Zoom - Fluch oder Segen? - Karin Schuler
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Datenschutz Zoom – Fluch oder Segen? Cu A 7-8 |2020 Zoom – Fluch oder Segen? Videokonferenzsysteme Man muss nicht mehr begründen, warum alle Welt auf der Suche nach dem optimalen Videokonferenztool ist. Aber welches Tool erfüllt auch die Anforderungen an Sicherheit und Daten- schutz? Leider ist eine große Zahl von Publikationen bei der Beant- wortung weder hilfreich noch ehrlich. VO N K A R I N S C H U L E R W Darum geht es enn Fakten in irreführende Zu- prozess zu unterstützen. Interessant ist Zoom sammenhänge gebracht, Äpfel vor allem deswegen, weil man fast wie im mit Birnen verglichen und un- Zeitraffer studieren kann, was bei der Soft- 1. Videokonferenzen er- terschiedliche Maßstäbe ange- ware-Entwicklung und -bereitstellung alles freuen sich aktuell weiter- legt werden, misslingt eine objektive Bewer- schiefgehen kann – und dass Verbesserung hin großer Beliebtheit. tung der – nicht ganz einfachen – Sachver- möglich ist. halte. Auch angesehene Datenschützer und 2. Auch Gremien dürfen Datenschutzbehörden sind leider nicht vor Die Ausgangslage nach den Änderungen solch einseitigen Darstellungen gefeit. Das ist im BetrVG und BPersVG insoweit nachvollziehbar, als es eine einfache Bis April 2020 häuften sich Berichte über per Videokonferenz Antwort auf die Frage nach einem für alle An- Sicherheitslücken und fehlende Datenschutz- Beschlüsse fassen. wendungsszenarien gleichermaßen geeigneten standards. Eine Verbesserungsinitiative des Tool nicht geben kann. Unternehmens sollte den Befreiungsschlag 3. Aber welches Tool Sicherheit entsteht immer erst durch das bringen. Das für Nutzer sichtbarste Ergebnis ist sicher? Klare Empfeh- Analysieren der eigenen Anforderungen, die ist das Release einer neuen Version 5.0, die lungen gibt es leider Überlegungen zu möglichen Angriffsszenarien seit dem 1. Juni 2020 ausschließlich einge- nicht. und durch die Prüfung möglicher Gegen- oder setzt wird. Aber auch darüber hinaus gab es Schutzmaßnahmen. Ein Tool muss daher im- Änderungen, die mehr Transparenz und Da- mer auch in seinem konkreten Anwendungs tenschutzfreundlichkeit bewirken sollen (vgl. szenario betrachtet werden. Die Bewertung dazu den Beitrag auf S. 31: »Was ist neu in möglicher Risiken unterscheidet sich bereits Version 5.0?«). anhand erster Nutzungsüberlegungen: Will ich Die Popularität von Zoom – bis vor Kur- hauptsächlich Termine und Tagesordnungen zem noch trotz bekannter Mängel – liegt nicht absprechen oder ganze Betriebsratssitzungen zuletzt an der einfachen Bedienbarkeit, einer durchführen? Fürchte ich mehr die Indiskre- weitgehenden Unabhängigkeit von Hardware tion eines Dienstanbieters oder die meines und einer sehr guten Performance. Ist es also eigenen Arbeitgebers? unter Umständen vertretbar, das Tool nun zu So verständlich also der Wunsch nach nutzen? einer schlichten Empfehlungsliste ist, so un- möglich ist es, diesen seriös zu erfüllen. Da Wie funktioniert eine Videokonferenz? her wird auch am Ende dieses Beitrags keine Empfehlung ausgesprochen. Allerdings soll Stark vereinfacht ausgedrückt wird zwischen in Bezug auf das Tool Zoom die Faktenlage den Teilnehmenden einer Konferenz eine beleuchtet werden, um Ihren Entscheidungs- sternförmige Verbindung aufgebaut. Damit je- 26
