Ist "Zoom" sicher?

Darum verwenden wir Zoom

Für unsere Online-Seminare/Webinare verwenden wir Zoom, und dafür haben wir gute Gründe. In den Medien, in Tweets und Blogs gibt es immer mal wieder einige Kritik an Zoom. Es wurde kritisiert, dass Zoom zum einen den Datenschutz nicht sorgfältig handhabe und zum anderen Sicherheitslücken aufweise. Selbstverständlich sind wir diesen Vorwürfen nachgegangen. Wir sind zu dem Ergebnis gekommen, dass es (wie übrigens bei jedem Konferenz-Tool) auch Schwächen gibt. Diese Schwächen sind aber nicht so erheblich, dass sie die Nutzung von Zoom verbieten. Generell kann man Zoom allerdings den Vorwurf machen, dass die Kommunikation hinsichtlich der geschilderten Probleme nicht so offen und schnell war, wie sie hätte sein sollen. Das bedeutet aber nicht, dass Zoom eine "Datenschleuder" ist, wie vielfach geschrieben wird, oder dass dieses System an sich ein Sicherheitsrisiko sei.

online-sitzung

Zoom in der Kritik

Als Beleg dafür, dass Zoom problematisch sein soll, wird u.a. das Verbot von Zoom bei SpaceX, bei der NASA oder beim FBI herangezogen. Es wird aber nicht genau hingeschaut, warum diese Verbote verhängt wurden. Tatsächlich war der Grund zumindest bei SpaceX die Sorge vor sog. "Zoom-Bombing". Das kann man aber mit zwei einfachen Mausklicks oder mit bestimmten Grundeinstellungen in Zoom ganz und gar verhindern.
Und auch Google wünscht die Nutzung von Zoom durch seine Mitarbeiter nicht mehr. Ein Schelm, wer Böses dabei denkt, wo doch Google mit Google Meet selbst einen (längst nicht so leistungsfähigen) Dienst anbietet.
In der Tat hat sich Zoom aber beim Datenschutz und bei einigen Sicherheitsfunktionen nicht gerade mit Ruhm bekleckert. Dass Zoom jetzt so in den Fokus und die Kritik geraten ist, liegt aber vor allem daran, dass das Produkt plötzlich so populär geworden ist. Jetzt schauen viele genauer hin. Und dabei ist so etwas wie eine öffentliche Meinung entstanden, die viele - teilweise auch ohne besondere Kenntnisse oder Erfahrungen zu diesem Thema - motiviert, sich auch mal äußern zu wollen. Ich glaube nicht, dass alle, die sich dazu jetzt äußern, sich wirklich einmal genauer mit Zoom beschäftigt haben.

Welche Probleme gab bzw. gibt es bei Zoom?

Die wesentlichen Vorwürfe, die gegen Zoom erhoben wurden, lauten:

  • Es werden Daten an Facebook und andere werbetreibende Dritte weitergegeben.
  • Zoom erlaubt, dass Video-Meetings aufgezeichnet werden.
  • Zoom zeichnet selbst Video-Meetings auf.
  • Es gibt eine Funktion namens "Aufmerksamkeits-Tracker". Sie erlaubt es dem Moderator, nachzuvollziehen, ob die anderen Teilnehmer das Zoom-Fenster oder ein anderes Fenster geöffnet haben.
  • Zoom verspricht eine End-To-End-Encryption ("E2EE"), hat sie aber in Wirklichkeit nicht implemetiert.
  • Das Produkt sei ein Sicherheitsrisiko auf iOS-Geräten (also Apple-Computern), weil die Zoom-App heimlich eine undokumentierte Funktion mit Admin-Rechten installiert.
  • Zoom sei ein Sicherheitsrisiko auf Windows-PCs, weil die Zoom-App einen sog. "UNC-Bug" enthält.
  • Beim sog. "Zoom-Bombing" können unbefugte Personen in Sitzungen eindringen und sie abhören, stören oder sogar die Kontrolle über die Sitzung und sogar die Webcams der Teilnehmenden übernehmen.

Im Folgenden werden wir uns mit den einzelnen Vorwürfen befassen und klären, ob sie wirklich ein Grund sind, auf "Zoom" zu verzichten.

Ist Zoom wirklich eine Datenschleuder?

