Druckansicht der Internetadresse:

Seite drucken

Zoom – Stellungnahme zu Schwachstellen

An dieser Stelle möchten wir auf die gemeinsame Stellungnahme u.a. des CIO und RZ-Leiters der Uni Würzburg, Matthias Funken, und dem Behördlichen Datenschutzbeauftragten, Klaus Baumann, verweisen, die die aktuellen Vorwürfe und Datenschutzprobleme von Zoom adressiert.

Die getroffenen Maßnahmen, die auf den Vorschlag, der in Würzburg beheimateten Stabsstelle für IT-Recht für bayerische staatliche Hochschulen und Universitäten, beruhen, wurden entsprechend für den Zoom-Account der Universität Bayreuth umgesetzt und eventuelle Neuerungen bzw. Veränderungen werden umgehend nachgezogen.


Quelle (bearbeitet): Rechenzentrum Uni Würzburg

Vorwürfe und Schwachsstellen

​Zoom-BombingEinklappen

Unter Zoom-Bombing versteht man die Störung von Konferenzen durch nicht eingeladene Teilnehmer. Dieses ist möglich, wenn die Links zu Meetings erraten oder öffentlich bekanntgegeben werden. An der Universität Bayreuth erfordert die Teilnahme an Zoom immer ein Passwort, somit ist die Teilnahme ungebetener Gäste nicht möglich. Eine zusätzliche Sicherheit bietet die Verwendung von „Warteräumen“, die Sie beim Aufsetzen Ihrer Meetings ggfs. auch deaktivieren können – Sie können hier aber zusätzlich zum Passwort-Schutz aktiv entscheiden, wer an Ihrer Vorlesung oder Ihrem Seminar teilnehmen kann.

Status: Durch Konfiguration an der Universität Bayreuth unterbunden.

Weiterführende Informationen:

​Übertragung von Daten an Facebook unter iOSEinklappen

In einer alten Version der Zoom-App wurde Software von Facebook (ein sogenanntes Software Development Kit, SDK) verwendet, welche nicht für den Betrieb von Zoom erforderliche Daten an Facebook übertrug. Das Facebook SDK wurde mittlerweile aus Zoom entfernt.

Status: Fehler durch den Softwarehersteller behoben.

Weiterführende Informationen:

​Höherwertige Privilegien, Zugriff auf Mediengeräte unter MacOSEinklappen

Ältere Versionen von Zoom ermöglichten Hackern auf macOS höherwertige Privilegien sowie den Zugriff auf Webcams und Mikrofone. Hierbei nutzten die Hacker aus, dass die Software lokal einen Webserver startete. Der in der Software integrierte Webserver wurde bereits 2019 entfernt (Version 4.4.53932.0709 vom 9. Juli 2019), ein weiterer Fehler wurde kürzlich beseitigt (Version 4.6.9 vom 2. April 2020).

Status: Fehler durch den Softwarehersteller behoben.

Weiterführende Informationen:

​Windows Passwort LeakEinklappen

Durch einen Bug in der Software konnten gehashte Passwörter unter Microsoft Windows über sogenannte UNC-Links ausgelesen werden. Der Bug wurde vom Hersteller im Release 4.6.9. (19253.0401) am 02.04.2020 beseitigt.

Status: Fehler durch den Softwarehersteller behoben.

Weiterführende Informationen:

​VerschlüsselungEinklappen

Zoom verspricht eine Ende-zu-Ende-Verschlüsselung, was im allgemeinen IT-Sinne bedeutet, dass nur die Teilnehmer des Meetings Ton/Video entschlüsseln können. Allerdings sieht Zoom sich selbst als auch Endpunkt, d.h. die Netzwerkkommunikation ist zwar verschlüsselt, ist aber auf den Zoom-Servern entschlüsselbar. Die von Zoom gewählte Verschlüsselung wird üblicherweise als Transportverschlüsselung bezeichnet und verhindert effektiv den Zugriff auf Videomaterial durch Dritte, z.B. durch „Abhören“ des WLAN. Transportverschlüsselung ist ein übliches Verfahren, das z.B. beim Zugriff auf Webseiten per HTTPS zum Einsatz kommt. Die Zugriffsmöglichkeit auf Inhalte der Kunden ist bei anderen Unternehmen (Facebook, Google, etc.) bekannt. Die Bezeichnung als „Ende-zu-Ende-Verschlüsselung“ ist als schlechtes Marketing, härter formuliert als Täuschung zu bezeichnen.

Status: Keine Ende-zu-Ende-Verschlüsselung, jedoch immerhin Transportverschlüsselung

Weiterführende Informationen:

​Traffic Routing über chinesische ServerEinklappen

Der Datenverkehr für Zoom Video-Konferenzen kann potenziell auch über chinesische Server laufen, was zu datenschutzrechtlichen Bedenken geführt hat. Ab dem 18.04.2020 wird die Universität Bayreuth das System so konfigurieren können und werden, dass keine chinesischen Rechenzentren mehr involviert sind.

Status: Wird zum 18.04.2020 behoben

Weiterführende Informationen:

​Passwort LeaksEinklappen

Im Darknet ist kürzlich eine Liste von Zoom-Passwörtern aufgetaucht (vgl. Heise Artikel vom 14.04.2020). Zoom verwendet an der Universität BAyreuth allerdings einen Authentisierungsmechanismus, bei dem die Passwörter nicht an Zoom übertragen werden (Single Sign On (SSO) über Shibboleth).

Status: Nicht relevant bei Verwendung von Single-Sign-On

Weiterführende Informationen:

Zusammenfassung

In Zoom sind in jüngster Vergangenheit tatsächlich viele Schwachstellen entdeckt worden. Die obige Liste ist zwar lang, allerdings geben wir zu bedenken, dass auch in über viele Jahre entwickelter proprietärer (z.B. Microsoft Windows) oder offener (z.B. SSL) Software durchaus gravierende und umfangreiche Sicherheitsmängel auftauchen. Zoom hat die entdeckten Fehler zeitnah geschlossen und setzt nach eigenen Angaben nun mehr Entwicklerressourcen für die Verbesserung der Sicherheit und Datenschutz ein. Allerdings kann man dem Unternehmen eine wenig transparente und proaktive Informationspolitik vorwerfen. Diesbezüglich hat das Unternehmen aufgrund der aktuellen Kritik Besserung versprochen.

Wir empfehlen Zoom für die Lehre, empfehlen allerdings auch, kritische Informationen (Personalangelegenheiten, Dienstgeheimnisse etc.) nicht über Zoom zu verbreiten. Hierfür stehen andere Plattformen (z.B. DFN Conf, aktuell mit Skalierungsschwierigkeiten innerhalb der Peak-Zeiten) zur Verfügung.

Wir möchten in diesem Zusammenhang auch auf die wirklich umfangreichen Informationen der am RZ der Universität Würzburg beheimateten Stabsstelle IT-Recht für die bayerischen staatlichen Hochschulen und Universitäten zum Thema Zoom hinweisen: Zoom-faq

Verantwortlich für die Redaktion: Dr. Heiko Schoberth.