ZOOM: Anbieter von Videomeeting in der Kritik

  • 2 Minuten zum Lesen

Aufgrund der Corona-Pandemie sind viele Arbeitnehmer derzeit im HomeOffice. Die digitale Transformation wurde jahrelang gepredigt, jetzt wurde sie durch COVID-19 und nicht durch einen Manager im C-Level in den meisten Firmierungen umgesetzt. Viele nutzen für Videomeetings die Software ZOOM. Das würde ich lieber sein lassen.

Zunächst kam die Meldung auf, dass die Datenschutzrichtlinien nicht vollumfänglich korrekt sind. So werden Daten für Werbezwecke weitergegeben und analysiert. Nun schaut sich auch die New Yorker Generalstaatsanwaltschaft die Datenschutzpraxis an.

Denn es gibt einen Punkt, welcher doch etwas stutzig macht: Zoom bietet seine Dienste Ende-zu-Ende (E2E) an, bzw hat dies in der Vergangenheit. Auf der Webseite wurde schon angepasst. Denn E2E sind nur die Chats, Audio und Video sind nicht E2E verschlüsselt. Im Security Whitepaper ist eine E2E Verschlüsselung von Meetings weiterhin hinterlegt.
Technisch wird wie folgt verschlüsselt: Es werden TCP und UDP Verbindungen genutzt. TCP-Verbindungen werden über 256-bit TLS hergestellt, und UDP-Verbindungen werden mit AES-256 unter Verwendung eines über eine TLS-Verbindung ausgehandelten Schlüssels verschlüsselt.

Gegenüber The Intercept bekräftigt man aber, dass ZOOM nur die Daten zum Betrieb eines Meetings sammelt. Video und Audio könnten trotzdem in der Cloud entschlüsselt, ausgewertet und weitergegeben werden.

Auch der Windows Client steht in der Kritik, nachdem schon die iOS App Daten an Facebook gemeldet hatte:

Der Windows-Client kann mittels UNC-Pfadinjektion ausgenutzt werden, um Anmeldeinformationen für die Verwendung bei SMBRelay-Angriffen freizulegen.

Auch das AuthTool ist eine signierte Bin Datei, welche für jegliche Authentifizierung genutzt werden kann:

https://twitter.com/DanAmodio/status/1245032929635586053

Auf MacOS sieht das ganze dann noch mal etwas anders aus. An sich nicht schlimm, aber der Client kommt mit Scripten und 7Zip im Gepäck und kann sich so selbst installieren. Sollte der aktuelle Nutzer keine Adminrechte besitzen, werden diese per Script über die AuthorizationExecuteWithPrivileges API per Systemlogin abgefragt.

Alternativen?

Nicht alle sind zu 100% GDPR (DSGVO) konform und teilweise nicht so gut durchleuchtet wie ZOOM derzeit.

  • Jitsi (OpenSource, lokale Instanz kann selbst eingerichtet werden, doch keine E2E Verschlüsselung)
  • Skype (nur der Meetinghoster braucht eine Lizenz, Teilnehmer gehen über web.skype.com rein)
  • Teams
  • BBMe (nur 15 Teilnehmer)
  • WebEx
  • TeamViewer

Schreibe einen Kommentar