Zoom - Fluch oder Segen? - Karin Schuler
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Datenschutz Zoom – Fluch oder Segen? Cu A 7-8 |2020
Zoom – Fluch oder
Segen?
Videokonferenzsysteme Man muss nicht mehr begründen, warum alle
Welt auf der Suche nach dem optimalen Videokonferenztool ist. Aber
welches Tool erfüllt auch die Anforderungen an Sicherheit und Daten-
schutz? Leider ist eine große Zahl von Publikationen bei der Beant-
wortung weder hilfreich noch ehrlich.
VO N K A R I N S C H U L E R
W
Darum geht es enn Fakten in irreführende Zu- prozess zu unterstützen. Interessant ist Zoom
sammenhänge gebracht, Äpfel vor allem deswegen, weil man fast wie im
mit Birnen verglichen und un- Zeitraffer studieren kann, was bei der Soft-
1. Videokonferenzen er- terschiedliche Maßstäbe ange- ware-Entwicklung und -bereitstellung alles
freuen sich aktuell weiter- legt werden, misslingt eine objektive Bewer- schiefgehen kann – und dass Verbesserung
hin großer Beliebtheit. tung der – nicht ganz einfachen – Sachver- möglich ist.
halte. Auch angesehene Datenschützer und
2. Auch Gremien dürfen Datenschutzbehörden sind leider nicht vor Die Ausgangslage
nach den Änderungen solch einseitigen Darstellungen gefeit. Das ist
im BetrVG und BPersVG insoweit nachvollziehbar, als es eine einfache Bis April 2020 häuften sich Berichte über
per Videokonferenz Antwort auf die Frage nach einem für alle An- Sicherheitslücken und fehlende Datenschutz-
Beschlüsse fassen. wendungsszenarien gleichermaßen geeigneten standards. Eine Verbesserungsinitiative des
Tool nicht geben kann. Unternehmens sollte den Befreiungsschlag
3. Aber welches Tool Sicherheit entsteht immer erst durch das bringen. Das für Nutzer sichtbarste Ergebnis
ist sicher? Klare Empfeh- Analysieren der eigenen Anforderungen, die ist das Release einer neuen Version 5.0, die
lungen gibt es leider Überlegungen zu möglichen Angriffsszenarien seit dem 1. Juni 2020 ausschließlich einge-
nicht. und durch die Prüfung möglicher Gegen- oder setzt wird. Aber auch darüber hinaus gab es
Schutzmaßnahmen. Ein Tool muss daher im- Änderungen, die mehr Transparenz und Da-
mer auch in seinem konkreten Anwendungs tenschutzfreundlichkeit bewirken sollen (vgl.
szenario betrachtet werden. Die Bewertung dazu den Beitrag auf S. 31: »Was ist neu in
möglicher Risiken unterscheidet sich bereits Version 5.0?«).
anhand erster Nutzungsüberlegungen: Will ich Die Popularität von Zoom – bis vor Kur-
hauptsächlich Termine und Tagesordnungen zem noch trotz bekannter Mängel – liegt nicht
absprechen oder ganze Betriebsratssitzungen zuletzt an der einfachen Bedienbarkeit, einer
durchführen? Fürchte ich mehr die Indiskre- weitgehenden Unabhängigkeit von Hardware
tion eines Dienstanbieters oder die meines und einer sehr guten Performance. Ist es also
eigenen Arbeitgebers? unter Umständen vertretbar, das Tool nun zu
So verständlich also der Wunsch nach nutzen?
einer schlichten Empfehlungsliste ist, so un-
möglich ist es, diesen seriös zu erfüllen. Da Wie funktioniert eine Videokonferenz?
her wird auch am Ende dieses Beitrags keine
Empfehlung ausgesprochen. Allerdings soll Stark vereinfacht ausgedrückt wird zwischen
in Bezug auf das Tool Zoom die Faktenlage den Teilnehmenden einer Konferenz eine
beleuchtet werden, um Ihren Entscheidungs- sternförmige Verbindung aufgebaut. Damit je-
26CuA 7-8 |2020 Zoom – Fluch oder Segen? Datenschutz
der mit jedem kommunizieren kann, verbindet technischen Komplexität eines solchen Fea
man sich mit einem vermittelnden Server, der tures liegt. Außerdem entwickelt Zoom seine
als zentrale Schaltstelle dient. Gehört einem Software ganz besonders in Hinblick auf sehr
dieser vermittelnde Server selbst, hat man die große Teilnehmergruppen und Webinare. Eine
volle Kontrolle darüber und muss »nur« noch E2E-Verschlüsselung für 500+ Teilnehmende
darauf achten, dass die Wege zwischen Teil- dürfte nach derzeitigem Kenntnisstand bei
nehmenden (bzw. deren Geräten) und dem gleichbleibender Performance sehr schwer zu
zentralen Server vor unberechtigter Einsicht- realisieren sein.
