Sicheres Zoomen: Verhindern von Zoom Data Leaks
Sie haben bestimmt schon einige Blog-Beiträge über virtuelle- / remote-Arbeit gelesen. Und viele von ihnen erklären, welche Tools Ihr Team für eine reibungslose Kommunikation benötigt.
Wir bei JCFINCH haben uns gefragt, ob alle davon tatsächlich sicher und GDPR-konform sind? Und die Antwort war leider negativ. Selbst weit verbreitete Tools von etablierten Anbietern haben Sicherheitslücken. Ein paar benutzerdefinierte Einstellungen können einige Risiken beseitigen; einige Probleme werden jedoch bleiben.
Zoom ist eines der Tools, dass uns negativ aufgefallen ist.
Zoom-Albträume
Die Anfälligkeit von Zoom für Datenschutzprobleme ist seit 2019 weithin bekannt und diskutiert worden. Einige Sicherheitsblogger haben alle Fehler und die Reaktionen von Zoom darauf fleißig dokumentiert (siehe Nützliche Links).
Wir möchten hier vor allem auf die jüngsten und/oder ungelösten Fälle eingehen. Einige der Sicherheitslücken von Zoom sind nicht nur gefährlich, sondern sogar peinlich für den Anbieter.
Ungelöste Probleme
Zoom-Bombing
Stellen Sie sich vor, Sie veranstalten ein Video-Meeting und eine unbekannte Person schaltet sich ein und fängt an, Blödsinn zu reden. Das musste die Stadtverordnetenversammlung von Juneau in Alaska gleich mehrfach ertragen!
Zoom-Bombing veranlasste den Anbieter, passwortgeschützte Meetings und Warteräume einzuführen, in denen sich neue Teilnehmer aufhalten müssen, bevor der Veranstalter des Meetings sie reinlässt. Das funktionierte nicht ganz, da einige Insider offenbar ihre Join-Links und Anmeldedaten mit Eindringlingen teilten. Datenschutzexperten fordern Zoom auf, eindeutige Join-Links zu implementieren, ein Link pro Teilnehmer, um Zoom-Bombing zu stoppen.
Zoom ist nicht End-to-End: Aber versucht uns davon zu überzeugen, dass es das ist
„Angesichts des jüngsten Interesses an unseren Verschlüsselungspraktiken möchten wir uns zunächst für die Verwirrung entschuldigen, die wir verursacht haben, indem wir fälschlicherweise suggeriert haben, dass Zoom-Meetings eine Ende-zu-Ende-Verschlüsselung nutzen können“ heißt es im offiziellen Zoom-Blogpost.
Kein Kommentar, denn solche Verwirrungen zerstören das Vertrauen der Kunden ein für alle Mal.
Vergangene Probleme, die Nutzer besonders hart getroffen haben
Freunde mit Facebook
Früher hatte Zoom eine Funktion, die es erlaubte, Facebook-Anmeldedaten zu verwenden. Um diese Funktion zu aktivieren, nutzte Zoom das Facebook Software Development Kit (SDK). Infolgedessen teilte Zoom im Grunde die Daten der Benutzer mit Facebook. Und wir alle wissen, was mit unseren Daten passiert, wenn sie in einem Data Warehouse von Facebook landen.
Zoom installierte unbekannte Software auf dem Mac
Zoom hat sich selbst installiert, ohne die Benutzer um Erlaubnis zu fragen. VMRay Inc. war der erste, der Alarm schlug, und Zoom reagierte schnell, um die Lücke zu schließen.
Das Problem ist, wenn Zoom seine eigene Installation selbstständig durchführen konnte, wer garantiert, dass es nicht zur Installation weiterer Schadsoftware verwendet werden kann? Der Blogger und Sicherheitsforscher Jonathan Leitschuh experimentierte damit, Webkameras anderer Teilnehmer ohne deren Zustimmung einzuschalten, und es schien zu funktionieren!