Weitergabe personenbezogener Daten an Dritte?

In den Datenschutzrichtlinien von Zoom stand bis vor kurzem, dass Zoom sich das Recht vorbehält, personenbezogene Daten von Benutzern an Dritte, also auch an Werbetreibende (darunter Facebook) weiterzugeben. Inzwischen wurde diese Richtlinie geändert, und Zoom sichert zu:

Wir verkaufen Ihre personenbezogenen Daten nicht. Egal, ob Sie ein Unternehmen, eine Schule oder ein einzelner Benutzer sind, wir verkaufen Ihre Daten nicht.

Ihre Meetings gehören Ihnen. Wir überwachen sie nicht und speichern sie nach Abschluss Ihres Meetings auch nicht, es sei denn, wir werden vom Gastgeber des Meetings beauftragt, sie aufzuzeichnen und zu speichern. Wir benachrichtigen die Teilnehmer sowohl über Audio als auch über Video, wenn sie an Meetings teilnehmen, ob der Gastgeber ein Meeting aufzeichnet, und die Teilnehmer haben die Möglichkeit, das Meeting zu verlassen.

Zoom erhebt nur die Benutzerdaten, die für die Bereitstellung von Diensten von Zoom erforderlich sind. Diese umfassen technische und betriebliche Unterstützung und Verbesserungen des Service'. Beispielsweise erheben wir Daten wie die IP-Adresse, das Betriebssystem sowie Gerätedetails eines Benutzers, um Ihnen das bestmögliche Zoom-Erlebnis zu bieten, unabhängig davon, wie und von wo aus Sie es nutzen.

Wir verwenden die auf der Grundlage Ihrer Nutzung unserer Dienste, u. a. Ihrer Meetings, erhobenen Daten nicht für Werbezwecke. Wir verwenden Daten, die wir von Ihnen erhalten, wenn Sie unsere Marketing-Websites wie zoom.us und zoom.com besuchen. Sie haben die Kontrolle über Ihre eigenen Cookie-Einstellungen, wenn Sie unsere Marketing-Websites besuchen.

Aus den Datenschutzrichtlinien von Zoom.

Das ist immerhin mal ein Statement. Damit ist aber noch nicht gesagt, ob Zoom personenbezogene Daten nicht an andere weitergibt, ohne sie zu verkaufen. Dazu gleich mehr.

Unklare Datenschutzbestimmungen?

Es wurde auch der Vorwurf erhoben, dass die Datenschutzrichtlinien von Zoom unklar und schwammig seien. Das hat Zoom inzwischen korrigiert: https://zoom.us/de-de/privacy.html Inzwischen ist die Datenschutzerklärung, die gem. Art. 12 ff der DSGVO erforderlich ist, sehr korrekt.

Darüber hinaus verwendet Zoom inzwischen Serverfarmen an Standorten, die der Kunde bestimmen kann. Wir haben bestimmt, dass die europäische Serverfarm von Zoom, die unter die Bestimmungen der DSGVO fällt und gemäß dieser Bestimmungen betrieben wird, für unsere Veranstaltungen verwendet werden muss.

Weitergaben von Daten

Zoom gibt keine Daten über Meetings an Dritte weiter. Was Zoom tut, ist, die Besuche der Websites (was etwas anderes ist als die Teilnahme an einem Meeting oder Online-Seminar) zu protokollieren und dabei - auch personenbezogene - Daten zu verarbeiten. Für solche Zwecke werden auch Dienste von Drittanbietern verwendet. Es handelt sich hier um eine sog. "Auftragsverarbeitung". Also die Beauftragung verschiedener Dienstleister, für Zwecke des Marketing oder der Abrechnung Leistungen zu erbringen. Das ist aber nicht ungewöhnlich und hat mit den Meetings selbst überhaupt nichts zu tun.

Vor allem ist das aber keine "Weitergabe an Dritte", sondern eine Auftragsverarbeitung. Zoom gibt nicht Daten an andere weiter, damit die damit etwas für ihre eigenen Zwecke tun können. Sondern Zoom beauftragt Dienstleister damit, Dienstleistungen für Zoom zu erbringen, und dabei bestimmte - auch personenbezogene - Daten zu verarbeiten. Das ist vollkommen normal und absolut üblich. Das tun auch Sie und wir, Ihr Arbeitgeber, Ihre Bank und Ihre Versicherungen. Es muss nur auf korrekte Weise erfolgen. Und es gibt keinen Anhaltspunkt, dass es bei Zoom weniger korrekt geschieht als bei Ihnen oder uns oder Ihrer Bank oder Ihren Versicherungen.

Zoom erlaubt die Aufzeichnung von Meetings

Praktisch jedes professionelle System für Video- und Online-Meetings enthält eine Funktion, mit der die Aufzeichnung von Meetings ermöglicht wird (z. B. auch Teams, WebEx oder GoToMeeting). Diese Funktion ist nicht verwerflich, sie muss aber korrekt angewandt und ggf. als technische Einrichtung zur Arbeitnehmerüberwachung (§ 87 Abs. 1 Nr. 6 BetrVG) vom Betriebsrat mitbestimmt geregelt werden.

Es gibt durchaus Szenarios, bei denen eine Aufzeichnung von Meetings sinnvoll sein kann – immer vorausgesetzt, diese Aufzeichnung erfolgt auf legale und legitime Weise. Beispiele:

  • Es wird eine betriebsinterne Schulung durchgeführt. Damit die Personen, die an der Schulung nicht teilnehmen konnten, sie sich nachträglich anschauen können, wird die Schulung aufgezeichnet.
  • Es findet ein "Kick-Off-Meeting" eines wichtigen Projekts statt, in dem wichtige Eckpunkte für das Projekt besprochen und vereinbart werden. Diejenigen Projektteilnehmer, die an dem Meeting nicht teilnehmen können, sollen aber dennoch die Ergebnisse dieses Meetings erfahren. (Ob man das nicht auch anders handhaben kann, sollte eine Frage der Regelung mit dem Betriebsrat sein, aber darum geht es hier nicht.)

Für solche Fälle kann die Aufzeichnung von Meetings durchaus sinnvoll sein. Und anders als bei anderen Tools wird bei Zoom sogar ein ausdrücklicher Hinweis an alle Teilnehmer des Meetings gesandt, und es wird ihnen die Möglichkeit gegeben, das Meeting mit einem einfachen Klick sofort zu verlassen, wenn sie nicht einverstanden sind. So einfach geht es z. B. bei Teams nicht.

Ob es überhaupt möglich ist, Meetings aufzuzeichnen, kann der Admin bestimmen – er kann diese Möglichkeit kategorisch ausschalten. Auch das ist bei einigen anderen Systemen nicht in dieser kategorischen Weise möglich.

Wir haben übrigens genau diese Einstellung vorgenommen – bei uns ist es nicht möglich, Meetings bzw. Online-Seminare aufzuzeichnen.

Zeichnet Zoom selbst Meetings auf?

Das ist einfach nur eine dahingeworfene Behauptung, die durch nichts bestätigt oder bewiesen ist. Zoom bestreitet, dass sie selbst Meetings aufzeichnen, und wir haben auch keinen Hinweis oder Beleg dafür gefunden, dass es anders sein sollte. Ein Problem besteht allerdings darin, dass es Zoom grundsätzlich möglich wäre, bestimmte Elemente einer Videokonferenz aufzuzeichnen. Das hat mit bestimmten Mängeln hinsichtlich der End-to-End-Verschlüsselung zu tun, auf die wir gleich zu sprechen kommen.

Wenn eine komplette End-to-End-Verschlüsselung erfolgt, ist es Zoom aber gar nicht möglich, Meetings aufzuzeichnen.

Zoom enthält eine Funktion namens "Aufmerksamkeitstracking"

Ja, es gab diese Funktion. Damit konnte der Host, also der Moderator, darauf hingewiesen werden, wenn ein Teilnehmer über einen bestimmten Zeitraum hinaus das Zoom-Fenster verlassen und ein anderes Fenster in den Vordergrund gestellt hat. Genau genommen: Wenn es eine Bildschirmfreigabe gab, also z. B. etwas vorgeführt wurde, und ein Benutzer dieses Freigabefenster für mehr als 30 Sekunden verlassen und ein anderes Fenster in den Vordergrund gestellt hat, erhielt der Moderator (der "Host") einen Hinweis.

Es kann – z. B. im schulischen Bereich – durchaus sinnvoll sein, dass ein Lehrer im Fernunterricht nachvollziehen kann, ob seine Schüler ihm überhaupt noch folgen. Insofern ist diese Funktion nicht schon an sich verwerflich.

Diese Funktion war aber nur aktiv, wenn der Administrator sie freigeschaltet hat. Selbstverständlich war sie bei uns von Beginn an deaktiviert. Inzwischen hat Zoom diese Funktion aber insgesamt außer Betrieb gesetzt. Ärgerlich ist, dass noch Mitte Mai Berichte erschienen, die falsch kritisiert haben, dass es diese Funktion gebe und darauf eine Ablehnung von Zoom gestützt haben.

Sammelt Zoom personenbezogene Daten der Teilnehmer?

Das kommt darauf an, wie ein Meeting eingerichtet wird. Wir z. B. richten unsere Online-Seminare und Meetings immer so ein, dass es möglich ist, sie ohne Mitteilung personenbezogener Daten zu betreten. Es ist keine Registrierung notwendig, es wird keine E-Mail-Adresse abgefragt, und es muss auch kein Klarname genannt werden. Lediglich der Name, mit dem der Teilnehmende sich im Meeting zu erkennen geben möchte, muss angegeben werden.

Wer keinen Zoom-Account hat und keinen haben will, muss auch keine personenbezogenen Daten bei der Verwendung von Zoom preisgeben. Und wir übermitteln ohnehin keine personenbezogenen Daten an Zoom.

Zoom-Webseite

Ruft man die normale Website von Zoom auf, werden verschiedene Cookies gesetzt (was man übrigens beeinflussen kann – man sollte die Cookie-Einstellungen aufrufen und klarstellen, dass man nur die für die Verwendung des Dienstes relevanten Cookies wünscht). Außerdem werden Scripte eingebunden und aufgerufen, die z. B. ein Google-Tracking und andere Dienste ermöglichen. Das ist aber nichts Besonderes. Haben Sie mal geschaut, welche Scripte z. B. unsere geschätzten Wettbewerber auf ihren Websites einsetzen, und welche Daten praktisch alle Websites von Zeitungen an Google übermitteln? Da ist Zoom sogar vergleichsweise zurückhaltend.

Das hat aber nichts mit den Meetings selbst zu tun. Dass Betreiber von Websites sich dafür interessieren, was die Besucher auf der Website tun, wo sie herkommen und welche Seiten und Funktionen sie aufrufen, ist nicht ungewöhnlich. Das machen alle. Sogar wir wissen gern, welche Seiten besonders häufig aufgerufen werden und welche Suchbegriffe unsere Besucher auf unsere Seite geführt haben. Und wir verzichten auf Tracking, auf Cookies und Google-Scripte.

Die Meetings selbst, die übrigens am besten mit der App und nicht mit dem Browser durchgeführt werden sollten, sind davon aber gar nicht betroffen.

Sammeln die mobilen Apps von Zoom Daten und geben sie z. B. an Facebook weiter?

Dieser Vorwurf war bis Ende März 2020 berechtigt. Zoom hat - zumindest bei seinen Apps für iPad und iPhones - eine Bibliothek von Funktionen (ein sog. "SDK" - "Software Development Kit") verwendet, die von Facebook stammt. Und es ist nicht sauber dokumentiert, ob und mit welchen Daten Funktionen aus diesem SDK Kontakte mit Facebook-Servern aufnehmen.

Zoom hat dieses SDK aber inzwischen aus den Apps entfernt, so dass dieses Problem nicht mehr besteht.

Wer ganz sichergehen will, sollte Zoom möglichst nicht mit Tablets oder Smartphones verwenden. Das ist aber bei Online-Seminaren ohnehin nicht zu empfehlen, weil der Bildschirm ja sehr klein ist, was die Teilnahme sehr anstrengend macht.

Sobald wir zu dieser Frage neue Erkennnisse gewinnen, werden wir sie hier veröffentlichen.

Gibt es bei Zoom wirklich Sicherheitsmängel?

Es gab Sicherheitsmängel, und die waren durchaus erheblich. Dafür gab es zwei Hauptgründe:

  • Zoom hat es den Anwendern so leicht wie möglich machen wollen, das System zu benutzen. Und deshalb haben sich die Entwickler über einige Sicherheitsstandards hinweggesetzt bzw. sie vernachlässigt. Das ist ein typisches Problem in der IT-Sicherheit: Man kann ein IT-System zu 100% sicher machen, dann ist es aber kaum noch benutzbar. Oder man macht es sehr benutzerfreundlich, dann leidet die Sicherheit. Zoom hat hier in der Vergangenheit den Schwerpunkt zu sehr auf Benutzerfreundlichkeit gelegt.
  • Zoom ist ein Newcomer auf dem Markt, und neue Software enthält immer Sicherheitslücken (selbst Windows 10, Office 365, iOS und Firerfox enthalten solche Lücken), die aber natürlich schnellstens geschlossen werden müssen.

Was ist mit dem "iOS-Bug"?

Es gab mehrere Sicherheitslücken bei der Nutzung von Apple iMacs. Diese Lücken wurden inzwischen beseitigt.

Allerdings ist tatsächlich bedenklich, dass Zoom hier einen Installationsprozess geschaffen hatte, der massiv gegen Sicherheitsstandards von Apple-Systemen verstoßen hat. Auch wenn das inzwischen korrigiert wurde, wirft das ein schlechtes Licht auf Zoom und kostet Vertrauen.

Was ist mit der fehlenden Ende-zu-Ende-Verschlüsselung?

In der Tat wird die Sprach- und Videoübermittlung unter bestimmten Umständen nur zwischen dem jeweiligen Endgerät (also z. B. Browser, Tablet, Smartphone etc.) und den Zoom-Servern verschlüsselt, nicht "Ende zu Ende" zwischen den Endgeräten ("Ent-to-End-Encryption" - "E2EE"). Zoom verwendet für bestimmte Endgeräte also "nur" eine sog. "Transportverschlüsselung". Die Kommunikation zwischen Zoom und den Endgeräten ist also in jedem Fall verschlüsselt und sicher. Aber eine Verschlüsselung nur auf der Transportebene und nicht zwischen den Endgeräten selbst bedeutet: Auf den Zoom-Servern können der Ton und das Videobild unter Umständen "abgegriffen" werden, weil nicht alle Datenströme des Meetings auch für die Zoom-Server verschlüsselt sind.

Zoom sichert zu, das nicht zu tun, aber in der Tat ist diese Lösung nicht perfekt. Bei WebEx z. B. gibt es eine End-to-End-Verschlüsselung (allerdings nicht als Standard, und auch mit dem Ergebnis, dass einige Funktionen dann nicht mehr zur Verfügung stehen, weshalb E2EE dort üblicherweise nicht genutzt wird), ebenso bei Apple Facetime und bei GoToMeeting. Bei Teams aber z. B. nicht, und insofern ist Zoom nicht schlechter oder unsicherer als es z. B. Teams ist.

Was ist das Problem bei der E2EE?

Das Problem ist hier: Es können ja viele (ggf. mehrere hundert) Personen auf unterschiedlichen Wegen an Meetings oder Online-Seminaren teilnehmen - per PC-App, per Browser, per Tablet oder Smartphone und sogar mit "klassischer" Telefonie. Die Datenströme (also Audio- und Videosignale) all dieser Teilnehmer müssen vereint werden und für alle Funktionen, die Zoom anbietet, und alle anderen Teilnehmer bereitgestellt werden, damit alle mit allen und mit allen Funktionen kommunizieren können. Die Datenströme müssen also sozusagen "gemischt" werden. Das macht eine End-to-End-Verschlüsselung außerordentlich schwierig, wenn nicht sogar unmöglich. Es ist z. B. derzeit noch nicht möglich, das Audiosignal einer Person, die nur telefonisch an einem Meeting teilnimmt, in eine End-to-End-Verschlüsselung "einzuschleusen".

So gesehen ist die E2EE bei anderen Produkten einfach deshalb verfügbar, weil sie nicht das gleiche können wie Zoom. Oder anders herum: Gerade die Funktionsvielfalt von Zoom verhindert (jedenfalls derzeit) eine 100-prozentige E2EE aller Teilnehmer und aller Kanäle.

Gibt es denn nun eine E2EE?