nahme geschützt werden. Dies geschieht üb Zumindest wird, und das muss man von
licherweise durch eine Transportverschlüsse- einer Konferenzsoftware auch verlangen, eine
lung. Transportverschlüsselung zwischen Teilneh-
Etwas anders stellt sich die Situation dar, mergerät und zentralem Konferenzserver ein-
wenn einem der zentrale Konferenzserver gesetzt. Der hierfür seit der aktuellen Version
nicht selbst gehört. Man verlässt sich dann 5.0 (endlich) verwendete Algorithmus AES-
auf einen Dienstleister, der diesen Server 256-Bit (für Interessierte: im Galois/Counter-
und den darauf laufenden Konferenzdienst Mode) gilt nach derzeitigem Kenntnisstand
betreibt. Dieser Betreiber wäre rein technisch als sicher. Damit sind die Daten von Teil
in der Lage, auf die während einer Konferenz nehmenden jeweils zwischen ihrem eigenen
fließenden Daten Zugriff zu nehmen. Endgerät und dem Zoom-Konferenzserver
Diesem Risiko kann man entweder norma- verschlüsselt, wo sie entschlüsselt werden und
tiv (durch Abschluss eines Vertrags, der dem für den Weitertransport zu den anderen Teil-
Dienstleister den Zugriff verbietet; dazu un- nehmenden mit deren Schlüssel wieder ver-
ten mehr) oder technisch durch eine E2E-Ver- schlüsselt werden. Man muss Zoom also ver-
schlüsselung begegnen (siehe Infokasten). trauen, dass sie die Umschlüsselung nicht ver-
wenden, um den Datenverkehr mitzulesen – so,
Wie verschlüsselt Zoom? wie man jedem anderen Konferenz-Dienst
anbieter vertrauen muss, der die technisch
Zoom bietet (noch) keine E2E-Verschlüsselung schwierig umzusetzende E2E-Verschlüsselung
an – wie übrigens die überwiegende Mehrheit nicht anbietet.
verfügbarer Konferenzsoftware. Man kann ver- Darüber hinaus hat Zoom nun angekündigt, Leiharbeit
muten, dass das zumindest teilweise an der an der Implementierung einer echten E2E-Ver-
Ende-zu-Ende-Verschlüsselung
Will man technisch ausschließen, dass der Konferenzsysteme, die diese echte E2E-Ver-
Betreiber eines zentralen Kommunikations schlüsselung anbieten.
servers Einblick in Konferenzdaten erhält, Zusätzlich geht der Einsatz von E2E-Verschlüs-
muss eine Verschlüsselung etabliert werden, selung aus technischen Gründen meist mit
die den gesamten Datenstrom zwischen je einer Einschränkung bestimmter Funktionen
zwei Teilnehmenden unterbrechungsfrei ver- einher: Es sind dann weder Aufzeichnungen
schlüsselt – eine sogenannte Ende-zu-Ende- möglich, noch kann die Kommunikation mit
Verschlüsselung (E2E). Das ist keine triviale über eine Telefonleitung (Einwahl) zugeschal-
Aufgabe, weil bei mehreren Teilnehmenden teten Teilnehmenden verschlüsselt werden.
jede mit jedem verschlüsselt kommunizieren Damit der Betreiber des zentralen Konferenz- Ulber / Ulber
möchte, also entsprechend viele Verbin servers selbst keine Konferenzdaten einsehen Arbeitnehmer-
dungen verschlüsselt werden müssen. kann, darf die Hoheit über die Schlüssel der überlassungsgesetz
Das Generieren und Verteilen von Schlüsseln E2E-Verschlüsselung nicht beim Betreiber lie- Basiskommentar zum AÜG
für eine solche E2E-Verschlüsselung ist tech- gen, weil er die Verschlüsselung sonst im Ein- 3., neubearbeitete
und aktualisierte Auflage
nisch wesentlich aufwändiger, als wenn der zelfall rückgängig machen könnte. Daher stellt 2020. 629 Seiten, kartoniert
zentrale Server »nur« die Wege zwischen sich die Schlüsselverwaltung eine wesentliche tech- € 45,90
ISBN 978-3-7663-6571-2
und allen Teilnehmenden (auf der Transport nische Herausforderung beim Einsatz einer
ebene) verschlüsselt. Daher gibt es wenige E2E-Verschlüsselung dar.
