Zoombombing, Sicherheitslücken

Videokonferenz-App Zoom landete am Datenschutz-Pranger

08.04.2020
Ob Yogastunde oder Geburtstagsfeier per Video: Zoom etabliert sich als allgegenwärtige Videokonferenz-Lösung der Coronavirus-Krise. Doch mit der explosiv gewachsenen Nutzung wurde die App von ihren Schwachstellen eingeholt.
Zoom ist massiv in die Kritik geraten.
Foto: Iryna Imago - shutterstock.com

Die Videokonferenz-App Zoom ist der große Aufsteiger in der Coronavirus-Krise: Binnen weniger Wochen schnellte die Zahl der Nutzer von 10 auf 200 Millionen pro Tag hoch. Und genauso schnell landete die Firma aus San Francisco am Datenschutz-Pranger. Kaum ein Tag verging, ohne dass neue Sicherheitslücken oder zweifelhafte Entscheidungen zur Privatsphäre bekanntwurden.

Kunden wie der Elektroautobauer Tesla und die Raumfahrtfirma SpaceX sprangen ab. New York wies Schulen an, schnell auf Microsofts Konkurrenzdienst Teams umzusteigen. Und auch Behörden in Taiwan sollen Zoom wegen Sicherheitsbedenken nicht mehr nutzen. Zoom-Chef Eric Yuan spricht von schlaflosen Nächten. "Wenn wir es noch einmal vermasseln, ist es aus", denkt er sich dabei, wie er dem "Wall Street Journal" erzählte.

Zoom gibt es seit mehr als acht Jahren, die Firma war an der Börse schon vor dem krisenbedingten Aufschwung rund 20 Milliarden US-Dollar wert - inzwischen sind es rund 34 Milliarden Dollar (gut 31 Mrd Euro). Der Fokus auf das Geschäft mit Unternehmen sorgte allerdings dafür, dass Zoom dem breiten Publikum unbekannt blieb. Bis die Coronavirus-Gefahr Heimarbeit und Ausgehbeschränkungen mit sich brachte. Plötzlich wurden über Zoom nicht nur viele Unternehmenskonferenzen abgehalten, sondern auch Unterricht, Geburtstagsfeiern, Yogastunden.

Zoom boomt bei Videokonferenzen

Erstaunlich ist dabei, wie Zoom anderen Videokonferenz-Anbietern, aber auch den Chatdiensten von Apple, Google und Microsoft - immerhin Besitzer des Branchenpioniers Skype - die Show stahl. Eine Auswertung des Netzwerk-Ausrüsters Nokia ergab, dass auf das Konto von Zoom der Großteil der Zuwächse im Datenverkehr bei Videokonferenzen ging. Geholfen haben dürfte die simple Nutzung - man braucht meist nur einen Link anzuklicken und ist drin. Doch der jahrelange Vorrang für einfache Bedienbarkeit legte den Grundstein für massive Probleme, die zu Tage traten, als Zoom nicht mehr nur in geschütztem Unternehmensumfeld, sondern von den breiten Massen genutzt wurde.

Die besten kostenlosen Tools für Videokonferenzen
Google Meet
Google Meet ermöglicht web-basierte Video- und Telefonkonferenzen. In der ab Mai verfügbaren Gratisversion erlaubt der Dienst Konferenzen mit bis zu 100 Teilnehmern mit einer Dauer von maximal 60 Minuten - diese Einschränkung tritt aber erst ab Oktober 2020 in Kraft. Wie die meisten Google-Dienste ist Meet für Google Chrome und andere Browser auf Chromium-Basis konzipiert und funktioniert hier ohne Plugins. Daneben sind mobile Anwendungen für Android und iOS verfügbar.
Facebook Messenger Rooms
Mit Messenger Rooms können Nutzer direkt von Messenger oder Facebook aus einen Konferenzraum einrichten und bis zu 20 - später 50 - Teilnehmer zu einem Videotelefonat einladen - auch wenn sie kein Facebook-Konto haben. Eine zeitliche Begrenzung gibt es nicht. Die Teilnahme ist via Smartphone oder PC über den Browser möglich und erfordert laut Facebook keine Downloads. Nutzer der Messenger-App haben allerdings Zugriff auf diverse AR-Effekte (z.B. Hasenohren) und neue KI-gestützte Funktionen wie immersive 360-Grad-Hintergründe und stimmungsvolle Beleuchtung.
Skype
Als wohl bekanntester VoIP-Dienst bietet Sype auch eine Reihe von Video-Chat- sowie Videokonferenz-Funktionen. Skype for Business wurde inzwischen von Microsoft durch die Teams-Plattform ersetzt.
Teams
Der Nachfolger von Lync und Skype for Business ist kein alleinstehendes Produkt, sondern ein Teil der Microsoft Office 365 Suite. Allerdings ist Teams kostenlos verfügbar und eignet sich mit bis zu 300 Mitgliedern für kleine Unternehmen. Auch Gastzugang sowie Einzel- und Gruppen-Videotelefonate, Bildschirmfreigabe sind an Bord.
Google Duo
Google Duo ist als kostenloses Videotelefonie-Tool in erster Linie für Privatanwender konzipiert. Die maximale Anzahl der Teilnehmer wurde in der Android- und iOS-App erst vor kurzem von acht auf zwölf Personen erhöht und soll laut Google weiter steigen. Duo steht als Web-Applikation für PC, Mac und Chromebook sowie als Mobile App für Android- und iOS-Geräte zur Verfügung.
Jitsi Meet
Eine einfach nutzbare Lösung für Videokonferenzen, die aber dennoch viele Funktionen anbietet, ist Jitsi Meet. Die kostenlose Lösung basiert auf dem offenen WebRTC-Standard und kann auf dem PC direkt und ohne Registrierung im Browser (Chrome) genutzt werden. Für Smartphones und Tablets stehen Apps (Android, iOS) bereit.
Whereby
Kostenlos für Videokonferenzen mit bis zu vier Teilnehmern ist der norwegische Dienst Whereby (früher appear.in). . Die Lösung ist WebRTC-basiert, das heißt, die Gäste können sich einfach und ohne Registrierung über den Browser zuschalten. Optional stehen Apps für Android und iOS zur Verfügung.
Tinychat
Nach erfolgter Registrierung bietet das kostenlose Tinychat die Möglichkeit schnell und bequem eine neue Video-Konfernez zu eröffnen. Hierzu muss lediglich einen neuer "Room" erstellt und die generierte URL an die Konferenzteilnehmer verschickt werden.
Lifesize
Lifesize bietet Unternehmen, die von der Coronavirus-Epidemie betroffen sind über einen Zeitraum von sechs Monaten kostenlose Lizenzen an. Meetings und Anrufdauer sind unbegrenzt - dabei steht die Lifesize-Lösung sowohl für Desktops, als auch für Mobilgeräte zur Verfügung.
Zoom
Zoom positioniert sich als einer der führenden Anbieter für Videokonferenzen. Das Tool zeichnet sich in erster Linie durch die einfache Nutzung und ein attraktives Freemium-Angebot aus: Bereits mit der kostenlosen Version sind Videokonferenzen mit bis zu 100 Teilnehmern möglich.
GoToMeeting
LogMeIn hat seine Videokonferenzsoftware GoToMeeting Ende 2019 komplett überarbeitet und neue Funktionen implementiert. Unter anderem funktioniert die Lösung nun im Browser via WebRTC sowie über Desktop- und Mobile-Apps. Die Abopläne beginnen bei 10,75 Euro pro Monat und Host für die Professional-Version.
WebEx
Cisco bietet WebEx im Zuge der Coronavirus-Pandemie bis auf weiteres kostenlos an. Zeitlich unbegrenzte Meetings mit bis zu 100 Teilnehmern, HD-Video, Audio-Einwahl, persönlicher Konferenzraum, Bildschirmfreigabe auf Desktop- und Mobilgeräten, sowie 1GB Cloud-Speicher und Aufzeichnungen sind inklusive.

Für den sichtbarsten Ärger sorgte dabei schnell das "Zoombombing", bei dem Fremde in Videokonferenzen eindringen. Das ist einfach, wenn der Link zur Einwahl oder die Konferenz-ID bekannt sind - und der Organisator keinen Warteraum mit manuellem Einlass oder ein Passwort eingerichtet hat. "Zoombombing" mag nach harmlosen Streichen klingen, aber das war es nicht: So wurden Gottesdienste und Schulstunden in den USA mit rassistischen Schimpftiraden oder dem Vorzeigen von Nazi-Symbolen unterbrochen. Bei virtuellen Treffen der Anonymen Alkoholiker wurden Fotos trinkender Menschen eingeblendet. Die "New York Times" fand in dunkleren Ecken des Netzes - aber auch bei Instagram - Gruppen, in denen solche Attacken ausgeheckt wurden.

