Zoom Videoconferencing - Ein Privacy-Disaster

01 Apr 2020 | Thomas Schlenkhoff

Photo by Claudio Schwarz | @purzlbaum on Unsplash

Video-Conferencing und Privacy sind ein schwieriges Spannungsfeld. Noch viel mehr seitdem in den letzten Wochen viele Menschen überhastet ins Home-Office umgezogen sind. Schnell gut funktionierende Lösungen zu finden ist nicht einfach. Das Gardion Team hilft Schulen und Unternehmen dabei jetzt eine passende Videokonferenz-Lösung auszuwählen. Typischerweise ist Zoom nicht mit dabei.

Zoom, seit Jahren beliebt

Zoom hat sich in den letzten Jahren immer mehr als Alternative zu bis dahin etablierten Playern wie Skype entwickelt. Ein wesentlicher Vorteil war, dass man - wenigstens rudimentär - an den Meetings teilnehmen konnte, ohne den jeweiligen Client zu installieren.

Seit Jahren kommen aber auch immer wieder entweder schmutzige oder wenigstens unsaubere Taktiken ans Licht:

  1. Ende 2018 fanden Tenable Forscher einen schwerwiegenden Fehler (CVE-2018-15715) im Zoom-Client auf allen Plattformen.
  2. Schon im Sommer 2019 wurde eine schwerwiegende Lücke im macOS-Client bekannt, die es Dritten erlaubte fremde Videokonferenzen zu belauschen. Diese Lücke wurde bisher weiter adressiert - “kann mal passieren”.
  3. Richtig schmutzig wurde es, als Zoom bei der Deinstallation schlampte, so dass Nutzer, die “aussteigen”, wollten nicht mal das Sicherheitsproblem beheben konnten. Das führte so weit, dass Apple sich genötigt sah, die Lücke durch ein Betriebssystem-Update(!) zu beseitigen.
  4. Es wurde ein fragwürdiges Feature bekannt, dass es dem Organisator einer Videokonferenz erlaubt “Attention Tracking” zu aktivieren. Damit kann - in Maßen - beobachtet werden, ob die Zuschauer nebenher noch etwas anderes tun. Die Zuschauer können zur Zeit nicht sehen, ob dieses Feature aktiviert ist oder nicht.
    EDIT: Zoom hat am 2. April das Feature “Attention Tracking” entfernt.
  5. Entgegen anderslautender Aussagen auf der Zoom-Homepage sind Videokonferenzen nicht Ende-zu-Ende verschlüsselt.

Fazit zu Zoom

Zoom ist eine eigentlich gut funktionierende Videokonferenz-Software die sich jedoch nicht im geringsten um ihre Nutzer schert. Daniel Heinemeier-Hanson hat das gut zusammegefasst:

“What pains me about Zoom being such sleazeballs when it comes to both security and privacy is just how unnecessary it is. They have good fundamental tech! But as the skeletons keep falling out of the closet, it’s clear that the organization is fundamentally corrupt.”

Schulischen Nutzern empfehlen wir die quelloffene und kostenlose Software jitsi. Dort ist es ein Leichtes, mit einem Klick eine Videokonferenz für mehrere Teilnehmer nur aus dem Browser heraus aufzubauen.
Dabei ist klar, dass sensible Anwendungen auf einen eigenen Jitsi-Server gehören. Solche privaten Instanzen entstehen gerade, etwa für Schulen (siehe Links). Sprechen Sie ihren Chaos Computer Club (CCC) an, dort wird nach Möglichkeit gerne geholfen. Gerne stellen wir auch Kontakt her.
Für größere Gruppen lohnt es sich auch BigBlueButton zu testen.