Zoom sichert eine E2EE dann zu, wenn alle Teilnehmenden mit der Zoom-App (ob am PC/Mac oder mit Tablet oder Smartphone) und mit "Computer-Audio", also dem Mikrophon und den Lautsprechern des Geräts und nicht telefonisch, am Meeting teilnehmen. Eine weitere Voraussetzunge für E2EE ist, dass die Aufzeichnungsmöglichkeit des Meetings deaktiviert ist (was bei uns ja ohnehin der Fall ist) - logisch: Wenn Zoom ein Meeting im Auftrag des Kunden aufzeichnen soll, müssen die Datenströme ja auch so bei Zoom ankommen, dass Zoom sie aufzeichnen kann. Dass Zoom unter diesen Voraussetzungen E2EE zusichert, ist schon sehr gut, und was die vollständige E2EE aller Kanäle betrifft: Da hat Zoom noch ein Stück Arbeit vor sich.

Aber man muss anerkennen: Zoom hat da Erstaunliches geleistet, und auch wenn das Produkt noch lange nicht perfekt ist, ist es wirklich ein bemerkenswert gutes Tool. Natürlich kann man bemängeln, dass Zoom schon am Markt war, bevor Perfektion erreicht wurde. Das ist typisch in Zeiten agiler Entwicklungen. Aber mal ehrlich: Lieber benutzen wir jetzt ein geeignetes Produkt, das noch nicht ganz perfekt ist, als noch ein Jahr lang auf die perfekte Lösung warten zu müssen. Und es ist ja kein Flugzeug, das übereilt auf den Markt gebracht wurde.

Was ist mit dem "UNC-Bug"?

Es gab beim Windows-Client einen Fehler in der Chatfunktion, der – kurz gesagt – dann auftrat, wenn ein Benutzer in einem Chat zwei Backshlases ("") hintereinander verwendet und jemand auf diesen Chat-Beitrag geklickt hat. Das hat eine Windows-Funktion ausgelöst, bei der Benutzerdaten übermittelt wurden, die von einem anderen Teilnehmer ausgelesen und dazu verwendet werden konnte, den Windows-Account zu hacken.

Genauer gesagt: Wenn jemand in einem Chat etwas wie "meinserver.locdateiendokument.docx" geschrieben hat, und ein Teilnehmender hat auf diesen Chateintrag geklickt, dann übermittelt Windows (!) den Benutzernamen und ein sog. "Hash" des Kennworts an den im UNC-Pfad genannten Server. Das ist eine Schwäche von Windows, deren Wirkung aber zu vermeiden Aufgabe von App-Entwicklern ist. Wenn das Kennwort schwach war (womöglich mit dem Benutzernamen übereinstimmte oder sehr kurz war), hätte es mit geeigneter Software "geknackt" werden können.

Wie groß war das Risiko?

Das Risiko dieses Bugs war real, aber eher begrenzt – es mussten schon die Faktoren zusammentreffen, die hier beschrieben sind – also ein Chat-Beitrag mit einem sog. "UNC-Pfad" und ein Klick auf diesen Pfad. In unseren eher überschaubaren Gruppen wäre das wohl nie geschehen. Man kann den UNC-Pfad auch nicht "verschleiern" (etwa mit "<a href="meinserver.locdateiendokument.docx">harmlos</a>"), weil Zoom im Chat kein HTML "gerendert" hat. Ein einigermaßen kompetenter Benutzer wäre auf diesen Trick also nicht hereingefallen.

Ein ganz normaler Link im Sinne einer URL, also z. B. https://www.jes-beratung.de war von diesem Problem nicht betroffen.

Der Bug wurde aber inzwischen ohnehin beseitigt, insofern ist das Problem gelöst.

Was ist mit "Zoom-Bombing"?

Es wurde berichtet, dass es vorgekommen ist, dass fremde und unbefugte Personen plötzlich in Meeting-Räumen aufgetaucht sind und dort Unsinn getrieben haben.

Das kann dann geschehen, wenn Zutrittsdaten weitergegeben werden. "Zoom-Bombing" kommt vor allem dann vor, wenn man den Raum nicht durch ein Kennwort schützt und jemand einfach alle möglichen Raumnummern wahllos ausprobiert. Das ist bei uns ausgeschlossen, denn wir vergeben für jeden virtuellen Semimnarraum und für jedes Meeting immer ein Kennwort.

