Datenschutz, Verschlüsselung und Sicherheit

Die EDUtalk Aufzeichnung vom 20.08.2020  (Erwachsenenbildung EKHN) zeigt uns, wie einfach wir die ersten Schritte in diesen Feldern gehen können:

Hier klicken, um den Inhalt von YouTube anzuzeigen.
Erfahre mehr in der Datenschutzerklärung von YouTube.

Checklisten und Tipps zum Thema Sicherheit im Internet

Auf der Seite des BSI (Bundesamt für Sicherheit in der Informationstechnik) findet ihr eine Übersicht mit Checklisten zum Thema “Sicherheit im Internet”.

Neben dem vertrauten Umgang mit den eingesetzten Programmen und Apps beim Onlinearbeiten ist die Beachtung von Sicherheitsempfehlungen eine weitere Säule für gelingende digitale Angebote:

Checklisten und Tipps

Arbeiten mit Zoom 10

Die Kolleginnen und Kollegen aus Österreich haben sich diesem Thema anhand aktueller Infos beschäftigt. Dabei werden Pro und Contra-Argumente diskutiert und die Quellen dazu verlinkt. Sie kommen zu der Einschätzung, dass der Einsatz von Zoom DSGVO-konform möglich ist und die Sicherheit der übertragenen Inhalte für Bildungsveranstaltungen gewährleistet ist.

Warum wir weiterhin Zoom verwenden

Sonnenuntergang
Sonnenuntergang

Am 8.4.2020 ist in der Saarbrücker Zeitung folgender Artikel erschienen, der sich kritisch mit dem Videokonferenztool Zoom beschäftigt:

Zoom am Pranger des Datenschutzes von Andrej Sokolow

Online abrufbar unter https://www.saarbruecker-zeitung.de/sz-spezial/internet/videokonferenzdienst-zoom-weist-gravierende-maengel-beim-datenschutz-auf_aid-49969237

In dem Beitrag werden verschiedene Sicherheitsprobleme der Software angesprochen. An dieser Stelle möchten wir zwei der Kernthesen kritisch hinterfragen und aufzeigen, warum wir Zoom aktuell weiter verwenden.

Zitat 1 aus dem Artikel:

„Für den sichtbarsten Ärger sorgte dabei das sogenannte Zoombombing, bei dem Fremde in Videokonferenzen eindringen. Das ist einfach, wenn der Link zur Einwahl oder die Konferenz-ID bekannt sind und der Organisator keinen Warteraum mit manuellem Einlass oder einem Passwort eingerichtet hat.“

Das betrifft nicht nur Zoom, sondern auch andere Konferenzdienste. Ist die Einwahl-ID öffentlich bekannt, können beliebige Personen dem Meeting beitreten. Wenn zusätzlich die Bildschirmfreigabe für Teilnehmende aktiviert ist, können diese Personen ihre Inhalte verbreiten. Standardmäßig sind bei Zoom seit einigen Tagen der Warteraum und die Passwortfunktion aktiviert, so dass ein spontaner Eintritt in den Raum nicht mehr möglich ist. Zudem kann der Veranstalter jeden Teilnehmenden, der das Meeting stört, sofort entfernen. Und er kann die Funktion “Bildschirm teilen” komplett deaktivieren.

Zitat 2 aus dem Artikel:

„So stellten Forscher am Citizen Lab der Universität von Toronto fest, dass Zoom eine Verschlüsselungsmethode nutzt, die als unzureichend gilt.“

In diesem Artikel haben die zitierten Forscher ihre Ergebnisse veröffentlicht:
https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/

Die wichtigsten Erkenntnisse haben sie in den folgenden Äußerungen zusammengefasst, die wir hier in der deutschen Übersetzung zitieren:

„Aufgrund dieser problematischen Sicherheitsprobleme raten wir derzeit von der Verwendung von Zoom für Anwendungsfälle ab, die eine starke Privatsphäre und Vertraulichkeit erfordern, einschließlich:

  • Regierungen sorgen sich um Spionage
  • Unternehmen, die sich Sorgen um Cyberkriminalität und Industriespionage machen
  • Gesundheitsdienstleister, die mit sensiblen Patienteninformationen umgehen
  • Aktivisten, Anwälte und Journalisten, die an sensiblen Themen arbeiten

Für diejenigen, die Zoom verwenden, um mit Freunden in Kontakt zu bleiben, gesellschaftliche Veranstaltungen abzuhalten oder Kurse oder Vorträge zu organisieren, die sie sonst an einem öffentlichen oder halböffentlichen Ort halten könnten, sollten unsere Ergebnisse nicht unbedingt relevant sein.“

Zoom verwendete eine Verschlüsselungslösung, die nicht den höchsten Standards genügt und auf eine kritikwürdige Art und Weise verwendet wird.

