Am 8.4.2020 ist in der Saarbrücker Zeitung folgender Artikel erschienen, der sich kritisch mit dem Videokonferenztool Zoom beschäftigt:
Zoom am Pranger des Datenschutzes von Andrej Sokolow
Online abrufbar unter https://www.saarbruecker-zeitung.de/sz-spezial/internet/videokonferenzdienst-zoom-weist-gravierende-maengel-beim-datenschutz-auf_aid-49969237
In dem Beitrag werden verschiedene Sicherheitsprobleme der Software angesprochen. An dieser Stelle möchten wir zwei der Kernthesen kritisch hinterfragen und aufzeigen, warum wir Zoom aktuell weiter verwenden.
Zitat 1 aus dem Artikel:
„Für den sichtbarsten Ärger sorgte dabei das sogenannte Zoombombing, bei dem Fremde in Videokonferenzen eindringen. Das ist einfach, wenn der Link zur Einwahl oder die Konferenz-ID bekannt sind und der Organisator keinen Warteraum mit manuellem Einlass oder einem Passwort eingerichtet hat.“
Das betrifft nicht nur Zoom, sondern auch andere Konferenzdienste. Ist die Einwahl-ID öffentlich bekannt, können beliebige Personen dem Meeting beitreten. Wenn zusätzlich die Bildschirmfreigabe für Teilnehmende aktiviert ist, können diese Personen ihre Inhalte verbreiten. Standardmäßig sind bei Zoom seit einigen Tagen der Warteraum und die Passwortfunktion aktiviert, so dass ein spontaner Eintritt in den Raum nicht mehr möglich ist. Zudem kann der Veranstalter jeden Teilnehmenden, der das Meeting stört, sofort entfernen. Und er kann die Funktion „Bildschirm teilen“ komplett deaktivieren.
Zitat 2 aus dem Artikel:
„So stellten Forscher am Citizen Lab der Universität von Toronto fest, dass Zoom eine Verschlüsselungsmethode nutzt, die als unzureichend gilt.“
In diesem Artikel haben die zitierten Forscher ihre Ergebnisse veröffentlicht:
https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/
Die wichtigsten Erkenntnisse haben sie in den folgenden Äußerungen zusammengefasst, die wir hier in der deutschen Übersetzung zitieren:
„Aufgrund dieser problematischen Sicherheitsprobleme raten wir derzeit von der Verwendung von Zoom für Anwendungsfälle ab, die eine starke Privatsphäre und Vertraulichkeit erfordern, einschließlich:
- Regierungen sorgen sich um Spionage
- Unternehmen, die sich Sorgen um Cyberkriminalität und Industriespionage machen
- Gesundheitsdienstleister, die mit sensiblen Patienteninformationen umgehen
- Aktivisten, Anwälte und Journalisten, die an sensiblen Themen arbeiten
Für diejenigen, die Zoom verwenden, um mit Freunden in Kontakt zu bleiben, gesellschaftliche Veranstaltungen abzuhalten oder Kurse oder Vorträge zu organisieren, die sie sonst an einem öffentlichen oder halböffentlichen Ort halten könnten, sollten unsere Ergebnisse nicht unbedingt relevant sein.“
Zoom verwendete eine Verschlüsselungslösung, die nicht den höchsten Standards genügt und auf eine kritikwürdige Art und Weise verwendet wird.
Bildungsanbieter wie wir, die in Form von Onlineseminaren, allgemein zugängliche Informationen bereit stellen und sich mit Teilnehmenden über diese Themen austauschen, fallen nach Aussage der Forscher nicht in die höchste Sicherheitskategorie. Der Zugriff auf die Inhalte wird erstens durch die verwendete Verschlüsselung immer noch geschützt. Und zweitens beanspruchen die Inhalte nicht höchste Vertraulichkeit, da wir lediglich öffentlich zugängliche Informationen diskutieren.
Unser Herz und unser Verstand hängen nicht an der Software Zoom. Wir testen Alternativen und beschäftigen uns regelmäßig mit den vorgebrachten Sicherheitsfragen. Stand heute werden wir Zoom weiter verwenden und wir sind offen für andere Lösungen, die vergleichbar sicher und ähnlich komfortabel in der Bedienung sind.
Der Beauftragte für den Datenschutz der Evangelische Kirche in Deutschland (EKD) Oberkirchenrat Michael Jacob schreibt zum Thema „Videokonferenzsysteme in Kirche und Diakonie“:
Online unter abrufbar:
https://datenschutz.ekd.de/2020/04/03/videokonferenzsysteme-in-kirche-und-diakonie/
„Bei der Risikobeurteilung ist entscheidend, in welchem Bereich die Lösung eingesetzt werden soll. So kann z.B. ein hohes Risiko für die Rechte natürlicher Personen bestehen, wenn Mitarbeitende einer Personalabteilung ein Videokonferenzsystem für die regelmäßige Absprache laufender Arbeitsvorgänge nutzen oder aber Beratungsgespräche per Videokonferenz erfolgen sollen.“
„Wenn sich die verantwortliche Stelle dennoch dazu entscheidet, eine Videokonferenzlösung einzusetzen, sollte vor dem Einsatz einer bestimmten Lösung geprüft werden, ob nicht datenschutzfreundlichere Lösungen existieren, die die an ein Videokonferenzsystem gestellten Anforderungen ebenso erfüllt. Diese sind zu bevorzugen.“
Jacob unterscheidet ähnlich wie die Forscher der Uni Toronto, zu welchem Zweck die Software eingesetzt wird (Stichwort: Risikobeurteilung). Er spricht weder eine Empfehlung für eine bestimmte Lösung aus noch verbietet er explizit die Nutzung einer Software wie Zoom. Durch unseren wohlüberlegten Umgang mit diesen Fragestellungen zeigen wir, dass wir ernsthaft prüfen und uns gewissenhaft für eine aktuelle Lösung entscheiden. Und in Zukunft können wir eine andere Entscheidung treffen.