Analyse

Zoom im Kritik-Kreuzfeuer: Fragwürdige Praktiken beim Videokonferenz-Dienst

So viele lächelnde Gesichter dürfte es bei Zoom gerade nicht geben. Der Videokonferenz-Dienst zieht derzeit viel Kritik im Bezug auf Sicherheit und Privatsphäre seiner User und aufgrund fragwürdiger Geschäftstaktiken auf sich. (Bild: Zoom)

Lesezeit: 6 Min.
Artikel merken

Videokonferenzen mit Zoom sind derzeit allerorten üblich und beliebt – das sorgt dafür, dass alle Welt und auch Experten den US-Dienst näher unter die Lupe nehmen. Was die dabei alles aufdecken, lässt Zoom in keinem allzu guten Licht erscheinen.

Besonders jetzt zu Corona-Zeiten erleben viele Anbieter von Video-Conferencing-Tools ein Hoch. Schließlich wechseln große Teile der Arbeitswelt derzeit ins Homeoffice, müssen aber weiter mit Chefinnen und Kollegen im Austausch bleiben. Einer der größten Gewinner ist Zoom. Der Dienst erfreut sich schon länger moderater Beliebtheit im Business-Kontext, bekam in den letzten Tagen und Wochen aber einen ordentlichen Boost – auch im privaten sowie im Schul- und Uni-Umfeld.

Worüber sich die US-Firma bei all dem brummenden Geschäft weniger freuen dürfte, ist das durch die viele Publicity – unter anderem auch von t3n – geschärfte Auge der Öffentlichkeit. Das schaut derzeit nämlich umso genauer hin und bekommt von Expertenseite noch genauere Einblicke. Und unter diesem prüfenden Blick macht Zoom derzeit alles andere als eine gute Figur. Das geht so weit, dass Elon Musk seinem Space-X-Team die Nutzung des Dienstes verboten hat und das amerikanische Federal Bureau of Intelligence (FBI) davon abrät ihn einzusetzen, wie Reuters berichtet. Außerdem hat sich Zoom im US-Staat Kalifornien eine Verbraucherklage eingefangen und derzeit nimmt sogar die New-Yorker Staatsanwaltschaft Zoom genauer unter die Lupe, schreibt Heise Online.

Zoom Videokonferenz Schlosssymbol.

Stellen die Meetings-Hosts Zoom entsprechend ein, verspricht ein kleines Schlosssymbol bei Mouseover, die Konferenz sei Ende-zu-Ende-verschlüsselt. (Screenshot: Zoom/t3n)

Ende-zu-Ende-Verschlüsselung, die keine ist

Was Zoom schon lange für sich sprechen lässt, ist das Augenmerk auf Sicherheit und Privatsphäre seiner User. Unter anderem wirbt der Dienst auf der eigenen Website und im Sicherheits-Datenblatt damit, dass Calls und Meetings mit Ende-zu-Ende-Verschlüsselung (E2E) abgesichert sind. Vorausgesetzt, Teilnehmer verbinden sich über einen Desktop-Client und nutzen die Video-/Audio-Hardware des Rechners. Auch in laufenden Zoom-Meetings versichert ein kleine, grünes Schlosssymbol bei Mouseover, dass die Konferenz E2E-verschlüsselt sei. Das hieße: Nur der Host und die Meeting-Teilnehmer sehen und hören, was gesendet wird – alle anderen, inklusive Zoom, sind ausgesperrt und haben keinen Zugriff auf die Inhalte.