Bildungsanbieter wie wir, die in Form von Onlineseminaren, allgemein zugängliche Informationen bereit stellen und sich mit Teilnehmenden über diese Themen austauschen, fallen nach Aussage der Forscher nicht in die höchste Sicherheitskategorie. Der Zugriff auf die Inhalte wird erstens durch die verwendete Verschlüsselung immer noch geschützt. Und zweitens beanspruchen die Inhalte nicht höchste Vertraulichkeit, da wir lediglich öffentlich zugängliche Informationen diskutieren.

Unser Herz und unser Verstand hängen nicht an der Software Zoom. Wir testen Alternativen und beschäftigen uns regelmäßig mit den vorgebrachten Sicherheitsfragen. Stand heute werden wir Zoom weiter verwenden und wir sind offen für andere Lösungen, die vergleichbar sicher und ähnlich komfortabel in der Bedienung sind.

Der Beauftragte für den Datenschutz der Evangelische Kirche in Deutschland (EKD) Oberkirchenrat Michael Jacob schreibt zum Thema „Videokonferenzsysteme in Kirche und Diakonie“:

Online unter abrufbar:
https://datenschutz.ekd.de/2020/04/03/videokonferenzsysteme-in-kirche-und-diakonie/

„Bei der Risikobeurteilung ist entscheidend, in welchem Bereich die Lösung eingesetzt werden soll. So kann z.B. ein hohes Risiko für die Rechte natürlicher Personen bestehen, wenn Mitarbeitende einer Personalabteilung ein Videokonferenzsystem für die regelmäßige Absprache laufender Arbeitsvorgänge nutzen oder aber Beratungsgespräche per Videokonferenz erfolgen sollen.“

„Wenn sich die verantwortliche Stelle dennoch dazu entscheidet, eine Videokonferenzlösung einzusetzen, sollte vor dem Einsatz einer bestimmten Lösung geprüft werden, ob nicht datenschutzfreundlichere Lösungen existieren, die die an ein Videokonferenzsystem gestellten Anforderungen ebenso erfüllt. Diese sind zu bevorzugen.“

Jacob unterscheidet ähnlich wie die Forscher der Uni Toronto, zu welchem Zweck die Software eingesetzt wird (Stichwort: Risikobeurteilung). Er spricht weder eine Empfehlung für eine bestimmte Lösung aus noch verbietet er explizit die Nutzung einer Software wie Zoom. Durch unseren wohlüberlegten Umgang mit diesen Fragestellungen zeigen wir, dass wir ernsthaft prüfen und uns gewissenhaft für eine aktuelle Lösung entscheiden. Und in Zukunft können wir eine andere Entscheidung treffen.

Videokonferenzen mit Zoom

Dieser Beitrag ist meine persönliche Sicht auf diese Dinge, es ist weder die offizielle Position der Familienbildungsstätte noch die der LAG Ev. Erwachsenenbildung im Saarland. Das ist keine Anleitung, wie der Dienst funktioniert und wer sich nicht für die Hintergründe der Diskussion interessiert, kann den Beitrag überspringen.

Seit Ausbruch der Coronakrise wird vielerorts nach einer Videokonferenzlösung gesucht. Einerseits soll die Software zuverlässig funktionieren und  einfach zu bedienen sein. Andererseits spielen Fragen des Datenschutzes auch bei dieser Auswahl eine Rolle.

Was aktuell häufig getestet und kontrovers bewertet wird, ist Zoom. An dieser Stelle möchte ich nicht die komplette Diskussion abbilden, sondern die aus meiner Sicht wichtigsten Argumente präsentieren.

Die Kurzfassung:
Meike Laaff fasst den aktuellen Stand in diesem Artikel (Ok, Zoomer) auf zeit.de gut zusammen:
Datenschutzkonform ja, Datenabfluss möglich.

Datenschutz
Der renommierte IT-Sicherheitsspezialist Mike Kuketz hat seinem Blog beschrieben, wie die iOS-App von Zoom Daten an Facebook übermittelt, auch wenn man keinen Facebook-Konto hat.  Das geschieht manchmal durch sog. Tracker, die auch auf der Internetseite von Zoom verbaut sind. Und im Falle der iOS-App durch die Funktion, sich mit dem Facebookkonto bei Zoom anzumelden.
In der neuen Version dieser App hat Zoom diese Facebook-Übermittlung entfernt.

Der Rechtsanwalt und Fachanwalt für IT-Recht Stephan Hansen-Oest hat in seinem Blog dargestellt, warum die Nutzung von Zoom aus seiner Sicht konform ist zum europäischen Datenschutzrecht.

Hilfe…ist „Zoom“ etwa eine Datenschleuder?

In diesem Beitrag in seinem Blog stellt er zwei Mustervorlagen bereit:
Muster für Datenschutzhinweise für Teilnehmende an „Zoom“-Meetings

So schließt du einen Auftragsverarbeitungsvertrag mit „zoom“

Auch die EKD nutzt Zoom:
Die  Evangelische Kirche in Deutschland (EKD) bietet auf dieser Seite eine Videokonferenz per Zoom an, falls jemand auf diese Weise Kontakt mit ihr aufnehmen möchte.