buchundmehr.de/6571
service@buchundmehr.de
Info-Telefon: 069 / 95 20 53-0Datenschutz Zoom – Fluch oder Segen? Cu A 7-8 |2020
Kritische Punkte schlüsselung zu arbeiten. Würde das fachge- Zu guter Letzt entstehen auch sogenannte
recht gelingen, wäre das ein großer Fortschritt, Metadaten, also u. a. der Name des Meetings,
den viele der Branchenriesen bis heute an- das geplante Datum und der geplante Zeit-
Beim Einsatz von Zoom scheinend nicht einmal erwogen haben. raum sowie die tatsächliche Start- und Endzeit
verzichtet man i. d. R. auf: (Dauer) und Identifizierungsdaten von Teil-
• Einen selbst betriebe- Welche Daten werden von Zoom nehmenden. Aktiviert der Moderator die Auf-
nen und administrierten erhoben? zeichnung, wird die gesamte Konferenz audio-
zentralen Kommunika- visuell aufgezeichnet und in einer Datei ge
tionsserver. Bei der Planung, Durchführung und Teil- speichert.
• Auf Ende-zu-Ende- nahme an einer Zoom-Videokonferenz werden
Verschlüsselung. verschiedene Arten von Daten erhoben. Will Wo werden die Daten gespeichert?
• In der kostenlosen Ver- man selbst Videokonferenzen durchführen,
sion: Auf eine Auswahl benötigt man ein kostenloses Benutzerkonto. Alle beschriebenen Daten werden auf Servern
der Rechenzentrums Als nicht-zahlender Kunde muss man bei des- gespeichert, die Zoom in Rechenzentren welt-
region. sen Anlage eine Mailadresse, einen Benutzer- weit betreibt. Das Hauptrechenzentrum befin-
• Zoom ist ein amerika namen und ein Passwort angeben bzw. wäh det sich in den USA.
nischer Anbieter, der len. Verwendet man die Bezahlversion von Welche der zentralen Konferenzserver im
dem CLOUD Act unter- Zoom, werden zusätzlich Zahlungsinformatio- Einzelfall aktiv sind, hängt nicht zuletzt von
liegt. nen (Konto, Kontoinhaber, Zahlungsmethode, den geografischen Regionen ab, aus denen
• Das Privacy Shield Rechnungsadresse) erfasst. Einige Angaben, sich die an einer Konferenz Teilnehmenden
als Garantie für das wie z. B. eine Telefonnummer, sind freiwillig. zuschalten. In der Bezahlversion besteht seit
angemessene Daten- Die während einer Videokonferenz entste- der Version 5.0 die Möglichkeit, bestimmte
schutzniveau ist eine henden Inhaltsdaten können naturgemäß vari- Weltregionen auszuschließen und zu erzwin-
schwache Garantie. ieren, je nachdem, ob die Konferenz mitge- gen, dass beispielsweise nur europäische Re-
schnitten wird, ob parallel gechattet wird oder chenzentren an der Durchführung von Kon
Bildschirminhalte geteilt werden. Im Hinter- ferenzen beteiligt sind. Will man also ameri
grund werden während einer Konferenz Da kanische, chinesische, indische und sonstige
ten der Teilnehmergeräte zur Dienststeuerung außereuropäische Rechenzentren vermeiden,
(»technische Daten«) erfasst. Dazu ge hören ist eine Lizenzierung der Bezahlversion erfor-
insbesondere IP-Adresse, MAC-Adresse, eindeu derlich. Hat man diese gewählt, kann man sich
tige ID von Apple-Geräten (UDID), Gerätetyp, als Lizenzadministrator auch während einer
Betriebssystemtyp und -version, Client-Version, Konferenz auf einer Übersichtsseite (Dash-
Kameratyp, Mikrofon oder Lautsprecher und board) anzeigen lassen und prüfen, über wel-
die Art der Verbindung. Auch wird erfasst, ob che Wege und Rechenzentren Teilnehmende
man sich über Telefon oder »Voice over IP« in zugeschaltet sind.
eine Konferenz zugeschaltet hat, einen mobilen Wer sich allerdings mit seinem eigenen,
Client (z. B. Smartphone) oder einen Desktop- kostenlosen Zoom-Client in die Konferenz
Rechner nutzt. eines lizenzierten Veranstalters einwählt (statt
Außerdem versucht Zoom die ungefähre den durch den Veranstalter per Link bereit
geografische Position in Bezug auf die nächst- gestellten Zoom-Client zu nutzen), wird in je-
gelegene Stadt zu ermitteln, um das Routing zu dem Fall über US-amerikanische Rechenzen
optimieren (also das nächstgelegene Rechen tren verbunden – selbst wenn der Veranstalter
zentrum zu finden) und die richtige Sprachein- nur europäische Rechenzentren ausgewählt
stellung vorzuschlagen. Es wird keine Stand- hat. Ein unerwarteter und unschöner Effekt,
ortverfolgung durchgeführt. denn so kann eine einzelne teilnehmende Per-
Alle zu beeinflussenden Einstellungen wer- son die vermeintliche europäische Konferenz
den erfasst, damit sie wunschgemäß umgesetzt kompromittieren.
werden können. Dazu gehören beispielsweise Ausgenommen von der zentralen Speiche-
die Aktivierung des Wartezimmers (Teilneh- rung aller anfallenden Daten ist die Erstellung
mende werden vom Moderator einzeln kon von Aufzeichnungen. Hat der Moderator diese
trolliert in den Konferenzraum »eingelassen«), eingeschaltet, kann er bestimmen, wo diese
die Aktivierung der Aufzeichnung oder die gespeichert werden sollen, also auch lokal auf
Sperrung der Bildschirmfreigabe für Teilneh- einem eigenen Speichermedium. Für die Er-
mende. stellung von Aufzeichnungen ist der jeweilige
28CuA 7-8 |2020 Zoom – Fluch oder Segen? Datenschutz
Die Pflichten eines Verantwortlichen Lesetipp
Neben den allgemeinen Pflichten (z. B. Eintrag Darüber hinaus immer:
im Verzeichnis der Verarbeitungstätigkeiten, ·· Informationen gem. Art. 13 DSGVO bereit Für tiefergehende
Meldepflichten bei Datenpannen usw.) gelten halten, um sie Teilnehmenden übergeben Betrachtungen empfeh-
hinsichtlich des Veranstaltens von Videokon zu können (wie eine solche Information lenswert: Kompendium
ferenzen die folgenden Pflichten. aussehen könnte, hat der Kollege Stephan Videokonferenzsysteme
Sofern man den Konferenzserver nicht selbst Hansen-Oest öffentlich bereitgestellt) des Bundesamts für
betreibt: www.datenschutz-guru.de/download/101800 Sicherheit in der Infor
·· Prüfung des Dienstleisters und des Diensts in ·· Mitteilen des Starts von Aufzeichnungen und mationstechnik unter
Bezug auf datenschutzkonforme Nutzungs- den rechtskonformen Umgang damit www.bsi.bund.de/DE/
möglichkeit (Datenschutzerklärung prüfen; ·· Beantworten von Auskunftsersuchen ehe Themen/Cyber-Sicher
weitere Quellen auswerten) maliger Teilnehmender heit/Empfehlungen/
·· Abschluss eines Vertrags zur Auftrags ·· Nutzen der Sicherheitseinstellungen Videokonferenzsysteme/
verarbeitung ·· Rechtskonformer Umgang mit Daten aus videokonferenzsysteme_
Meetings inkl. Nutzungsberichte node.html
Moderator im datenschutzrecht lichen Sinne Die Datenschutzrichtlinie von Zoom
verantwortlich und muss dafür sorgen, die Ein-
willigungen aller Teilnehmenden einzuholen. Die Datenschutzrichtlinie von Zoom1 wurde
Er wird dabei durch tech nische Funktionen im Rahmen der erwähnten Verbesserungsini
von Zoom (u. a. eine auto matisierte Pop-up- tiative grundlegend überarbeitet. Sie enthält
Benachrichtigung) unterstützt. nun recht übersichtliche Erläuterungen zu den
Eine Offenlegung von Daten an Dritte er- erhobenen Daten und deren Zwecken. Insbe-
folgt nur im Rahmen der Konferenz selbst sondere kann ihr der Durchführende einer
gegenüber anderen Teilnehmenden (Teilnah-
Konferenz entnehmen, welche Informationen
meliste, Videobild, Chatinhalte) und gegen- nach Art. 13 DSGVO er den Teilnehmenden
über Dienstleistern, die auf der Grundlage von geben muss.