In der Realität sieht das allerdings anders aus. Wie The Intercept berichtet, erweist sich das Marketing seitens Zoom in dieser Hinsicht als potenziell irreführend. Auf Intercept-Anfrage ließ Zoom nämlich verlauten, dass E2E derzeit gar nicht möglich ist – stattdessen nutze der Dienst TLS, sogenannte Transportverschlüsselung. Das heißt, externe Angreifer haben keinen Zugriff auf die Konferenzinhalte, wenn sie beispielsweise über ein ungesichertes WLAN-Netzwerk mithören. Wer jedoch weiterhin vollen Zugriff auf die übertragenen Daten inklusive Video- und Audio-Feed hat, ist Zoom selbst. Erst bei wirklich genauem Hinsehen lässt sich aus der Zoom-Website sowie dem Security-Datenblatt herauslesen, dass die E2E-Verschlüsselung für den Textchat eines Meetings, nicht die Audio- und Video-Feeds gilt.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Auf Zooms Website wird Ende-zu-Ende-Verschlüsselung versprochen – siehe Absatz rechts. (Screenshot: zoom.us / t3n)

1 von 2

Dieses potenziell irreführende Marketing wäre nicht nur unfair der Zoom-Kundschaft gegenüber, die ihre Daten fälschlicherweise als Ende-zu-Ende-verschlüsselt meint. Auch im Marktwettbewerb würde das Zoom fälschlicherweise einen Vorteil gegenüber Konkurrenz wie Hangouts Meet verschaffen – der Google-Dienst unterstützt kein E2E und wirbt damit korrekterweise auch nicht.

In einem Statement gegenüber The Intercept gab ein Zoom-Sprecher an, firmenintern sei dafür gesorgt, dass keine Mitarbeiter Zugriff auf die Inhalte der User hätten. Außerdem verkaufe Zoom keinerlei Daten an Dritte.

Malware-Mechaniken für Komfort-Funktionen

Zoom erfreut sich unter anderem auf Macs großer Beliebtheit. Nicht zuletzt, weil kaum Aufwand seitens der User nötig ist, um Videokonferenzen aufzusetzen oder an ihnen teilzunehmen. Man braucht nur den Zugangslink und gegebenenfalls ein Passwort und nach nur wenigen Klicks läuft der Zoom-Client auf dem eigenen Mac oder Macbook und man kommuniziert mit dem eigenen Team. So einfach sollte es unter dem macOS-Betriebssystem aber eigentlich nicht sein. Jeder, der schon einmal Drittanbieter-Programme auf dem eigenen Mac installiert hat, weiß, dass dafür mehrere Schritte nötig sind, bis sich die gewünschte App starten lässt.

Dass das bei Zoom schneller, komfortabler und unkomplizierter geht, hat Gründe – und keine sonderlich beruhigenden. Wie mehrere IT-ler unter anderem auf Twitter darlegen, nutzt Zoom ein paar Skripte und Tricks, um die sonst unter macOS für die Installation üblichen Mechanismen auszuhebeln und zu umgehen. Ist der User, der die Zoom-Datei ausführt, Admin des Systems, reicht ein einzelner Klick.

Dieser fragwürdige Eindruck verstärkt sich noch, ist die Zoom-App bereits installiert, der aktuelle User jedoch kein System-Administrator. Um dann die Funktionsweise von Zoom schnell und einfach zu garantieren, gibt sich die App kurzerhand als macOS-System aus und bittet den User um Erlaubnis via Benutzername und Passwort. Erteilt man die, hat Zoom Root-Rechte – also Zugriff bis an die Grundfesten des Systems. Diese Vorgehensweise kennt man in erster Linie von Malware, die ungefragt und unauffällig Code ins System einführt, um dort Schaden anzurichten oder Daten zu klauen. Das tut Zoom soweit erkennbar nicht. Nur, um dem User zwei bis drei weitere Klicks zu ersparen, zu solchen zwielichtig erscheinenden Mitteln zu greifen, macht allerdings einen fragwürdigen Eindruck.

