FAQ zu Zoom

Zoom Sicherheit

Re: Zoom Sicherheit

by Martin Smaxwil -
Number of replies: 0

Lieber Ernie,

vielen Dank für Ihre Nachfrage. Ich nutze die Gelegenheit, etwas weiter auszuholen (sorry): Die beiden angesprochenen Punkte (Diebstahl von Windows-Passwörtern & Verschlüsselung) sind nicht die einzigen, mit denen Zoom in den letzten Wochen recht schlechte Presse eingefahren hat. Auch die Nutzung des Facebook SDK in der iOS App, die Sicherheitslücken im macOS-Installer, das "Zoom-Bombing", die Kritik an der evtl. unvollständigen Datenschutzerklärung, das Aufmerksamkeitstracking, ... sind Punkte, die öffentlich kritisiert werden. Auch die IT der THGA hat beide Themen (Datenschutz und Datensicherheit) natürlich "auf dem Schirm" und beobachtet die Entwicklungen aufmerksam.

Dadurch, dass Zoom bis zur Corona-Krise ein "relativ kleines" Unternehmen war, ist es nun über Nacht "groß" geworden und steht dem entsprechend unter verschärfter Beobachtung - und das ist gut so. Zoom arbeitet m.b.M.n. recht hart daran, diese Schwachstellen und zweifelhaften Funktionen zu beseitigen, kündigte u.a. im Unternehmensblog und an anderen Stellen an, jede Weiterentwicklung zu Gunsten der notwendigen Nacharbeiten im Bereich Sicherheit und Datenschutz unterzuordnen und macht die Entwicklungsfortschritte transparent.

Was bisher geschehen ist:

  • Entfernen der Facebook SDK aus den Mobilen Apps (27.03.2020); bitte updaten, falls noch nicht geschehen.
  • Das Verständnis von "Ende-zu-Ende-Verschlüsselung" bei Zoom und IT-Sicherheitsexperten geht tatsächlich teilweise auseinander, Zoom ist da aber recht transparent bzgl. der technischen Hintergründe (01.04.2020).
  • Fix für den "UNC-Bug" (Diebstahl von Windows-Passwörtern, 02.04.2020); die Client-Version für Veranstalter (!) sollte mind. v.4.6.9 sein.
  • Entfernen des "Aufmerksamkeits-Tracking" (02.04.2020).
  • Fix für den macOS Installer (03.04.2020).
  • Das Zoom-Bombing kann durch Einstellungen (s. hier) unterbunden werden, darüber hinaus steht der sog. "Warteraum" zur Verfügung.
Ein Zwischenfazit sollte sein, dass Zoom unter Hochdruck daran arbeitet, die Dienste und Services zu verbessern, und sich dabei enorm Mühe gibt - auch wenn guter Wille keinen Datenschutz und keine Datensicherheit ersetzt.

Darüber hinaus (jenseits jedes Whataboutism) stellt die Corona-Krise die dt. Hochschulen vor enorme Herausforderungen. Die für unsere (recht kleine) Hochschule bisher "einfach" und kostengünstig zu beziehenden Systeme des DFN bieten nicht die erforderliche Stabilität und Verfügbarkeit; der DFN selbst empfiehlt sogar ausdrücklich den Einsatz alternativer Systeme.

In verschiedenen Foren und Mailing-Listen berichten auch andere (größere) Hochschulen mit deutlich mehr Ressourcen davon, dass selbstgehostete OpenSource-Systeme (z.B. jitsi, BigBlueButton, ...) nicht in der notwendigen Stabilität zu betreiben sind. Unsere Tests kamen zum gleichen Ergebnis.

Da die THGA weder die technischen Möglichkeiten, die Mittel noch das Personal hat, Alternativen in der kurzen Zeit zu etablieren und zu betreiben, haben wir uns für eine stabile, verfügbare und benutzendenfreundliche Alternative entschieden und alle in unserer Macht stehenden Mittel genutzt, um einen Online-Vorlesungsbetrieb zu gewährleisten.

Neben der Billigung der Geschäftsführung, des Präsidiums und der Datenschutzbeauftragten gehören dazu u.a. ein DSGVO-konformer Auftragsverarbeitungsvertrag (AVV) zwischen Zoom und DMT-LB und eine Einschätzung externer Datenschutzexperten, welche eine (fast) bedenkenlose Nutzung nahelegt. Eine Empfehlung datenschutzfreundlicher Voreinstellungen ist an alle potentiellen Veranstalter innerhalb der DMT-LB, der THGA und des DBM ausgegeben worden, aus gegebenem Anlass stelle ich diese aber auch hier ins Forum.

Ach ja: Ein Wesenszug der DSGVO ist die Erforderlichkeit einer Abwägung zwischen schützenswerten Persönlichkeitsrechten sowie einzufordernder Daten- und Systemsicherheit einerseits - und Aufwand und Möglichkeiten andererseits. Diese Abwägung priorisiert den Datenschutz gegenüber der Aufrechterhaltung des Hochschulbetriebes tatsächlich etwas herab. Aber: Die Zoom-Lizenzen und -Nutzung sind auf die Phase des Engpasses beim DFN beschränkt und dienen lediglich dazu, die DMT-LB/THGA "arbeitsfähig" zu halten. Sobald Ausstattung und Situation der THGA eine andere datenschutzfreundlichere Lösung ermöglichen, werden wir natürlich die Übergangslösung Zoom wieder gegen entsprechende Alternativen tauschen.

Ich hoffe das war nicht zu ausführlich - und hilft etwas, Ihre Sorgen zu verringern.

Beste Grüße,
Martin Smaxwil