Auftragsverarbeitungsverhältnissen für Zoom Deutlich verbesserungswürdig sind aller-
tätig werden (z. B. Rechenzentrumsbetrieb, dings die Angaben zu den von Zoom beauf-
Zahlungsdienstleister). Zoom sagt ausdrück- tragten Subunternehmern.2 Der Verantwort
lich zu, Daten, die bei der Nutzung des Kon liche muss alle Empfänger der verarbeiteten
ferenzdiensts entstehen, weder an Dritte zu personenbezogenen Daten benennen (Art. 13
verkaufen noch für Marketingzwecke zu ver- Abs. 1e) i. V. m. Art. 4 Nr. 9 DSGVO). Darun
wenden. ter fallen auch Auftragsverarbeiter. Das kann
dem Konferenzveranstalter nur gelingen, wenn
Wer ist verantwortlich für Zoom seine Subunternehmer so offenlegt, dass
Datenschutz? man erkennen kann, welche Auftragnehmer
zu welchen Zwecken beauftragt werden und
Für die Einhaltung datenschutzrechtlicher welche Verarbeitungen sie jeweils durchfüh-
Pflichten ist immer der Verantwortliche im ren. Derzeit wird jedoch nicht deutlich, wel-
Sinne der Datenschutz-Grundverordnung cher Auftragsverarbeiter welche Daten erhält,
(DSGVO) zuständig. Zoom wird rechtlich im insbesondere ist nicht erkennbar, welche der
Auftrag seiner Kund(inn)en (der Konferenz- Unterauftragsverarbeiter überhaupt mit dem
veranstalter) tätig. Den Einladenden treffen Videokonferenzservice in Zusammenhang ste-
damit alle datenschutzrechtlichen Pflichten in hen. Hier sollte unbedingt nachgebessert wer-
Zusammenhang mit der Durchführung einer den.
Konferenz. Das gilt wohlgemerkt immer, ob Zusätzlich gibt es ein Dokument, in dem in
man den Konferenzserver nun selbst betreibt Anlehnung an die Anforderungen des Art. 13
oder nicht, und bei Zoom genauso wie z. B. DSGVO dargestellt wird, wie wesentliche Da-
bei Skype/Teams, WebEx oder Jitsi Meet auf tenschutzanforderungen erfüllt werden. Hier
fremden Instanzen. findet man beispielsweise den Namen der Da-
1 https://zoom.us/de-de/privacy.html 2 https://zoom.us/subprocessors
29Datenschutz Zoom – Fluch oder Segen? Cu A 7-8 |2020
Was ist eine AVV? tenschutzbeauftragten. Eine Zusammenfüh- Was bedeutet das für die Anwendung?
rung mit der Datenschutzrichtlinie wäre aus
Gründen der Übersichtlichkeit sehr zu wün- Aus Sicherheits- und Datenschutzsicht besteht
Eine Auftragsverarbei- schen. die beste Lösung darin, ein System einzuset-
tung ist ein juristisches zen, dessen Server unter eigener Hoheit steht,
Konstrukt, bei dem der Der Auftragsverarbeitungsvertrag (AVV) sodass die Konferenzdaten auf eigenen Sys
Verantwortliche dem temen verarbeitet und gespeichert werden.
Empfänger personen Sofern nicht nur die Software auf einem eige- Ist dies nicht möglich, lautet die zweitbeste
bezogener Daten die Ver- nen Konferenzserver genutzt wird, sondern Lösung, einen Dienstleister zu beauftragen,
arbeitungszwecke streng der zentrale Server von einem Dienstleister der mit seinem Konferenzsystem eine echte
und ausschließlich vor- betrieben wird, handelt es sich datenschutz-
E2E-Verschlüsselung anbietet. Da es derartige
gibt. Der Auftragnehmer rechtlich um eine Datenverarbeitung im Auf- Systeme derzeit nicht eben zahlreich auf dem
(der Dienstleister) ist an trag, die einen entsprechenden Vertrag (AVV) Markt gibt (und diese nicht notwendigerweise
die Vorgaben des Auf- erforderlich macht. Dieser stellt sicher, dass gerade die eigenen Anforderungen z. B. an Per-
traggebers (des Kunden) der Dienstleister Konferenzdaten seines Kun- formance und Ausfallsicherheit abdecken),
strikt gebunden und darf den nicht einsieht und nicht auswertet, es sei kommt als drittbeste Lösung eine Anwendung
keinerlei eigene Zwecke denn, er wird von seinem Kunden z. B. im in Betracht, bei der der Dienstleister zwar
mit der Verarbeitung Rahmen einer Fehlersuche zur Unterstützung keine E2E-Verschlüsselung anbietet, aber alle
dieser Daten verfolgen. aufgefordert. daraus erwachsenden datenschutzrechtlichen
Dass man mit der Registrierung bei Zoom und sicherheitsrelevanten Anforderungen nach
automatisch einen AVV abschließt, ist viel- vollziehbar und transparent erfüllt bzw. unter-
leicht nicht allen bewusst. Das Unternehmen stützt.
bedient sich nämlich einer etwas unübersicht- Ob man es bei der drittbesten Lösung für
lichen Verweisstrategie. Bei der verpflichten- einen weiteren Vorteil hält, die Kommunika-
den Registrierung muss man die Geltung der tion ausschließlich über europäische Rechen-
Datenschutzrichtlinie und der Nutzungsbedin- zentren abzuwickeln, hängt davon ab, ob man
gungen akzeptieren. Hinter den Links bei der dem Anbieter (zu)traut, die versprochenen
Registrierung stehen englische Dokumente; Schutzmechanismen auch weltweit einzuhal-
die deutschen Versionen muss man sich selbst ten und für wie relevant man den Einfluss und
heraussuchen.3 In Ziffer 20 der Nutzungs eventuelle Druckentfaltung durch außereuro-
bedingungen werden alle Dokumente unter päische Geheimdienste hält. Auch wenn eine
»www.zoom.us/de-de/privacy-and-legal.html« rein europäische Kommunikationslösung for-
zu Vertragsinhalten gemacht. Darunter findet mal (durch die Geltung der DSGVO) stärker
sich dann auch der Vertrag zur Auftragsver geschützt erscheint: Angriffe durch Geheim-
arbeitung gemäß Art. 28 DSGVO. dienste und Sicherheitsbehörden halten sich,
Was die zusätzlich erforderliche Sicherstel- wie wir spätestens seit Edward Snowden wis-
lung des angemessenen Datenschutzniveaus sen, höchstens an eigene nationale Gesetze,
angeht (wegen der Verarbeitung außerhalb wenn überhaupt. Und rein technisch kann ein
der EU), ist Zoom, wie andere Anbieter auch Angriff im Internet genauso gut auf europäi-
(z. B. Microsoft Teams, GoToMeeting, Jitsi sche wie auf US-amerikanische Server zielen.
Meet) durch den Privacy Shield zertifiziert. Sollte man sich nach Abwägung aller
Dabei handelt es sich um eine unter Daten- Fakten entscheiden, Zoom einzusetzen, muss
schützern sehr umstrittene Lösung, formalju- einem bewusst sein, über welche Hürden man,
ristisch ist derzeit aber von einem ausreichen- trotz aller hoffnungsvollen Verbesserungen des
den Datenschutzniveau für die zertifizierten Diensts in letzter Zeit, springen muss. Viele
Daten auszugehen. Da Zooms Privacy-Shield- dieser Hürden gelten übrigens so oder ähnlich
Zertifi
zierung jedoch keine Beschäftigtenda- auch für andere populäre Videokonferenz
ten umfasst, dürfen diese streng genommen anwendungen. v
nicht auf außereuropäischen Zoom-Servern
verarbeitet werden. Es bleibt also für diese Da-
ten nur die Nutzung der Bezahlversion von Karin Schuler,
Zoom mit der Möglichkeit, die ausschließliche Datenschutz & IT-Sicherheit, Netz
Nutzung europäischer Rechenzentren zu er- werk Datenschutzexpertise, Bonn
zwingen. buero@schuler-ds.de
3 https://zoom.us/de-de/terms.html und
https://zoom.us/de-de/privacy.html
30CuA 7-8 |2020 Was bringt Version 5.0? Datenschutz
Was bringt Version 5.0?
Zoom Die Videokonferenzsoftware hat sich in der Vergangenheit bei
Datenschutz- und Sicherheitsthemen nicht gerade mit Ruhm bekleckert.
Seither gab es viele Versprechungen und eine neue Version 5.0. Ist
jetzt alles anders?