CuA 7-8 |2020 Zoom – Fluch oder Segen? Datenschutz der mit jedem kommunizieren kann, verbindet technischen Komplexität eines solchen Fea man sich mit einem vermittelnden Server, der tures liegt. Außerdem entwickelt Zoom seine als zentrale Schaltstelle dient. Gehört einem Software ganz besonders in Hinblick auf sehr dieser vermittelnde Server selbst, hat man die große Teilnehmergruppen und Webinare. Eine volle Kontrolle darüber und muss »nur« noch E2E-Verschlüsselung für 500+ Teilnehmende darauf achten, dass die Wege zwischen Teil- dürfte nach derzeitigem Kenntnisstand bei nehmenden (bzw. deren Geräten) und dem gleichbleibender Performance sehr schwer zu zentralen Server vor unberechtigter Einsicht- realisieren sein. nahme geschützt werden. Dies geschieht üb Zumindest wird, und das muss man von licherweise durch eine Transportverschlüsse- einer Konferenzsoftware auch verlangen, eine lung. Transportverschlüsselung zwischen Teilneh- Etwas anders stellt sich die Situation dar, mergerät und zentralem Konferenzserver ein- wenn einem der zentrale Konferenzserver gesetzt. Der hierfür seit der aktuellen Version nicht selbst gehört. Man verlässt sich dann 5.0 (endlich) verwendete Algorithmus AES- auf einen Dienstleister, der diesen Server 256-Bit (für Interessierte: im Galois/Counter- und den darauf laufenden Konferenzdienst Mode) gilt nach derzeitigem Kenntnisstand betreibt. Dieser Betreiber wäre rein technisch als sicher. Damit sind die Daten von Teil in der Lage, auf die während einer Konferenz nehmenden jeweils zwischen ihrem eigenen fließenden Daten Zugriff zu nehmen. Endgerät und dem Zoom-Konferenzserver Diesem Risiko kann man entweder norma- verschlüsselt, wo sie entschlüsselt werden und tiv (durch Abschluss eines Vertrags, der dem für den Weitertransport zu den anderen Teil- Dienstleister den Zugriff verbietet; dazu un- nehmenden mit deren Schlüssel wieder ver- ten mehr) oder technisch durch eine E2E-Ver- schlüsselt werden. Man muss Zoom also ver- schlüsselung begegnen (siehe Infokasten). trauen, dass sie die Umschlüsselung nicht ver- wenden, um den Datenverkehr mitzulesen – so, Wie verschlüsselt Zoom? wie man jedem anderen Konferenz-Dienst anbieter vertrauen muss, der die technisch Zoom bietet (noch) keine E2E-Verschlüsselung schwierig umzusetzende E2E-Verschlüsselung an – wie übrigens die überwiegende Mehrheit nicht anbietet. verfügbarer Konferenzsoftware. Man kann ver- Darüber hinaus hat Zoom nun angekündigt, Leiharbeit muten, dass das zumindest teilweise an der an der Implementierung einer echten E2E-Ver- Ende-zu-Ende-Verschlüsselung Will man technisch ausschließen, dass der Konferenzsysteme, die diese echte E2E-Ver- Betreiber eines zentralen Kommunikations schlüsselung anbieten. servers Einblick in Konferenzdaten erhält, Zusätzlich geht der Einsatz von E2E-Verschlüs- muss eine Verschlüsselung etabliert werden, selung aus technischen Gründen meist mit die den gesamten Datenstrom zwischen je einer Einschränkung bestimmter Funktionen zwei Teilnehmenden unterbrechungsfrei ver- einher: Es sind dann weder Aufzeichnungen schlüsselt – eine sogenannte Ende-zu-Ende- möglich, noch kann die Kommunikation mit Verschlüsselung (E2E). Das ist keine triviale über eine Telefonleitung (Einwahl) zugeschal- Aufgabe, weil bei mehreren Teilnehmenden teten Teilnehmenden verschlüsselt werden. jede mit jedem verschlüsselt kommunizieren Damit der Betreiber des zentralen Konferenz- Ulber / Ulber möchte, also entsprechend viele Verbin servers selbst keine Konferenzdaten einsehen Arbeitnehmer- dungen verschlüsselt werden müssen. kann, darf die Hoheit über die Schlüssel der überlassungsgesetz Das Generieren und Verteilen von Schlüsseln E2E-Verschlüsselung nicht beim Betreiber lie- Basiskommentar zum AÜG für eine solche E2E-Verschlüsselung ist tech- gen, weil er die Verschlüsselung sonst im Ein- 3., neubearbeitete und aktualisierte Auflage nisch wesentlich aufwändiger, als wenn der zelfall rückgängig machen könnte. Daher stellt 2020. 629 Seiten, kartoniert zentrale Server »nur« die Wege zwischen sich die Schlüsselverwaltung eine wesentliche tech- € 45,90 ISBN 978-3-7663-6571-2 und allen Teilnehmenden (auf der Transport nische Herausforderung beim Einsatz einer ebene) verschlüsselt. Daher gibt es wenige E2E-Verschlüsselung dar. buchundmehr.de/6571 service@buchundmehr.de Info-Telefon: 069 / 95 20 53-0