Was ist, wenn dennoch ein ungebetener Gast den Raum betritt?

Der Host kann ungebetene Besucher mit einem Mausklick hinausbefördern. Insofern ist "Zoom-Bombing" bei überschaubaren Gruppen, in denen der Host immer alle Teilnehmenden im Blick hat, kein Risiko.

Sollten wir die Erfahrung machen, dass bei uns so etwas geschieht, werden wir unsere virtuellen Seminarräume so einrichten, dass die Gäste zuerst einen "Warteraum" betreten und erst nach Freigabe des Hosts (also der Referentin oder des Referenten) freigegeben werden. Damit sind ungebetene Besucher ausgeschlossen.

Außerdem gibt es die Möglichkeit, einen virtuellen Raum "abzuschließen", wenn alle geladenen Besucher ihn betreten haben. Das kann der "Host" mit zwei Klicks erledigen, und dann kann niemand mehr den Raum betreten. Auch damit ist das Problem gelöst. Es bestand also eher darin, dass die Moderatoren oft nicht wussten oder auch jetzt noch nicht wissen, wie sie mit Zoom richtig umgehen müssen.

Funktioniert das immer?

Anders verhält es sich natürlich, wenn 100, 500 oder mehr Personen an einem Meeting teilnehmen. Da kann man die Liste der Meeting-Teilnehmer nicht ständig im Auge behalten. Und da gibt es natürlich auch öfters mal ein Kommen und Gehen, so dass man den Raum nicht abschließen kann. Aber in solchen Meetings passiert (hoffentlich) auch nichts, was besonders vertraulich behandelt werden muss. Und natürlich richtet man solch ein Meeting so ein, dass nicht einfach irgend ein Teilnehmender eine Bildschirmfreigabe veröffentlichen kann. Ein Herauswerfen ungebetener Besucher ist natürlich auch dort möglich.

War das nicht der Grund, warum SpaceX Zoom verbietet?

Dieses Problem ist in der Tat der Grund, warum SpaceX die Verwendung von Zoom untersagt hat. Es fragt sich, wie die eine Rakete unfallfrei zum Mars schießen wollen, wenn die Mitarbeiter schon auf der Erde mit zwei Mausklicks überfordert sind.

Bemerkenswert ist in diesem Zusammenhang übrigens, dass Mr. Musk empfiehlt, man möge doch stattdessen besser telefonieren. VoIP-Telefonie über unterschiedliche Provider und erst recht "klassische" Telefonie sind ganz entschieden unsicherer als eine Zoom-Konferenz. Bei ISDN-Telefonie gibt es gar keine Verschlüsselung. Und bei VoIP-Telefonie ist eine E2EE-Verschlüsselung dann nicht möglich, wenn zwei Provider zuerst untereinander eine Verbindung herstellen müssen, bevor die Endgeräte sich miteinander verbinden können.

Man liest in letzter Zeit auch etwas über „Zoom-Phishing“

Ja, jedes erfolgreiche Produkt lockt Kriminelle an. In letzter Zeit wurde beobachtet, dass verstärkt Domänennamen registriert wurden, die ähnlich klingen wie "zoom.us". Also wird es sicher demnächst Phishing-Mails geben, mit denen versucht wird, arglose, naive oder nachlässige Menschen dazu zu verleiten, Benutzerdaten oder Schlimmeres preiszugeben. Das ist ein Problem, für das Zoom nun wirklich nichts kann, und dieses Problem besteht auch bei anderen populären Diensten und Anbietern.

Jeder Benutzer muss aber selbst darauf achten, dass er auf Phishing nicht hereinfällt. Daher sollte man nicht einfach auf Links oder gar Downloads oder Dateianhänge in E-Mails klicken, bei denen man sich nicht ganz sicher sein kann, dass sie unkritisch sind.

Was noch?

Verschiedene Fachleute und Stellen haben sich mit Zoom intensiv auseinandergesetzt. Es wurden einige weitere - allerdings größtenteils nicht so gravierende - Mängel festgestellt. Z. B. verwendet Zoom offenbar nicht ideal konfigurierte lokale SQL-Datenbanken, hatte eine nicht offen dokumentierte Schnittstelle zu LinkedIn und einiges mehr. Die meisten dieser Mängel waren bzw. sind auf Nachlässigkeit bei der Entwicklung zurückzuführen. Die gravierenderen (z. B. die Schnittstelle zu LinkedIn) wurden inzwischen abgestellt. Aber es ist in der Tat noch einiges zu tun, um Schlampereien zu beseitigen.

