Wer schaut alles mit, wenn ich Zoom nutze?

Corona-Boom: Heute nutzen 20-mal mehr Leute Zoom als vor ein paar Wochen. Die Macher werden wegen Mängel kritisiert. Der Schweizer IT-Experte Marc Ruef sagt, wie man sich schützt.

Herr Ruef, viele Leute "zoomen" derzeit. Wenn der Firmenname zum Verb wird, hat man es geschafft. Hat das Unternehmen diesen Erfolg verdient?

Erfolg ist meines Erachtens dann verdient, wenn man ein gutes Produkt anbieten kann. Zoom vermag das in Bezug auf die Funktionalität zu tun und kann Branchengrößen diesbezüglich hinter sich lassen. In Bezug auf die Sicherheit muss sich die Firma derzeit aber berechtigte Fragen gefallen lassen.

Datenschützer warnen vor Zoom. Was wird über mich gesammelt, wenn ich den Dienst nutze?

In erster Linie hat der Betreiber einer Infrastruktur stets die Möglichkeit, die Daten auszuwerten. Für Zoom dürfte es also bei Bedarf gut ersichtlich sein, wer mit wem kommuniziert. Zudem ist die Kommunikation nur von den Clients bis zu den Zoom-Servern verschlüsselt. Zoom hat also Zugriff auf die unverschlüsselten Video-, Audio- und Chat-Daten.

Heißt das, wenn ich bei Zoom über Kühlschränke spreche, sehe ich dann künftig überall Werbung für Kühlschränke?

Das ist nicht anzunehmen. Eine solche Funktionalität käme in der heutigen Zeit einem PR-Desaster gleich. Zoom wird sich hüten, eine solche Funktionalität heimlich einzubauen. Falls sie sich dennoch dafür entscheiden, müssten die Benutzer in der Datenschutzerklärung darauf hingewiesen werden.

Welchen Weg nehmen die Daten?

Untersuchungen haben gezeigt, dass Zoom verschiedene Entwicklerteams in China engagiert. Unter anderem läuft ein Teil der Kommunikation ebenfalls über Server in China. Dass die chinesische Regierung Interessen an einzelnen Kommunikationen hat, dürfte nicht von der Hand zu weisen sein. Ob und inwiefern Zoom da zur Kooperation bereit ist, kann gegenwärtig nicht gesagt werden.

Google und Space X haben Zoom verboten. Ist die App unsicher?

Die Beurteilung der Sicherheit ist von vielen Faktoren abhängig. Unter anderem auch davon, welches Sicherheitsniveau erwartet wird. Für unverbindliche Gespräche, Schulungen, Workshops und Vorträge eignet sich Zoom ganz gut. Den Austausch von hochgeheimen Informationen würde ich persönlich über andere Kanäle anstreben wollen. Eine hohe Sicherheit ist nur dann möglich, wenn man ein eigenes Produkt auf eigener Infrastruktur betreibt. Das Ausweichen auf Alternativen wie Microsoft Teams, Skype und Cisco WebEx ist also ebenso mit Risiken behaftet.

Wer kann zuschauen, wenn ich eine Videositzung habe?

Abgesehen von Zoom selbst müssten Angreifer entsprechenden Zugriff auf ein Meeting erhalten. Dies ist vor allem dann möglich, wenn Meetings nicht explizit geschützt sind. Dass jemand unbemerkt zuschaut, ist nicht ohne weiteres möglich. Dazu müsste ein Angreifer eine Schwachstelle in einem Client, den Servern oder der Netzwerkkommunikation ausgenutzt werden können. Eine solche ist gegenwärtig nicht bekannt.

Diese Woche wurde bekannt, dass 500.000 Zoom-Logins im Darknet verkauft werden. Bestehen sonst noch Gefahren, wenn ich den Dienst nutzte?

Der Einsatz jeder zusätzlichen Software erhöht die Angriffsfläche. Aus diesem Grund ist stets abzuwägen, ob ein solcher Einsatz gerechtfertigt ist. Unsere Cyber Threat Intelligence Analysen zeigen, dass Angriffe noch immer bevorzugt auf Betriebssysteme und Webbrowser abzielen. Lösungen für Audio- und Videokonferenzen sind verhältnismäßig wenig im Fokus der Angreifer.

Wie kann ich mich auf Zoom besser schützen?

Es gibt eine Reihe von Maßnahmen, die beim Einsatz von Zoom empfohlen sind. Einerseits sollte die Software durch Updates stets auf dem neuesten Stand gehalten werden. Meetings sollten mit einem Kennwort geschützt werden und einen registrierten Zoom-Account voraussetzen. Durch das Einrichten eines Warteraums können Störenfriede frühzeitig erkannt und verbannt werden. Sind einmal alle Teilnehmer im Meeting angekommen, kann dieses gesperrt und damit weitere Zugriffe unterbunden werden. Und durch das Einschränken von Zugriffsrechten können Screensharing (Stichwort Zoombombing) vor Missbrauch geschützt werden. (20min)

Marc Ruef ist IT-Sicherheitsexperte der Firma Scip AG in Zürich.