Skip to end of metadata
Go to start of metadata

Weshalb Zoom?

Wir haben uns, bereits vor Beginn der Corona-Krise, mit verschiedenen Tools für Web-Meetings auseinandergesetzt und hierzu verschiedene Lösungen (u.a. GoToMeeting, WebEx, Skype und Teams) ausprobiert.

Die für eine erfolgreiche digitale Bundesversammlung ausschlaggebenden Kriterien, die ein Tool erfüllen muss, sind insbesondere

  • eine auch bei großer Teilnehmerzahl stabile Konferenz
  • eine möglichst einfache und intuitive Bedienung
  • die Verfügbarkeit aller Funktionen auf allen Plattformen (Windows, Apple, etc.)
  • das Vorhandensein bestimmter Funktionen wie z.B. Breakout-Sessions für Kleingruppen, nonverbale Kommunikation und die Möglichkeit für den Host, das Meeting optimal zu steuern.

Bei all diesen Kriterien hat sich Zoom als die für unsere Bedürfnisse beste Lösung herauskristallisiert.

Und der Datenschutz?

Im Zuge der Corona-Krise haben die Tools für Video-Konferenzen, die in der breiten Öffentlichkeit bis dahin meist nicht bekannt waren, eine hohe mediale Aufmerksamkeit erfahren. Im Zuge dieser intensiven Berichterstattung haben auch Meldungen zum Thema "Datenschutz" immer wieder die Schlagzeilen beherrscht.

Wir haben diese Berichterstattung aufmerksam verfolgt und alle aufgekommenen Themen einzeln aus technischer und rechtlicher Sicht betrachtet. Wichtig ist aus unserer Sicht eine sachliche und genau differenzierte Betrachtung:

  • Was sind wirklich datenschutzrelevante Themen? In der Berichterstatung wurde vieles unter dem Begriff "Datenschutz" zusammengefasst, was damit gar nichts zu tun hat. Eine datenschutzrechtliche Relevanz liegt z.B. dann vor, wenn unberechtigt personenbezogene Daten der Benutzer erhoben werden. Die wenigsten der aufgekommenen Themen hatten wirklich etwas mit dem Schutz personenbezogener Daten zu tun - an den Stellen, an denen es der Fall war, sind die Schwachstellen  mittlerweile behoben.
  • Wie steht es um die Vertraulichkeit? Hier geht es um die Frage, ob Daten, die in einer Zoom-Sitzung übermittelt werden, von Dritten "abgehört" werden können. Solche Angriffe erfordern immer einen sehr hohen Aufwand und werden i.d.R. gezielt verübt um an bestimmte Informationen zu gelangen. Da das Verschlüsselungsverfahren von Zoom z.B. von Nachrichtendiensten oder versierten Hackern angreifbar ist, verwenden manche Firmen zum Schutz ihrer Geschäftsgeheimnisse derzeit kein Zoom. Die Bundesversammlung schätzen wir hier nicht als relevantes Angriffsziel ein, zumal eine gewisse Form der Öffentlichkeit durch den breiten Teilnehmerkreis ohnehin besteht.
  • Wobei handelt es sich um Missbrauch von Funktionen? Ein bekanntes Beispiel hierfür ist das "Zoombombing", das nur möglich ist, wenn ein Meeting falsch konfiguriert ist und zusätzlich die Zugangsdaten öffentlich im Internet zugänglich sind. Ähnliches gilt für das heimliche Aufzeichnen von Meetings durch den Moderator. Hier hat Zoom inzwischen die Standard-Einstellungen so angepasst, dass ein versehentliches Aktivieren der Funktionen nicht mehr möglich ist.

Eine detaillierte Auflistung der einzelnen Themen findet ihr weiter unten. Wichtig für die digitale Bundesversammlung ist:

  • Zoom erfüllt die Vorgaben der DSGVO
  • Wir haben Zoom entsprechend der aktuellen Datenschutz-Empfehlungen konfiguriert
  • Zoom geht mit dem Thema Datenschutz inzwischen sehr offen um und hat auf die bekanntgewordenen Schwachstellen umfassend reagiert

Wo kann ich mich informieren?

Und was war da jetzt genau in den Medien?

  • Datenschutzrechtlich relevante Themen:
    • Die iOS-App beinhaltete ein Facebook-Plugin (wie es von vielen Apps verwendet wird), das Daten an Facebook übermittelt hat. Das Plugin wurde mittlerweile entfernt.
    • Datenschutzerklärung: Die deutsche Übersetzung war mangelhaft und missverständlich, diese wurde mittlerweile korrigiert.
  • "Zoombombing": Wenn Meetings, mit den falschen Einstellungen angelegt werden (z.B. ohne Passwortschutz) konnte man sich entweder durch ausprobieren der Meeting-IDs oder öffentlich angegebene Links in fremde Zoom-Sessions einwählen (wie das auch bei jeder Telko geht, deren Daten veröffentlicht werden). Wenn dann noch das Meeting so konfiguriert ist, dass jeder Teilnehmende seinen Bildschirm teilen kann, können unerwünschte Inhalte allen Teilnehmenden angezeigt werden. Zoom hat die Standard-Einstellungen mittlerweile angepasst, darüber hinaus verwenden wir im BdP ein noch strengeres Set an Standard-Einstellungen für unsere Meetings.
  • Aufmerksamkeitstracking: In bestimmten Versionen von Zoom konnte der Moderator einstellen, dass ihm angezeigt wird, wenn ein Benutzer Zoom nur im Hintergrund ausführt (und so dem Meeting nicht aufmerksam folgt). Dieses Feature war standardmäßig deaktiviert und wurde mittlerweile komplett entfernt.
  • Bei der Softwareinstalltion auf dem Mac hat Zoom "zur Erleichterung der Bedienung" Benutzername und Passwort des Benutzerkontos lokal auf dem Mac zwischengespeichert. Dies ist alles andere als guter Programmirstil, ist anfällig für Phishing-Attacken und kann dann missbraucht werden, wenn ein Angreifer bereits Zugang zum Rechner des Benutzers hat. Dieser Fehler wurde mittlerweile behoben.
  • Zugangsdaten: Es ist bereits lange bekannt, das aus Angriffen auf andere Plattformen (z.B. aus dem LinkedIn-Angriff 2012) hunderttausende Logindaten im Darknet käuflich zu erwerben sind. Wenn ein Benutzer seine Zugangsdaten bei mehreren Anbietern verwendet, kann es sein, dass die z.B. bei LinkedIn erbeuteten Zugangsdaten auch bei Zoom verwendet werden können. Dies hat aber gar nichts mit Zoom zu tun, sondern mit den Hacker-Angriffen auf die anderen Anbieter. Grundsätzlich sollten für jeden Dienst eigene Passwörter verwendet werden.
  • Ein weiteres Problem betraf sogenannte UNC-LInks. Hier konnte ein Teilnehmer eines Zoom-Meetings Links zu potentiellem Schadcode über die Chat-Funktion versenden. Dieses Problem konnte ausgenutzt werden, wenn der Angreifer Teilnehmer des gleichen Zoom-Meetings war und der Benutzer den Link aktiv angeklickt hat. Mittlerweile wurde das Problem behoben.
  • No labels