Datenschutz Zoom – Fluch oder Segen? Cu A 7-8 |2020 Kritische Punkte schlüsselung zu arbeiten. Würde das fachge- Zu guter Letzt entstehen auch sogenannte recht gelingen, wäre das ein großer Fortschritt, Metadaten, also u. a. der Name des Meetings, den viele der Branchenriesen bis heute an- das geplante Datum und der geplante Zeit- Beim Einsatz von Zoom scheinend nicht einmal erwogen haben. raum sowie die tatsächliche Start- und Endzeit verzichtet man i. d. R. auf: (Dauer) und Identifizierungsdaten von Teil- • Einen selbst betriebe- Welche Daten werden von Zoom nehmenden. Aktiviert der Moderator die Auf- nen und administrierten erhoben? zeichnung, wird die gesamte Konferenz audio- zentralen Kommunika- visuell aufgezeichnet und in einer Datei ge tionsserver. Bei der Planung, Durchführung und Teil- speichert. • Auf Ende-zu-Ende- nahme an einer Zoom-Videokonferenz werden Verschlüsselung. verschiedene Arten von Daten erhoben. Will Wo werden die Daten gespeichert? • In der kostenlosen Ver- man selbst Videokonferenzen durchführen, sion: Auf eine Auswahl benötigt man ein kostenloses Benutzerkonto. Alle beschriebenen Daten werden auf Servern der Rechenzentrums Als nicht-zahlender Kunde muss man bei des- gespeichert, die Zoom in Rechenzentren welt- region. sen Anlage eine Mailadresse, einen Benutzer- weit betreibt. Das Hauptrechenzentrum befin- • Zoom ist ein amerika namen und ein Passwort angeben bzw. wäh det sich in den USA. nischer Anbieter, der len. Verwendet man die Bezahlversion von Welche der zentralen Konferenzserver im dem CLOUD Act unter- Zoom, werden zusätzlich Zahlungsinformatio- Einzelfall aktiv sind, hängt nicht zuletzt von liegt. nen (Konto, Kontoinhaber, Zahlungsmethode, den geografischen Regionen ab, aus denen • Das Privacy Shield Rechnungsadresse) erfasst. Einige Angaben, sich die an einer Konferenz Teilnehmenden als Garantie für das wie z. B. eine Telefonnummer, sind freiwillig. zuschalten. In der Bezahlversion besteht seit angemessene Daten- Die während einer Videokonferenz entste- der Version 5.0 die Möglichkeit, bestimmte schutzniveau ist eine henden Inhaltsdaten können naturgemäß vari- Weltregionen auszuschließen und zu erzwin- schwache Garantie. ieren, je nachdem, ob die Konferenz mitge- gen, dass beispielsweise nur europäische Re- schnitten wird, ob parallel gechattet wird oder chenzentren an der Durchführung von Kon Bildschirminhalte geteilt werden. Im Hinter- ferenzen beteiligt sind. Will man also ameri grund werden während einer Konferenz Da kanische, chinesische, indische und sonstige ten der Teilnehmergeräte zur Dienststeuerung außereuropäische Rechenzentren vermeiden, (»technische Daten«) erfasst. Dazu ge hören ist eine Lizenzierung der Bezahlversion erfor- insbesondere IP-Adresse, MAC-Adresse, eindeu derlich. Hat man diese gewählt, kann man sich tige ID von Apple-Geräten (UDID), Gerätetyp, als Lizenzadministrator auch während einer Betriebssystemtyp und -version, Client-Version, Konferenz auf einer Übersichtsseite (Dash- Kameratyp, Mikrofon oder Lautsprecher und board) anzeigen lassen und prüfen, über wel- die Art der Verbindung. Auch wird erfasst, ob che Wege und Rechenzentren Teilnehmende man sich über Telefon oder »Voice over IP« in zugeschaltet sind. eine Konferenz zugeschaltet hat, einen mobilen Wer sich allerdings mit seinem eigenen, Client (z. B. Smartphone) oder einen Desktop- kostenlosen Zoom-Client in die Konferenz Rechner nutzt. eines lizenzierten Veranstalters einwählt (statt Außerdem versucht Zoom die ungefähre den durch den Veranstalter per Link bereit geografische Position in Bezug auf die nächst- gestellten Zoom-Client zu nutzen), wird in je- gelegene Stadt zu ermitteln, um das Routing zu dem Fall über US-amerikanische Rechenzen optimieren (also das nächstgelegene Rechen tren verbunden – selbst wenn der Veranstalter zentrum zu finden) und die richtige Sprachein- nur europäische Rechenzentren ausgewählt stellung vorzuschlagen. Es wird keine Stand- hat. Ein unerwarteter und unschöner Effekt, ortverfolgung durchgeführt. denn so kann eine einzelne teilnehmende Per- Alle zu beeinflussenden Einstellungen wer- son die vermeintliche europäische Konferenz den erfasst, damit sie wunschgemäß umgesetzt kompromittieren. werden können. Dazu gehören beispielsweise Ausgenommen von der zentralen Speiche- die Aktivierung des Wartezimmers (Teilneh- rung aller anfallenden Daten ist die Erstellung mende werden vom Moderator einzeln kon von Aufzeichnungen. Hat der Moderator diese trolliert in den Konferenzraum »eingelassen«), eingeschaltet, kann er bestimmen, wo diese die Aktivierung der Aufzeichnung oder die gespeichert werden sollen, also auch lokal auf Sperrung der Bildschirmfreigabe für Teilneh- einem eigenen Speichermedium. Für die Er- mende. stellung von Aufzeichnungen ist der jeweilige 28
CuA 7-8 |2020 Zoom – Fluch oder Segen? Datenschutz Die Pflichten eines Verantwortlichen Lesetipp Neben den allgemeinen Pflichten (z. B. Eintrag Darüber hinaus immer: im Verzeichnis der Verarbeitungstätigkeiten, ·· Informationen gem. Art. 13 DSGVO bereit Für tiefergehende Meldepflichten bei Datenpannen usw.) gelten halten, um sie Teilnehmenden übergeben Betrachtungen empfeh- hinsichtlich des Veranstaltens von Videokon zu können (wie eine solche Information lenswert: Kompendium ferenzen die folgenden Pflichten. aussehen könnte, hat der Kollege Stephan Videokonferenzsysteme Sofern man den Konferenzserver nicht selbst Hansen-Oest öffentlich bereitgestellt) des Bundesamts für betreibt: www.datenschutz-guru.de/download/101800 Sicherheit in der Infor ·· Prüfung des Dienstleisters und des Diensts in ·· Mitteilen des Starts von Aufzeichnungen und mationstechnik unter Bezug auf datenschutzkonforme Nutzungs- den rechtskonformen Umgang damit www.bsi.bund.de/DE/ möglichkeit (Datenschutzerklärung prüfen; ·· Beantworten von Auskunftsersuchen ehe Themen/Cyber-Sicher weitere Quellen auswerten) maliger Teilnehmender heit/Empfehlungen/ ·· Abschluss eines Vertrags zur Auftrags ·· Nutzen der Sicherheitseinstellungen Videokonferenzsysteme/ verarbeitung ·· Rechtskonformer Umgang mit Daten aus videokonferenzsysteme_ Meetings inkl. Nutzungsberichte node.html Moderator im datenschutzrecht lichen Sinne Die Datenschutzrichtlinie von Zoom verantwortlich und muss dafür sorgen, die Ein- willigungen aller Teilnehmenden einzuholen. Die Datenschutzrichtlinie von Zoom1 wurde Er wird dabei durch tech nische Funktionen im Rahmen der erwähnten Verbesserungsini von Zoom (u. a. eine auto matisierte Pop-up- tiative grundlegend überarbeitet. Sie enthält Benachrichtigung) unterstützt. nun recht übersichtliche Erläuterungen zu den Eine Offenlegung von Daten an Dritte er- erhobenen Daten und deren Zwecken. Insbe- folgt nur im Rahmen der Konferenz selbst sondere kann ihr der Durchführende einer gegenüber anderen Teilnehmenden (Teilnah- Konferenz entnehmen, welche Informationen