung und kann daher auf die Daten, die beim Unternehmen auf den Servern landen, zugreifen. Eine Behörde wie das FBI könnte die Herausgabe dieser Daten erzwingen und sie dann leicht auslesen. Mittlerweile ist Zoom zurückgerudert:

"Wir hatten nie die Absicht, unsere Kunden zu täuschen, wir erkennen jedoch an, dass es eine Diskrepanz zwischen der allgemein akzeptierten Definition von Ende-​zu-Ende-Verschlüsselung gibt und wie wir sie verwenden." Blogeintrag von Zoom

Wird all das Zoom schaden?

Schwer zu sagen, ob Zoom nun der Befreiungsschlag gelingt oder die zahlreichen Fehler dem Unternehmen schaden werden. IT-Experten gehen davon aus, dass der Programmcode von Zoom noch eine größere Baustelle ist, und die Vertrauenswürdigkeit des Unternehmens ist angekratzt. Andererseits ist der Dienst mittlerweile ein Platzhirsch auf dem Markt und wird gerade wegen der aktuellen Corona-Situation sehr intensiv genutzt - man kommt kaum um ihn herum.

Fredrick Richter von der Stiftung Datenschutz begrüßt die Ankündigung zu den Nachbesserungen, auch wenn noch lange nicht alles geklärt ist:

"Um Nutzervertrauen zu gewinnen, bedarf es aber voller Transparenz und klarer Information. Wenn zwar manche kritische Punkte behoben werden, es aber bereits Meldungen zu weiteren problematischen Features gibt, kann die Nutzung nicht empfohlen werden." Fredrick Richter, Stiftung Datenschutz

Zwar gibt es zu Zoom viele Alternativen, auch quellcode-offene (Open-Source) Videokonferenz-Tools, aber solange Zoom weiterhin - obschon seiner Mängel - so häufig genutzt wird, wird es seine Marktmacht kaum einbüßen. Nutzer sollten dennoch aufmerksam bleiben, ob Zoom seine Versprechen wirklich einlöst. Je höher der Druck auf eine Plattform ist, desto wahrscheinlicher ist auch, dass diese wirklich an ihrer Sicherheit arbeitet. Eine der Open-Source-Alternativen ist das Programm "MEET" einer Münchner Freifunk-Initiative.

UPDATE 6. April: Ende vergangener Woche hatte das Citizen Lab der Universität Toronto in Kanada eine Untersuchung zur unzureichenden Verschlüsselung von Zoom veröffentlicht. Aus dieser geht außerdem hervor, dass in einigen Fällen Datenpakete von Nutzern aus Nordamerika über Server in China liefen. Mittlerweile hat sich Zoom dafür entschuldigt.

Gegen "Zoom-Bombing" hat das Unternehmen mittlerweile etwas unternommen: Als Standard-Einstellung werden nun Passwörter für Meetings verlangt und sogenannte "Waiting Rooms" eingerichtet. Der Ersteller eines Meetings muss dadurch Teilnehmern erlauben, der Videokonferenz teilzunehmen.

In der Zwischenzeit hat die Stadt New York die Verwendung von Zoom in Schulen verboten und forciert den Wechsel der Schulen zu einem anderen Anbieter.

"Darüber spricht Bayern": Der neue BR24-Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!