Das Meeting-Tool ZOOM ist ganz klar einer der Gewinner der Corona-Krise: Die tägliche Nutzerzahl sprang von 10 Millionen im Dezember auf zuletzt 200 Millionen. Schulen, Vereine, Home-Office, alle möglichen Gruppen ZOOMen seit einigen Wochen fleißig. Dabei ist wohl den meisten Usern nicht bewusst, dass sie sich auf dünnes Eis begeben könnten. Die Plattform wird von Datenschützern stark kritisiert. Bei Google und anderen IT-Größen ist die Benutzung sogar streng untersagt. Was ist dran an den Vorwürfen? Hat das Unternehmen reagiert? Wie sollen wir User uns verhalten?
Eine tolle Plattform
Ohne Frage: ZOOM ist ein großartiges Meeting-Tool. Abgesehen von der einfachen Einrichtung des Meetings ist das dann stattfindende Meeting softwaremäßig sehr gut umgesetzt. Man hat wirklich den Eindruck, dass die Teilnehmer nebenan sitzen. Besonders beeindruckend ist die Sprachsteuerung. Der jeweilige Sprecher wird automatisch eingeblendet. Weitere Details machen ein ZOOM-Meeting wirklich angenehm. Umso verstörender sind für den Normal-User die Klagen von Sicherheitsexperten, die diese Plattform stark kritisieren. Was sind die Probleme?
ZOOM – Bombing
„Zoom-Bombing“ wird eine Hacker-Methode genannt, bei der sich Angreifer durch das Erraten der ZOOM-Meeting-IDs (diese IDs waren bisher relativ leicht zu knacken) in ein laufendes Meeting einklinken und alle möglichen Inhalte – vorwiegend Pornographie – einfügen können. Sogar das FBI warnt vor dieser Möglichkeit. Offensichtlich hat das Unternehmen reagiert und einige Maßnahmen ergriffen: Erstellen Konferenz-Organisatoren eine neue Einladung, wird automatisch ein Passwort festgelegt. Insbesondere sollte man darauf achten, stets die aktuelle Version des Zoom-Clients zu verwenden, weil bekannte Sicherheitslücken geschlossen sind.
Zoom-Bomber können durch Passwörter zwar ferngehalten werden, aber selbst erfahrene Nutzer sind davor nicht hundertprozentig sicher. Laut Washington Post wurden Tausende Besprechungen und Anrufe aufgezeichnet und online veröffentlicht. Die Zeitung behauptet, die Namen und Telefonnummern von Personen, Finanzberichte sowie persönliche Daten von Kindern gesehen zu haben, einschließlich „zutiefst intimer Gespräche“ und Nacktaufnahmen.
Gefahren beim MAC
Die Fachzeitschrift heise weist in einer ausführlichen Analyse darauf hin, dass ZOOM bei der Installation den Mac-Anwendern einen funktionsfähigen Webserver unterschob. Darüberhinaus war es möglich ohne Zustimmung des Benutzers, auf die Kamera und das Mikrofon des Rechners zuzugreifen. Auf eine Reihe weiterer Sicherheitsprobleme und sonstiger Ungereimtheiten weisen die Sicherheitsforscher von Checkpoint hin.
ZOOM als Datenlieferant
Bei iOS übermittelt die ZOOM-App Daten an Facebook. Eine Analyse des Magazins „Motherboard“ ergab folgendes: Sobald die App auf iPhone oder iPad geöffnet wird, übermittelte sie den Zeitpunkt an Facebook mitsamt Modellinformationen über das verwendete Gerät, den Namen des Mobilfunkanbieters, die Ad-ID des iPhones sowie die vermutlich anhand der IP-Adresse ermittelte Stadt und Zeitzone. Das machen andere Apps teilweise auch – aber immer mit dem Einverständnis des Users. Bei ZOOM wird der User nicht gefragt, sondern mit einer vagen Erklärung beruhigt. Einen Beweis, dass auch sensiblere Daten übermittelt werden, gibt es aber bisher nicht.
Der Bericht der Washington Post löste im Netz große Besorgnis aus. Am Tag der Veröffentlichung schickten 19 US-Abgeordnete einen Brief an Zoom-CEO Yuan. Hierin forderten sie diesen auf, die Richtlinien für die Datensammlung und -freigabe der App zu präzisieren. Zoom aktualisierte daraufhin seine Datenschutzrichtlinien und gab folgende Erklärung ab: „Wir verkaufen Ihre persönlichen Daten nicht.“ Vor dem Update lautete es in der Richtlinie noch wörtlich, dies hänge „davon ab, was Sie unter ‚verkaufen‘ verstehen.“
Was kann der User tun?
ZOOM hat reagiert und Stellung zu manchen Problemen genommen sowie erklärt, wie die kritischen Bereiche entschärft werden sollen.
Was kann man als User tun, um sich vor einem möglichen Missbrauch dieser so dienlichen Plattform zu schützen? Wir orientieren uns an den Tipps des heise-Magazins.
1. Passwort-Schutz
Das wichtigste ist der Passwortschutz. ZOOM gibt die Möglichkeit, bei der Planung eines Meetings ein Passwort zu vergeben – ohne Passwort kann dann niemand daran teilnehmen. Für geplante Meetings können Sie das entsprechende Passwort vorab per E-Mail versenden. Aber – Vorsicht!
2. Meetings nicht öffentlich ankündigen
Niemals sollte das Passwort öffentlich verbreitet werden. Am besten geht es über gesicherte Services wie E-Mails oder auch Textnachrichten über einen Messenger. Unbefugte wissen dann nicht, wann genau das Meeting stattfindet. Für Außenstehende ist es dann praktisch unmöglich, ungeplant beizutreten.
3. Warteraum
Zoom gibt die Möglichkeit, einen Warteraum für die Meetings einzurichten. Neue Nutzer treten dem Meeting dann nicht direkt bei, sondern gelangen stattdessen zunächst in einen Warteraum. Von dort kann dann der Moderator die Teilnehmer zum Meeting aufnehmen oder entfernen. So können Sie verhindern, dass sich nicht eigeladene Gäste einschleusen.
4. Nutzerliste überprüfen
Trotz Warteraum-Schleuse sollte man regelmäßig die Teilnehmerliste überprüfen. Falls jemand sich doch irgendwie eingeklinkt hat, kann man ihn gleich wieder vor die Tür setzen. Über das Teilnehmerfenster können darüberhinaus alle Nutzer stumm geschaltet werden.
5. Meeting sperren
Meetings können gesperrt werden, sobald alle geplanten Teilnehmer anwesend sind. Um die Teilnehmer-Liste aufzurufen, klicken Sie im Meeting links unten auf „Sicherheit“ und wählen dort den Punkt „Meeting sperren“ aus.
6. Videoaufnahme richtig planen
Alle Teilnehmer sollten darauf achten, was die Kamera aufzeichnet. Was ist z.B. im Hintergrund zu sehen? Vertrauliche Unterlagen oder Gegenstände und Personen, die peinliche Fragen aufwerfen könnten, sollten nicht erscheinen. Ein besonders empfehlenswerte Methode ist die Einrichtung eines virtuellen Hintergrunds – damit ist das Problem gelöst.