meliste, Videobild, Chatinhalte) und gegen- nach Art. 13 DSGVO er den Teilnehmenden über Dienstleistern, die auf der Grundlage von geben muss. Auftragsverarbeitungsverhältnissen für Zoom Deutlich verbesserungswürdig sind aller- tätig werden (z. B. Rechenzentrumsbetrieb, dings die Angaben zu den von Zoom beauf- Zahlungsdienstleister). Zoom sagt ausdrück- tragten Subunternehmern.2 Der Verantwort lich zu, Daten, die bei der Nutzung des Kon liche muss alle Empfänger der verarbeiteten ferenzdiensts entstehen, weder an Dritte zu personenbezogenen Daten benennen (Art. 13 verkaufen noch für Marketingzwecke zu ver- Abs. 1e) i. V. m. Art. 4 Nr. 9 DSGVO). Darun wenden. ter fallen auch Auftragsverarbeiter. Das kann dem Konferenzveranstalter nur gelingen, wenn Wer ist verantwortlich für Zoom seine Subunternehmer so offenlegt, dass Datenschutz? man erkennen kann, welche Auftragnehmer zu welchen Zwecken beauftragt werden und Für die Einhaltung datenschutzrechtlicher welche Verarbeitungen sie jeweils durchfüh- Pflichten ist immer der Verantwortliche im ren. Derzeit wird jedoch nicht deutlich, wel- Sinne der Datenschutz-Grundverordnung cher Auftragsverarbeiter welche Daten erhält, (DSGVO) zuständig. Zoom wird rechtlich im insbesondere ist nicht erkennbar, welche der Auftrag seiner Kund(inn)en (der Konferenz- Unterauftragsverarbeiter überhaupt mit dem veranstalter) tätig. Den Einladenden treffen Videokonferenzservice in Zusammenhang ste- damit alle datenschutzrechtlichen Pflichten in hen. Hier sollte unbedingt nachgebessert wer- Zusammenhang mit der Durchführung einer den. Konferenz. Das gilt wohlgemerkt immer, ob Zusätzlich gibt es ein Dokument, in dem in man den Konferenzserver nun selbst betreibt Anlehnung an die Anforderungen des Art. 13 oder nicht, und bei Zoom genauso wie z. B. DSGVO dargestellt wird, wie wesentliche Da- bei Skype/Teams, WebEx oder Jitsi Meet auf tenschutzanforderungen erfüllt werden. Hier fremden Instanzen. findet man beispielsweise den Namen der Da- 1 https://zoom.us/de-de/privacy.html 2 https://zoom.us/subprocessors 29
Datenschutz Zoom – Fluch oder Segen? Cu A 7-8 |2020 Was ist eine AVV? tenschutzbeauftragten. Eine Zusammenfüh- Was bedeutet das für die Anwendung? rung mit der Datenschutzrichtlinie wäre aus Gründen der Übersichtlichkeit sehr zu wün- Aus Sicherheits- und Datenschutzsicht besteht Eine Auftragsverarbei- schen. die beste Lösung darin, ein System einzuset- tung ist ein juristisches zen, dessen Server unter eigener Hoheit steht, Konstrukt, bei dem der Der Auftragsverarbeitungsvertrag (AVV) sodass die Konferenzdaten auf eigenen Sys Verantwortliche dem temen verarbeitet und gespeichert werden. Empfänger personen Sofern nicht nur die Software auf einem eige- Ist dies nicht möglich, lautet die zweitbeste bezogener Daten die Ver- nen Konferenzserver genutzt wird, sondern Lösung, einen Dienstleister zu beauftragen, arbeitungszwecke streng der zentrale Server von einem Dienstleister der mit seinem Konferenzsystem eine echte und ausschließlich vor- betrieben wird, handelt es sich datenschutz- E2E-Verschlüsselung anbietet. Da es derartige gibt. Der Auftragnehmer rechtlich um eine Datenverarbeitung im Auf- Systeme derzeit nicht eben zahlreich auf dem (der Dienstleister) ist an trag, die einen entsprechenden Vertrag (AVV) Markt gibt (und diese nicht notwendigerweise die Vorgaben des Auf- erforderlich macht. Dieser stellt sicher, dass gerade die eigenen Anforderungen z. B. an Per- traggebers (des Kunden) der Dienstleister Konferenzdaten seines Kun- formance und Ausfallsicherheit abdecken), strikt gebunden und darf den nicht einsieht und nicht auswertet, es sei kommt als