Wie sich diese „Komfort-Features“ zu bösen Zwecken nutzen lassen, schreibt TechCrunch, zeigen derzeit Sicherheitsforscher. Bekommt ein Angreifer einen Mac in die Hände (hat also physischen Zugriff), kann er sich mit den oben genannten Mechanismen von Zoom Root-Zugriff erschleichen, ohne Geräteadministrator zu sein, und so tief ins System eingreifen. Darüber hinaus könne er Schadcode über Zooms zwielichtige Mechanismen einführen und sich so den Webcam- und Mikrofon-Zugriff, den Zoom natürlich zum Funktionieren benötigt, unentdeckt abgreifen – und Audio und Video unentdeckt mitschneiden. Gefixt hat Zoom die beiden Schwachstellen bisher nicht. Er kürzlich hatten weitere Experten gezeigt, dass auch Windows-PCs nicht sicher sind, wenn Zoom auf ihnen läuft: Hacker können hier ebenfalls Schadcode einführen und so Windows-Passwörter klauen.

Zoombombing, anzapfbare Mac-Kameras und Datenfluss zu Facebook

Erst gegen Ende letzten Jahres hatte der Sicherheitsforscher Jonathan Leitschuh auf eine böse Sicherheitslücke im Mac-Client von Zoom hingewiesen. Die ermöglichte es Angreifern unter Umständen, unbemerkt auf die Webcam der Macs oder Macbooks zuzugreifen – sogar, wenn man Zoom schon wieder deinstalliert hatte.

Darüber hinaus kam erst vor wenigen Tagen dank einer Untersuchung von Motherboard/Vice heraus, dass die Zoom-App auf iOS-Geräten offenbar Daten von Usern an Facebook weitergab. Die Weitergabe lief über das Software-Development-Kit (SDK) von Facebook, das unter anderem für die „Login mit Facebook“-Funktion nötig ist. Laut Vice wurden jedoch auch Informationen von Usern an Facebook übermittelt, die die Login-Funktion nicht benutzten – und nicht einmal einen eigenen Facebook-Account hatten.

Dass Daten an Facebook weitergeleitet werden, ist erstmal nichts Neues. Verwerflich war jedoch, dass Zoom seine User nirgends in den Datenschutzrichtlinien darauf hinwies, dass ihre Daten zu Facebook abflossen. Mittlerweile hat das Unternehmen das Facebook SDK aus der Zoom-iOS-App entfernt und angegeben, nichts von der Datenweitergabe gewusst zu haben. Der Schritt folgte unter anderem auf eine Verbraucherklage, die im US-Staat Kalifornien gegen Zoom eingereicht worden war.

Schon seit Längerem ein Phänomen, seit Kurzem aber ein umso beliebterer, unschöner Troll-Trend ist außerdem das sogenannte Zoombombing. Dabei klinken sich ungefragt Störenfriede in laufende, nicht passwortgesicherte Zoom-Konferenzen ein, deren Meeting-ID irgendwie öffentlich gemacht wurden sind.

Wie schnell das passieren kann, bewies erst Ende März der britische Premierminister Boris Johnson, der die erste virtuelle Sitzung des britischen Kabinetts via Zoom abhielt und kurzerhand einen Screenshot samt ID auf Twitter teilte. Glücklicherweise war das Meeting per Passwort geschützt. Die Möglichkeit des Zoombombings brachte Zoom außerdem ins Visier der Staatsanwaltschaft von New York, die offizielle Angaben zum Umgang des Dienstes mit Sicherheit und Privatsphäre ihrer Nutzerschaft anfragte.

Hinweis in eigener SacheAufgrund der Corona-Pandemie wechseln auch in Deutschland ganze Unternehmen ins Homeoffice. Doch wie geht das eigentlich – und was müssen Arbeitgeber und Arbeitnehmer dabei beachten? Der neue t3n Guide liefert praxisnahe und verständliche Antworten. Hier entlang: Kostenloser Homeoffice-Guide: Produktiv daheim trotz Corona!

Mehr zum Thema:

Das könnte dich auch interessieren

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Ein Kommentar
Mario
Mario

Vielleicht solltet ihr noch euren Homeoffice-Guide anpassen bzgl. Verschlüsselung von Zoom.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Digitales High Five
Holger Schellkopf (Chefredakteur t3n)

Anleitung zur Deaktivierung

Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder