Zoom: Hintergründe zum Thema Datenschutz und -sicherheit

Durch die hohe Popularität, die Zoom durch die Corona-Krise bekommen hat, steht der Dienst derzeit sehr stark im Fokus der Öffentlichkeit, auch im Hinblick auf den Datenschutz. Durch den Vertrag zur Datenverarbeitung zwischen der WWU und Zoom sowie die von der WWU IT global konfigurierten datenschutzfreundlichen Einstellungen (Privacy by default) bestehen viele der diskutierten Probleme an der WWU nicht. Wir möchten aber dennoch die aktuelle Diskussionslage zu Zoom, die wir genau verfolgen, an dieser Stelle widergeben. Sie zeigt auch, dass Zoom relativ schnell auf Kritik und Hinweise reagiert und potentielle Schwachstellen nachbessert. In der aktuellen Version 5 sind zahlreiche Sicherheitsverbesserungen eingeflossen. Aktuelle Stellungnahmen von Zoom finden Sie auch unter https://blog.zoom.us/

Zoom verfügt über folgende Zertifizierungen:

  • SOC2
  • TRUSTe
  • FedRAMP
  • GDPR (mit Privacy Shield)

Das Citizen Lab der Universität Toronto hat in einem aktuellen Artikel verschiedene Punkte einschließlich der vieldiskutierten Verschlüsselungsthematik (s.u.) aufgearbeitet und kommt zu dem Schluss, dass Zoom zwar aufgrund dieser Problematiken nicht für besonders sensible Kommunikation (z.B. Firmengeheimnisse, Patienteninformationen, Investigativjournalismus) geeignet ist, wohl aber für üblicherweise öffentliche oder halb-öffentliche Veranstaltungen wie Vorlesungen, Seminare, Social Events oder sonstige nicht-kritische Kommunikation.

Störungen von Meetings ("Zoombombing")

Verschiedentlich gab es Presseberichte über unerwünschte Meeting-Teilnehmer*innen, die versuchten, Videokonferenzen durch die Verbreitung von unerwünschten Inhalten zu stören. Auch wenn hierbei öfters von "Hacking" zu lesen war, wurde hier lediglich die Raum-ID  geraten und außerdem ausgenutzt, dass die Meeting-Organisator*innen versäumt hatten, ein Passwort zu setzen.

WWUzoom ist standartmäßig so konfiguriert, dass für jeden Meetingraum ein zufälliges Passwort erstellt wird. Zusätzlich kann der*die Moderator*in durch die Aktivierung des Warterraums in den Meeting-Einstellungen festlegen, dass alle Teilnehmer*innen manuell zum Meeting zugelassen werden müssen. Sind alle Teilnehmer*innen anwesend, kann das Meeting für weiteren Zutritt gesperrt werden. Ansonsten können unerwünschte Teilnehmer*innen auch nachträglich aus dem Meetingraum entfernt und am Widereintritt gehindert werden.

Um zu verhindern, dass über den integrierten Chat Dateien mit Schadcode verschickt werden können, wurde der Dateiversand hier generell deaktiviert.

Datenschutzbedingungen

Da die Datenschutzbedingungen von Zoom an einigen Stellen als mißverständlich und zu vage kritisiert wurden, insbesondere hinsichtlich von Datenweitergabe an Dritte und zum Data Mining, wurden diese am 29.03.2020 aktualisiert, um einige Aussagen zu präzisieren und zwischen Dienst und Zoom-Webseite zu unterscheiden. Für den Dienst an sich gilt daher: es wird kein Data Mining genutzt und es werden keine Daten an Dritte verkauft. Für die offizielle Zoom-Webseite können andere Bedingungen gelten. Für WWUzoom gelten durch einen Vertrag zur Auftragsdatenverarbeitung mit Zoom eigene Datenschutzbedingungen.

Aufzeichnungsfunktion

Wir haben Zoom für die WWU so konfiguriert, dass die Aufzeichnungsfunktion standardmäßig beim Anlegen eines Meetings deaktiviert ist, da die Einwilligung von Studierenden im Kontext Lehre nicht als freiwillig gelten würde und ferner generell bei einem ausgeübten Recht auf Rücknahme der Einwillligung alle Bild- und Tonaufnahmen der entsprechenden Person händisch aus dem Video gelöscht werden müssten. Falls es der Moderator die Aufzeichnungsfunktion beim Anlegen eines Meetings dennoch aktiviert, ist WWUzoom so konfiguriert, dass nur er eine Aufzeichnung starten kann und dazu auch die explizite Einwilligung aller Teilnehmer*innen eingeholt wird. Die Aufzeichnung wird in der Zoom-Cloud für 7 Tage gespeichert und kann nur von dem*der Moderator*in abgerufen werden. WWUzoom ist so konfiguriert, dass die Ablage von Aufzeichnungen bei anderen Anbietern, wie Youtube oder Facebook nicht möglich ist.

Verschlüsselung

Unklarheiten über die tatsächliche Stärke und Art der von Zoom angegebenen Verschlüsselung der Kommunikation führte zu Irritationen und Kritik. Allerdings sind auch nahezu alle anderen Videokonferenzlösungen einschließlich des Dienstes des DFN aus technischen Gründen bisher nicht Ende-zu-Ende verschlüsselt. Zoom bietet seit der Version 5.0 eine sehr starke AES-256-Bit-Verschlüsselung im GCM-Modus und hat sogar die Einführung einer echten Ende-zu-Ende-Verschlüsselung angekündigt.

Bekannte Sicherheitsprobleme

In der jüngsten Diskussion um Zoom wurden folgende potentielle oder tatsächliche Sicherheitsschwachstellen diskutiert, die nach unserem Kenntnisstand aber alle durch den Hersteller behoben wurden:

Fehlerhaftes Geofencing
Senden von Daten an Facebook bei iOS-App
Sicherheitslücken im Mac-Zoom-Client
Aufmerksamkeits-Tracking
Chat-Nachrichten mit möglicherweise böswilligen Funktionslinks (UNC-Hyperlinks)

Weitere potentielle Probleme wurden durch die WWU IT abgeschaltet bzw. treffen auf WWUzoom nicht zu:

  • Maschinelles Zählen von Teilnehmer*innen bei Zoom-Rooms: Das Features ist abgeschaltet. Es gibt bislang auch nur einen Zoom-Raum zu Testzwecken.
  • Zugriff auf andere Kontaktdaten innerhalb der WWU durch Zoom: Zoom ermöglicht theoretisch den organisationsweiten Zugriff auf ein Verzeichnis aller Nutzer*innen. Diese Funktion ist bei WWUzoom deaktiviert.
  • Zoom-Passwörter werden im Darknet gehandelt: Dass große Datensätze mit gestohlenen Passwörtern im Darknet angeboten werden, ist ein Problem nahezu aller großen Internetfirmen. Es handelt sich dabei aber zumeist um Daten, die nicht bei den Firmen selbst, sondern bei den Endnutzern mit Hilfe von Malware gestohlen wurde (auch, weil das gleiche Passwort für verschiedene Dienste benutzt wurde) und später dann von Kriminellen als Bündel angeboten wird. Nutzer*innen der WWU sind hiervon ohnehin nicht betroffen, da sie dank der Anbindung an das SSO (Single-Sign-On) der WWU kein spezielles Zoom-Passwort brauchen und ihr WWU-Passwort auch nicht an Zoom weitergegeben wird.