drittbeste Lösung eine Anwendung keinerlei eigene Zwecke denn, er wird von seinem Kunden z. B. im in Betracht, bei der der Dienstleister zwar mit der Verarbeitung Rahmen einer Fehlersuche zur Unterstützung keine E2E-Verschlüsselung anbietet, aber alle dieser Daten verfolgen. aufgefordert. daraus erwachsenden datenschutzrechtlichen Dass man mit der Registrierung bei Zoom und sicherheitsrelevanten Anforderungen nach automatisch einen AVV abschließt, ist viel- vollziehbar und transparent erfüllt bzw. unter- leicht nicht allen bewusst. Das Unternehmen stützt. bedient sich nämlich einer etwas unübersicht- Ob man es bei der drittbesten Lösung für lichen Verweisstrategie. Bei der verpflichten- einen weiteren Vorteil hält, die Kommunika- den Registrierung muss man die Geltung der tion ausschließlich über europäische Rechen- Datenschutzrichtlinie und der Nutzungsbedin- zentren abzuwickeln, hängt davon ab, ob man gungen akzeptieren. Hinter den Links bei der dem Anbieter (zu)traut, die versprochenen Registrierung stehen englische Dokumente; Schutzmechanismen auch weltweit einzuhal- die deutschen Versionen muss man sich selbst ten und für wie relevant man den Einfluss und heraussuchen.3 In Ziffer 20 der Nutzungs eventuelle Druckentfaltung durch außereuro- bedingungen werden alle Dokumente unter päische Geheimdienste hält. Auch wenn eine »www.zoom.us/de-de/privacy-and-legal.html« rein europäische Kommunikationslösung for- zu Vertragsinhalten gemacht. Darunter findet mal (durch die Geltung der DSGVO) stärker sich dann auch der Vertrag zur Auftragsver geschützt erscheint: Angriffe durch Geheim- arbeitung gemäß Art. 28 DSGVO. dienste und Sicherheitsbehörden halten sich, Was die zusätzlich erforderliche Sicherstel- wie wir spätestens seit Edward Snowden wis- lung des angemessenen Datenschutzniveaus sen, höchstens an eigene nationale Gesetze, angeht (wegen der Verarbeitung außerhalb wenn überhaupt. Und rein technisch kann ein der EU), ist Zoom, wie andere Anbieter auch Angriff im Internet genauso gut auf europäi- (z. B. Microsoft Teams, GoToMeeting, Jitsi sche wie auf US-amerikanische Server zielen. Meet) durch den Privacy Shield zertifiziert. Sollte man sich nach Abwägung aller Dabei handelt es sich um eine unter Daten- Fakten entscheiden, Zoom einzusetzen, muss schützern sehr umstrittene Lösung, formalju- einem bewusst sein, über welche Hürden man, ristisch ist derzeit aber von einem ausreichen- trotz aller hoffnungsvollen Verbesserungen des den Datenschutzniveau für die zertifizierten Diensts in letzter Zeit, springen muss. Viele Daten auszugehen. Da Zooms Privacy-Shield- dieser Hürden gelten übrigens so oder ähnlich Zertifi zierung jedoch keine Beschäftigtenda- auch für andere populäre Videokonferenz ten umfasst, dürfen diese streng genommen anwendungen. v nicht auf außereuropäischen Zoom-Servern verarbeitet werden. Es bleibt also für diese Da- ten nur die Nutzung der Bezahlversion von Karin Schuler, Zoom mit der Möglichkeit, die ausschließliche Datenschutz & IT-Sicherheit, Netz Nutzung europäischer Rechenzentren zu er- werk Datenschutzexpertise, Bonn zwingen. buero@schuler-ds.de 3 https://zoom.us/de-de/terms.html und https://zoom.us/de-de/privacy.html 30