Es ist gut, dass Zoom jetzt so im Fokus und in der Kritik steht, denn jetzt wird sich das Unternehmen hoffentlich mit der gebotenen Sorgfalt und Genauigkeit den Themen Datenschutz und IT-Sicherheit widmen. Und inzwischen wurde in der "Szene" auch festgestellt und anerkannt, dass Zoom Probleme zügig angeht und beseitigt. Die HU Berlin z. B. ist auch zum Ergebnis gekommen, dass Zoom trotz (oder vielleicht sogar wegen) der Kritik für die akademischen Zwecke gut geeignet ist: Datenschutz und Sicherheit bei Zoom.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat aktuell (Stand: Oktober 2020) keine Mängel bei Zoom gemeldet. Da auch die Bundesregierung dieses Tool nutzt, kann man davon ausgehen, dass das System vom BSI geprüft wurde und wird und ggf. gefundene Mängel veröffentlicht würden.

[su_youtube url="https://www.youtube.com/watch?v=2w2oPuDnn6Q&feature=youtu.be&t=46" width="600" height="400" responsive="yes" autoplay="no" mute="no" title="Frau Merkel benutzt Zoom" class=""]

Und auch in dieser Datenbank ist (ebenfalls Stand Oktober 2020) keine Verwundbarkeit der aktuellen Version von Zoom gemeldet.

Fazit

Alles gut?

Nein, in der IT ist nie "alles gut". Natürlich birgt Zoom – wie jede Software – Mängel und Sicherheitslücken, und es werden sicher noch weitere solcher Mängel auftreten. Das ist nicht ungewöhnlich. Wichtig ist nur, dass der Hersteller dieser Software damit richtig umgeht, die Software sofort ändert und die Lücken beseitigt. Andere Hersteller tun dies in der Regel umgehend.

Zoom hat inzwischen offenbar gelernt, dass sie mit diesem Problem nicht sorglos umgehen dürfen und reagiert inzwischen sehr schnell – schneller, als wir das von vielen anderen Software-Unternehmen kennen.

Auch im Hinblick auf den Datenschutz hat Zoom offensichtlich seine Lektion gelernt und z. B. seine Datenschutzbestimmungen gründlich überarbeitet und verbessert. Die Bestimmungen sind inzwischen deutlich benutzer- und kundenfreundlicher, als wir dies von den Bestimmungen vieler anderer, sehr populärer Unternehmen kennen.

Warum verwenden wir Zoom?

Zoom ist nach unserer Erfahrung das leistungsfähigste und am einfachsten zu bedienende Videokonferenz-System am Markt. Und es stellt auch die vergleichsweise geringsten Anforderungen an die Hardware und die Bandbreite.

Deshalb sind wir nach wie vor der Auffassung, dass Zoom eine gute und sichere Wahl ist und werden das Produkt für unsere Online-Seminare weiterhin verwenden.

Selbstverständlich beobachten wir sehr genau, wie Zoom auch künftig mit den Themen Datenschutz und IT-Sicherheit umgeht. Wenn wir feststellen sollten, dass wir die Verwendung von Zoom nicht mehr verantworten können, werden wir innerhalb kürzester Zeit zu einem Wettbewerber wechseln.

Wir haben auch Teams, Google Meet und GoToMeeting bzw. GoToWebinar eingerichtet und "am Start". Deshalb könnten wir innerhalb weniger Stunden unser gesamtes Programm auf diese Plattformen verschieben.

Wir wollen unseren Seminargästen aber das Beste bieten, das verfügbar ist. Und weil Zoom nach unserer festen Überzeugung derzeit die am besten geeignete Plattform für gute Online-Seminare ist, bleiben wir - zumindest was die "offenen" Online-Seminare betrifft - auch bei Zoom, solange wir es guten Gewissens verantworten können.

Wenn Sie Fragen haben oder Kritik üben möchten, wenden Sie sich gern an uns: online-seminar@jes.berlin.