1. Leben
  2. Internet

Videokonferenzdienst Zoom weist gravierende Mängel beim Datenschutz auf

Datenschutzmängel : Zoom am Pranger des Datenschutzes

Die Videokonferenz-Software erfuhr durch die Corona-Krise einen Aufschwung mit schwerwiegenden Folgen.

() Die Videokonferenz-App Zoom ist der große Aufsteiger in der Coronavirus-Krise. Binnen weniger Wochen schnellte die Zahl der Nutzer von 10 auf 200 Millionen pro Tag hoch. Genauso schnell landete die Firma aus San Francisco am Datenschutz-Pranger. Kaum ein Tag verging, ohne dass neue Sicherheitslücken oder zweifelhafte Entscheidungen zur Privatsphäre bekannt wurden.

Kunden wie der Elektroautobauer Tesla und die Raumfahrtfirma SpaceX sprangen ab. New York wies Schulen an, schnell auf Microsofts Konkurrenzdienst Teams umzusteigen. „Wenn wir es noch einmal vermasseln, ist es aus“, befürchtet Zoom-Chef Eric Yuan.

Das Unternehmen gibt es seit mehr als acht Jahren, die Firma war an der Börse vor dem krisenbedingten Aufschwung rund 20 Milliarden US-Dollar wert. Inzwischen sind es 35 Milliarden Dollar. Der Fokus auf das Geschäft mit Unternehmen sorgte allerdings dafür, dass Zoom dem breiten Publikum unbekannt blieb. Doch durch Ausgangsbeschränkungen und Heimarbeit wurden über Zoom nicht nur viele Firmenkonferenzen abgehalten, sondern auch Unterricht, Geburtstagsfeiern oder Yogastunden.

Geholfen haben dürfte die simple Nutzung. Verbraucher brauchen meist nur einen Link anzuklicken und sind im Konferenzraum. Doch der jahrelange Vorrang für einfache Bedienbarkeit war der Grundstein für massive Probleme, die zu Tage traten, als Zoom nicht mehr nur in geschütztem Unternehmensumfeld, sondern von den breiten Massen genutzt wurde.

Für den sichtbarsten Ärger sorgte dabei das sogenannte Zoombombing, bei dem Fremde in Videokonferenzen eindringen. Das ist einfach, wenn der Link zur Einwahl oder die Konferenz-ID bekannt sind und der Organisator keinen Warteraum mit manuellem Einlass oder einem Passwort eingerichtet hat. Zoombombing mag nach harmlosen Streichen klingen, aber in den USA wurden Gottesdienste und Schulstunden mit rassistischen Schimpftiraden oder dem Vorzeigen von Nazi-Symbolen unterbrochen. Bei virtuellen Treffen der Anonymen Alkoholiker wurden Fotos trinkender Menschen eingeblendet. Die New York Times fand in dunkleren Ecken des Netzes, aber auch bei der Fotoplattform Instagram Gruppen, in denen solche Attacken ausgeheckt wurden.

Zoom reagierte und richtete Passwörter und Warteräume als Standardeinstellung ein. Ob das hilft, bleibt noch abzuwarten. Das Zoombombing sollte jedoch nicht das einzige Problem des Dienstes bleiben. IT-Fachleute warfen einen genaueren Blick auf die Sicherheitsvorkehrungen von Zoom und entdeckten zum Teil haarsträubende Mängel. „Zoom ist bei der Sicherheit bestenfalls schlampig und schlimmstenfalls bösartig“, kritisiert der Sicherheitsforscher Bruce Schneier an der Harvard-Universität. „Die Verschlüsselung bei Zoom ist schrecklich.“ So stellten Forscher am Citizen Lab der Universität von Toronto fest, dass Zoom eine Verschlüsselungsmethode nutzt, die als unzureichend gilt. Das Unternehmen musste auch die Behauptung zurücknehmen, die Daten seien mit Ende-zu-Ende-Verschlüsselung geschützt. Das ist eine Bezeichnung für ein Verfahren, bei dem nur Nutzer und Empfänger Zugriff auf die unverschlüsselten Daten haben. Zoom verfügt jedoch ebenfalls über die Schlüssel, um zum Beispiel die Einwahl über herkömmliche Telefonanrufe zu ermöglichen.

Unter den anderen Problemen waren die ungefragte Weitergabe von Daten an Facebook, das willkürliche Gruppieren von Nutzern mit demselben E-Mail-Dienst, die Umleitung mancher Konferenzen über Server in China und die Möglichkeit, Webadressen zu erraten, unter denen einige Aufzeichnungen von Zoom-Konferenzen gespeichert sind. Firmenchef Yuan kündigte an, in den nächstren drei Monaten statt der Einführung neuer Funktionen die Schwachstellen stopfen zu wollen.

Alarmsignale hatte es schon im vergangenen Jahr gegeben. So stellte sich heraus, dass Zoom sich bei der Installation auf Apples Mac-Computern weitreichende Berechtigungen verschaffte, indem die Software einen heimlichen Webserver auf dem Gerät installierte. Schlimmer noch, er blieb auf dem Computer, selbst wenn man die Zoom-Software löschte. Apple sah sich gezwungen, den Zoom-Server mit einem Zwangsupdate von Macs zu entfernen.

Wer den Versprechungen von Yuan, das Vertrauen der Nutzer wieder zurückgewinnen zu wollen, nicht glaubt, steht nicht ohne Alternative da. Allerdings empfehlen deutsche Datenschützer nicht die Zoom-Konkurrenzdienste von Microsoft, Google, Facebook oder Apple, sondern setzen auf quelloffene Programme. Zu den populären Videoanwendungen gehört BlueBigButton. Das Projekt wurde 2007 an der kanadischen Carleton University (Ottawa) mit dem Ziel gestartet, dass das Einrichten einer Videokonferenz so einfach sein soll wie das Drücken auf einen großen blauen Knopf. BlueBigButton steht nicht nur unter einer offenen Lizenz, sondern kann auch auf einem eigenen Server oder bei Dienstleistern wie Lern.Link in Deutschland betrieben werden.

Keine Bedenken haben die Datenschutzbeauftragten der Länder auch bei der offenen Lösung Jitsi Meet, die ihren Ursprung an der Universität Straßburg hat. Das System, das unter anderem vom Chaos-Computer-Club verwendet wird, steht für Privatleute auf etlichen Servern im Netz kostenfrei zur Verfügung. Professionelle Nutzer können Dienstleister wie den österreichischen Anbieter Fairmeeting beauftragen, der einen Betrieb auf Basis der Europäischen Datenschutz-Grundverordnung verspricht.

(dpa)