CuA 7-8 |2020 Was bringt Version 5.0? Datenschutz Was bringt Version 5.0? Zoom Die Videokonferenzsoftware hat sich in der Vergangenheit bei Datenschutz- und Sicherheitsthemen nicht gerade mit Ruhm bekleckert. Seither gab es viele Versprechungen und eine neue Version 5.0. Ist jetzt alles anders? VO N K A R I N S C H U L E R S pätestens Anfang April 2020 hat ·· Der sogenannte »Warteraum« einer Kon Darum geht es Zooms Chef Eric Yuan wohl begrif- ferenz war unsicher programmiert (man fen, dass er es mit der IT-Sicherheit konnte dort das Meeting verfolgen, ohne ein- »richtig verbockt« hat, wie er in einem gelassen worden zu sein). Der Fehler wurde 1. Zoom ist ein beliebter Interview mit dem Wall Street Journal ein- innerhalb einer Woche nach Meldung be Anbieter von Software für räumte. hoben, was für eine Software-Firma eine Videokonferenzen. Zu den öffentlich diskutierten Mängeln schnelle Reaktion darstellt. gehörten u. a.: 2. Etwa bis Mitte April ·· Lange behauptete das Unternehmen, eine Zoom hat mittlerweile eine Reihe von Sicher- 2020 häuften sich Be- Ende-zu-Ende-Verschlüsselung (E2E-Verschlüs- heitsfunktionen verbessert, die nun in der Ver- schwerden über Mängel selung) umzusetzen. Dies hat sich allerdings sion 5.0 verfügbar sind. Einige Aspekte sind bei Sicherheit und Daten- als Schönfärberei herausgestellt. darüber hinaus von den Nutzenden zu beach- schutz. ·· Durch Nutzung eines Programmteils von ten und umzusetzen. Facebook zur Erleichterung der Anmeldung 3. Zoom hat mittlerweile gab es unerwartete und unzulässige Daten- }} Registrierung & Anmeldung eine neue Version 5.0 im übermittlungen an Facebook. Einsatz, die viele Mängel ·· Es gab Probleme mit dem sogenannten Nur wer sich in Zoom registriert hat, kann behoben hat. Company Directory, wonach Zoom-Nut- Videokonferenzen veranstalten. Sowohl beim zende, deren Mailadresse auf die gleiche Registrierungsvorgang als auch bei den folgen- Domain lautete (z. B. @t-online.de, @gmx.de) den Anmeldungen ist Vorsicht geboten. Gleich sich plötzlich gegenseitig im Adressverzeich- bei der Registrierung wird versucht, einen zur nis wiederfanden. Eingabe von Daten Dritter zu animieren (»La- ·· Die Installationsroutine für Geräte mit den Sie Freunde ein!«). Das sollte man auf MacOS war unsicher. Es gab die theore jeden Fall unterlassen! Auch sollte die Anmel- tische Möglichkeit von Manipulationen bei dung bei Zoom immer direkt und mit eigens der Installation und des Kaperns der Ka- für Zoom reservierten Zugangsdaten erfolgen. mera. Eine Anmeldung über andere Dienste (Face- ·· Die Äußerungen des Unternehmens bezüg- book, Google) sollte vermieden werden, um die- lich des Umgangs mit Daten ihrer Kun sen Diensten keine Querprofile zu ermöglichen. d(inn)en waren bestenfalls missverständlich. Es klang so, als ob das Unternehmen sich }} Aufmerksamkeitstracking & Aufzeich vorbehielte, deren Daten zu verkaufen. nungen ·· Die Analyse des Windows-Clients durch den IT-Sicherheitspezialisten Thorsten Schröder Das Aufmerksamkeitstracking scheint Ge- ergab noch Mitte April 2020 erschreckende schichte zu sein. Dabei handelte es sich um Erkenntnisse in Bezug auf die Verwendung eine Funktion, mit deren Hilfe der Moderator veralteter, unsicherer Software-Bibliotheken sich anzeigen lassen konnte, wenn auf End und Angriffsmöglichkeiten durch schlampige geräten von Teilnehmenden mehr als 30 Sek. Programmierung. der Fokus nicht auf dem Zoom-Fenster lag 31
Datenschutz Was bringt Version 5.0? Cu A 7-8 |2020 Hintergrund Sicherheitsfunktionen nutzen ·· Pro Konferenz sollte ein neues Passwort ·· Nutzung des Warteraums, um Teilnehmende Angriffe wie das vergeben werden. nach und nach explizit durch den Moderator »Zoombombing«, also ·· Konferenzen sollten als geplante (scheduled) in den Konferenzraum zulassen zu können. die Übernahme einer Meetings veranstaltet werden, weil sie dann ·· Schließen des Meetingraums (lock), sobald Konferenz, indem man eine einmalige ID erhalten, die für Außen alle Teilnehmenden anwesend sind. Niemand die Konferenz-ID zu raten stehende schwerer zu erraten ist. sollte während der Konferenz Links (UNCs) versucht und dann den ·· Niemand sollte für Zoom Authentisierungs- versenden oder anklicken, weil diese z. B. Bildschirm übernimmt, paare (E-Mail-Adresse, Passwort) nutzen, zum Ausspähen des Windows-Passworts haben mediale Aufmerk- die auch in anderen Zusammenhängen zur missbraucht werden könnten. Hierbei samkeit auf die diversen Authentisierung genutzt werden, damit bei handelt es sich allerdings um ein Problem Schwächen von Zoom Sicherheitslücken keine weiteren Dienste »klickbarer Links«, nicht um ein Zoom- gelenkt. kompromittiert sind (allgemeine Regel). Problem. Tipp (weil jemand beispielsweise parallel E-Mails ende, die sich unerkannt in den Konferenz- beantwortete). raum geschlichen haben und im schlimmsten Sobald ein Moderator für eine Konferenz Fall sogar unbemerkt Mitschnitte herstellen. Aufzeichnungen sollten eine Aufzeichnung startet, werden alle Teil Ähnlich katastrophal ist es, wenn ein unbe- immer sehr zurückhal- nehmenden automatisch hierüber informiert, rechtigter Außenstehender eine Konferenz tend eingesetzt und der sodass man die Möglichkeit hat, die Konferenz »sprengen« kann – sei es durch offensichtliche Zweck allen Teilnehmen- zu verlassen. technische Übernahme der Sitzung oder durch den zuvor klar erläutert Kapern und Abbruch des Meetings. Zoom hat werden (siehe Info gem. }} Clients für Teilnehmende derartige Angriffe in der Vergangenheit und Art. 13 DSGVO). Wenn vor Entwicklung seiner Version 5.0 durch be- sie durchgeführt werden, Konferenz-Tools verfolgen unterschiedliche stimmte nachlässige Gestaltung seines Diensts sollte die resultierende Strategien, wie sich Teilnehmende in eine Kon- sehr leicht gemacht – auch wenn manche Datei unbedingt lokal und ferenz zuschalten können. Entweder wird ein Lücken letztlich erst durch fahrlässige Mode- geschützt vor unberech- eigener Software-Client oder eine App instal- ratoren richtig zum Tragen kamen, denen tigtem Zugriff abgelegt liert oder aufgerufen oder man kann mit dem schon die Vergabe eines Passworts für eine werden. Die festgelegte eigenen Browser an der Konferenz teilneh- Konferenz zu viel des Aufwands schien. Löschfrist muss einge men. Sichere Clients für PC und Handy kön- halten werden. nen immer nur so sicher sein, wie das Gerät Software-Entwicklung selbst. Da sind bei einem Handy schon »kons- truktionsbedingt« Grenzen gesetzt. Der Vorteil Zoom hat drei Tochterfirmen in China, die bei von eigenen Clients (im Gegensatz zum Brow- der Programmierung der Software involviert ser) besteht in der grundsätzlich besseren Kon- sind. Ob man Transparenzbemühungen von trollierbarkeit durch den Anbieter. Traut man Zoom Glauben schenken mag oder nicht, die dem Anbieter nicht und möchte die Software schlichte Begründung, alles was »mit China nicht installieren, bietet Zoom die Nutzung zu tun habe« sei unakzeptabel, scheint sehr des eigenen Browsers an. Dann allerdings kann kurz gesprungen. Zwar kann nicht ausge- sich dessen Grundeinstellung und Sicherheit schlossen werden, dass die chinesische Re auf die Sicherheit der Konferenz auswirken. gierung versucht, Einfluss auf Software-Ent- Sofern Teilnehmer über das Zoom-Webportal wickler zu nehmen, um Daten abzugreifen. teilnehmen möchten, sollte der Moderator für Nur können wir das Gleiche auch von den sie per Einstellung eine besonders sichere USA annehmen. v 2-Faktor-Authentisierung erzwingen. }} Vertraulichkeit & Einbruchsschutz Karin Schuler, Datenschutz & IT-Sicherheit, Netz Was man in einer Videokonferenz nicht gebrau- werk Datenschutzexpertise, Bonn chen kann, sind Mithörende und Mitschau- buero@schuler-ds.de 32
Sie können auch lesen