Zoom-Konferenz per Passwort geschützt

Zoom reagierte und weitete die Einrichtung von Passwörtern und Warteräumen als Standardeinstellung aus. Wie sehr das hilft, bleibt noch abzuwarten. Das "Zoombombing" sollte jedoch nicht das einzige Problem des Dienstes bleiben. Experten warfen einen tieferen Blick auf die Sicherheitsvorkehrungen von Zoom und entdeckten zum Teil haarsträubende Mängel.

"Zoom ist bei der Sicherheit bestenfalls schlampig und schlimmstenfalls bösartig", kritisiert der Kryptografie-Fachmann Bruce Schneier. "Die Verschlüsselung bei Zoom ist schrecklich." So stellten Forscher am Citizen Lab der Universität von Toronto fest, dass Zoom eine Verschlüsselungsmethode nutzt, die als unzureichend gilt. Das Unternehmen musste auch die Behauptung zurücknehmen, die Daten seien mit Ende-zu-Ende-Verschlüsselung geschützt. Das ist eine feste Bezeichnung für ein Verfahren, bei dem nur Nutzer und Empfänger Zugriff auf die unverschlüsselten Daten haben. Zoom verfügt jedoch über die Schlüssel, um zum Beispiel die Einwahl über herkömmliche Telefonanrufe zu ermöglichen.

Schwachstellen über Schwachstellen

Unter den diversen anderen Problemen waren die ungefragte Weitergabe von Daten an Facebook, das willkürliche Gruppieren von Nutzern mit demselben E-Mail-Dienst, die Umleitung mancher Konferenzen über Server in China und die Möglichkeit, Webadressen zu erraten, unter denen einige Aufzeichnungen von Zoom-Konferenzen gespeichert sind. Firmenchef Yuan kündigte an, in den nächstren drei Monaten statt der Einführung neuer Funktionen die Schwachstellen stopfen zu wollen.

Apple reagierte mit einem Zwangs-Update gegen Zoom-Software-Reste auf den Macs.
Foto: Zoom

Alarmsignale hatte es dabei schon im vergangenen Jahr gegeben. So stellte sich heraus, dass Zoom sich bei der Installation auf Apples Mac-Computern weitreichende Berechtigungen verschaffte, indem die Software einen heimlichen Webserver auf dem Gerät installierte. Schlimmer noch, er blieb auf dem Computer, selbst wenn man die Zoom-Software löschte. Apple sah sich gezwungen, den Zoom-Server mit einem Zwangs-Update von den Macs zu entfernen.

Videokonferenzanbieter fühlt sich überrannt

Zoom-Chef Yuan verspricht, das Vertrauen der Nutzer zurückzugewinnen und lässt durchblicken, dass er über die neue Massen-Popularität gar nicht so glücklich ist. "Hoffentlich können wir danach wieder zu Unternehmenskunden zurückkehren", sagte er dem "Wall Street Journal". Schließlich muss Zoom jetzt auch den Betrieb mit einer ausufernden kostenlosen Nutzung finanzieren, nachdem die Firma in der Krise die Beschränkungen für die Gratis-Version weitgehend aufhob.

Wer Zoom nicht nutzen möchte, steht nicht ohne Alternative da. Allerdings empfehlen deutsche Datenschützer nicht die Zoom-Konkurrenzdienste von Microsoft, Google, Facebook oder Apple, sondern setzen auf quelloffene Programme. Zu den populären offenen Videoanwendungen gehört BlueBigButton. Das Projekt wurde 2007 an der kanadischen Carleton University (Ottawa) mit dem Ziel gestartet, dass das Einrichten einer Videokonferenz so einfach sein soll wie das Drücken auf einen großen blauen Knopf. BlueBigButton steht nicht nur unter einer offenen Lizenz, sondern kann auch auf einem eigenen Server oder bei Dienstleistern wie Lern.Link in Deutschland betrieben werden.

Keine Bedenken haben die Datenschutzbeauftragten der Länder auch bei der offenen Lösung Jitsi Meet, die ihren Ursprung an der Universität Straßburg nahm. Das System, das unter anderem vom Chaos Computer Club verwendet wird, steht für Privatleute auf etlichen Servern wie https://meet.jit.si/ im Netz kostenfrei zur Verfügung. Professionelle Nutzer können Dienstleister wie den österreichischen Anbieter Fairmeeting beauftragen, der einen Betrieb auf Basis der Europäischen Datenschutz-Grundverordnung verspricht. (dpa/rs)