Zoom gab zu viel von Ihrem Bildschirm frei
Ein deutsches Sicherheitsberatungsunternehmen, die SySS GmbH, hat herausgefunden, dass Sie bei dem Versuch, nur einen Teil Ihres Bildschirms für andere in einem Videoanruf freizugeben, für eine sehr kurze Zeit Ihren gesamten Bildschirm preisgeben. Dies kann jedoch ausreichen, um alle Ihre Passwörter und andere Daten öffentlich zu machen!
Die GDPR-Compliance ist nicht perfekt
Die Installation von Software ohne die Zustimmung des Nutzers und die Verwirrung der Nutzer bezüglich der Ende-zu-Ende-Verschlüsselung sind beides Anzeichen für die Nichteinhaltung der Allgemeinen Datenschutz-Verordnung. Der Nutzer muss über die Bedingungen der Software-Nutzung informiert werden. Zoom hatte ein weiteres Problem mit Mac-Benutzern, als es seine eigene Passwortabfrage als eine Apple-Sicherheitsabfrage maskierte.
Auch wenn diese Probleme in der Vergangenheit liegen, ist die Zuverlässigkeit dieses Videokonferenz-Tools zweifelhaft.
Universelle Regeln für besseren Datenschutz
Unabhängig von Ihrem Videokonferenz-Anbieter sollten Sie die folgenden Best Practices beachten.
- Verwenden Sie während Ihrer Arbeitszeit, aber vor allem während der Videoanrufe, ein VPN, um sich mit dem Internet zu verbinden. Es reduziert das Risiko, dass Sie in die Hände von Cyber-Schnüfflern fallen.
- Wenn Sie an einer Videokonferenz teilnehmen und es möglich ist, im Browser zu bleiben, anstatt eine Anwendung herunterzuladen (ist bei Zoom der Fall), ist es sicherer, im Browser zu bleiben.
- Wenn Sie Video-Meetings erstellen, richten Sie einen Passwortschutz für alle Teilnehmer ein.
- Wenn Sie ein Videokonferenz-Tool auswählen, denken Sie daran, dass es über eine Ende-zu-Ende-Verschlüsselung verfügen sollte, d. h., dass es die Daten direkt an die anderen Teilnehmer und nicht an einen Server sendet.
Ein kurzes Nachwort
Obwohl der Markt für Videokonferenzsoftware boomt, schaffen es nur sehr wenige, an die Funktionalität heranzukommen, die Zoom bietet. Abgesehen davon wurde Zoom ziemlich resistent gegen Cyberattacken und schneidet in dieser Hinsicht viel besser ab als die Konkurrenten.
Verwenden Sie es oder nicht, aber seien Sie sich der Fallstricke bewusst. Wir haben hier nur einen Bruchteil aufgelistet. Nach deutschem Recht ist jedes Unternehmen, das mehr als 21 feste Mitarbeiter hat verpflichtet, einen Sicherheitsbeauftragten zu haben. Ein Sicherheitsbeauftragte kann dieser Aufgabe neben seinen normalen Pflichten nachgehen. Allerdings muss Ihr Sicherheitsbeauftragter über bestimmte nachgewiesene Fähigkeiten verfügen.
Sie brauchen einen Sicherheitsbeauftragten? Kontaktieren Sie JCFINCH, um den Rekrutierungsprozess auszulagern und zu erleichtern!
Nützliche Links
- Is Zoom Secure? Breaking Down 10 Zoom Security Issues
- Zoom security issues: Here’s everything that’s gone wrong (so far) von Paul Wagenseil in Tom’s Guide
- Hilfe…ist „Zoom“ etwa eine Datenschleuder? von Stephan Hansen-Oest für Datenschutz-Guru GmbH
- Is Zoom GDPR Compliant? (Video Conferencing Tools & Data Protection Risks) von Lisa Hofmann für PRIDATECH S.L.