VO N K A R I N S C H U L E R
S
pätestens Anfang April 2020 hat ·· Der sogenannte »Warteraum« einer Kon Darum geht es
Zooms Chef Eric Yuan wohl begrif- ferenz war unsicher programmiert (man
fen, dass er es mit der IT-Sicherheit konnte dort das Meeting verfolgen, ohne ein-
»richtig verbockt« hat, wie er in einem gelassen worden zu sein). Der Fehler wurde 1. Zoom ist ein beliebter
Interview mit dem Wall Street Journal ein- innerhalb einer Woche nach Meldung be Anbieter von Software für
räumte. hoben, was für eine Software-Firma eine Videokonferenzen.
Zu den öffentlich diskutierten Mängeln schnelle Reaktion darstellt.
gehörten u. a.: 2. Etwa bis Mitte April
·· Lange behauptete das Unternehmen, eine Zoom hat mittlerweile eine Reihe von Sicher- 2020 häuften sich Be-
Ende-zu-Ende-Verschlüsselung (E2E-Verschlüs- heitsfunktionen verbessert, die nun in der Ver- schwerden über Mängel
selung) umzusetzen. Dies hat sich allerdings sion 5.0 verfügbar sind. Einige Aspekte sind bei Sicherheit und Daten-
als Schönfärberei herausgestellt. darüber hinaus von den Nutzenden zu beach- schutz.
·· Durch Nutzung eines Programmteils von ten und umzusetzen.
Facebook zur Erleichterung der Anmeldung 3. Zoom hat mittlerweile
gab es unerwartete und unzulässige Daten- }} Registrierung & Anmeldung eine neue Version 5.0 im
übermittlungen an Facebook. Einsatz, die viele Mängel
·· Es gab Probleme mit dem sogenannten Nur wer sich in Zoom registriert hat, kann behoben hat.
Company Directory, wonach Zoom-Nut- Videokonferenzen veranstalten. Sowohl beim
zende, deren Mailadresse auf die gleiche Registrierungsvorgang als auch bei den folgen-
Domain lautete (z. B. @t-online.de, @gmx.de) den Anmeldungen ist Vorsicht geboten. Gleich
sich plötzlich gegenseitig im Adressverzeich- bei der Registrierung wird versucht, einen zur
nis wiederfanden. Eingabe von Daten Dritter zu animieren (»La-
·· Die Installationsroutine für Geräte mit den Sie Freunde ein!«). Das sollte man auf
MacOS war unsicher. Es gab die theore
jeden Fall unterlassen! Auch sollte die Anmel-
tische Möglichkeit von Manipulationen bei dung bei Zoom immer direkt und mit eigens
der Installation und des Kaperns der Ka- für Zoom reservierten Zugangsdaten erfolgen.
mera. Eine Anmeldung über andere Dienste (Face-
·· Die Äußerungen des Unternehmens bezüg- book, Google) sollte vermieden werden, um die-
lich des Umgangs mit Daten ihrer Kun sen Diensten keine Querprofile zu ermöglichen.
d(inn)en waren bestenfalls missverständlich.
Es klang so, als ob das Unternehmen sich }} Aufmerksamkeitstracking & Aufzeich
vorbehielte, deren Daten zu verkaufen. nungen
·· Die Analyse des Windows-Clients durch den
IT-Sicherheitspezialisten Thorsten Schröder Das Aufmerksamkeitstracking scheint Ge-
ergab noch Mitte April 2020 erschreckende schichte zu sein. Dabei handelte es sich um
Erkenntnisse in Bezug auf die Verwendung eine Funktion, mit deren Hilfe der Moderator
veralteter, unsicherer Software-Bibliotheken sich anzeigen lassen konnte, wenn auf End
und Angriffsmöglichkeiten durch schlampige geräten von Teilnehmenden mehr als 30 Sek.
Programmierung. der Fokus nicht auf dem Zoom-Fenster lag
31Datenschutz Was bringt Version 5.0? Cu A 7-8 |2020
Hintergrund Sicherheitsfunktionen nutzen
·· Pro Konferenz sollte ein neues Passwort ·· Nutzung des Warteraums, um Teilnehmende
Angriffe wie das vergeben werden. nach und nach explizit durch den Moderator
»Zoombombing«, also ·· Konferenzen sollten als geplante (scheduled) in den Konferenzraum zulassen zu können.
die Übernahme einer Meetings veranstaltet werden, weil sie dann ·· Schließen des Meetingraums (lock), sobald
Konferenz, indem man eine einmalige ID erhalten, die für Außen alle Teilnehmenden anwesend sind. Niemand
die Konferenz-ID zu raten stehende schwerer zu erraten ist. sollte während der Konferenz Links (UNCs)
versucht und dann den ·· Niemand sollte für Zoom Authentisierungs- versenden oder anklicken, weil diese z. B.
Bildschirm übernimmt, paare (E-Mail-Adresse, Passwort) nutzen, zum Ausspähen des Windows-Passworts
haben mediale Aufmerk- die auch in anderen Zusammenhängen zur missbraucht werden könnten. Hierbei
samkeit auf die diversen Authentisierung genutzt werden, damit bei handelt es sich allerdings um ein Problem
Schwächen von Zoom Sicherheitslücken keine weiteren Dienste »klickbarer Links«, nicht um ein Zoom-
gelenkt. kompromittiert sind (allgemeine Regel). Problem.
Tipp (weil jemand beispielsweise parallel E-Mails ende, die sich unerkannt in den Konferenz-
beantwortete). raum geschlichen haben und im schlimmsten
Sobald ein Moderator für eine Konferenz Fall sogar unbemerkt Mitschnitte herstellen.
Aufzeichnungen sollten eine Aufzeichnung startet, werden alle Teil Ähnlich katastrophal ist es, wenn ein unbe-
immer sehr zurückhal- nehmenden automatisch hierüber informiert, rechtigter Außenstehender eine Konferenz
tend eingesetzt und der sodass man die Möglichkeit hat, die Konferenz »sprengen« kann – sei es durch offensichtliche
Zweck allen Teilnehmen- zu verlassen. technische Übernahme der Sitzung oder durch
den zuvor klar erläutert Kapern und Abbruch des Meetings. Zoom hat
werden (siehe Info gem. }} Clients für Teilnehmende derartige Angriffe in der Vergangenheit und
Art. 13 DSGVO). Wenn vor Entwicklung seiner Version 5.0 durch be-
sie durchgeführt werden, Konferenz-Tools verfolgen unterschiedliche stimmte nachlässige Gestaltung seines Diensts
sollte die resultierende Strategien, wie sich Teilnehmende in eine Kon- sehr leicht gemacht – auch wenn manche
Datei unbedingt lokal und ferenz zuschalten können. Entweder wird ein Lücken letztlich erst durch fahrlässige Mode-
geschützt vor unberech- eigener Software-Client oder eine App instal- ratoren richtig zum Tragen kamen, denen
tigtem Zugriff abgelegt liert oder aufgerufen oder man kann mit dem schon die Vergabe eines Passworts für eine
werden. Die festgelegte eigenen Browser an der Konferenz teilneh- Konferenz zu viel des Aufwands schien.
Löschfrist muss einge men. Sichere Clients für PC und Handy kön-
halten werden. nen immer nur so sicher sein, wie das Gerät Software-Entwicklung
selbst. Da sind bei einem Handy schon »kons-
truktionsbedingt« Grenzen gesetzt. Der Vorteil Zoom hat drei Tochterfirmen in China, die bei
von eigenen Clients (im Gegensatz zum Brow- der Programmierung der Software involviert
ser) besteht in der grundsätzlich besseren Kon- sind. Ob man Transparenzbemühungen von
trollierbarkeit durch den Anbieter. Traut man Zoom Glauben schenken mag oder nicht, die
dem Anbieter nicht und möchte die Software schlichte Begründung, alles was »mit China
nicht installieren, bietet Zoom die Nutzung zu tun habe« sei unakzeptabel, scheint sehr
des eigenen Browsers an. Dann allerdings kann kurz gesprungen. Zwar kann nicht ausge-
sich dessen Grundeinstellung und Sicherheit schlossen werden, dass die chinesische Re
auf die Sicherheit der Konferenz auswirken. gierung versucht, Einfluss auf Software-Ent-
Sofern Teilnehmer über das Zoom-Webportal wickler zu nehmen, um Daten abzugreifen.
teilnehmen möchten, sollte der Moderator für Nur können wir das Gleiche auch von den
sie per Einstellung eine besonders sichere USA annehmen. v
2-Faktor-Authentisierung erzwingen.
}} Vertraulichkeit & Einbruchsschutz Karin Schuler,
Datenschutz & IT-Sicherheit, Netz
Was man in einer Videokonferenz nicht gebrau- werk Datenschutzexpertise, Bonn
chen kann, sind Mithörende und Mitschau- buero@schuler-ds.de
32Sie können auch lesen
