bedeckt München 26°
vgwortpixel

Sicherheit der Video-App Zoom:Eine Frage der Einstellungen

A student takes classes online with his companions using the Zoom APP at home

Die Videokonferenz-Plattform Zoom erlebt durch die Corona-Krise einen Boom.

(Foto: REUTERS)
  • Die Videoplattfom Zoom ist in zwei Monaten stärker gewachsen als andere erfolgreiche Unternehmen in zwei Jahren.
  • In den vergangenen Wochen machte Zoom jedoch auch oft wegen Sicherheitslücken Schlagzeilen.
  • Mittlerweile hat das Unternehmen nachgebessert. Viele Risiken lassen sich auch mit den richtigen Einstellungen minimieren.

Beim Videokonferenz-Unternehmen Zoom passiert gerade viel auf einmal. Es ist eine der wenigen wirtschaftlichen Erfolgsgeschichten der Corona-Krise. Ende Februar hob der Dienst Beschränkungen für nicht-zahlende Nutzer aus China auf, um, wie CEO Eric Yuan erklärte, seinen Teil zur Bewältigung der Corona-Krise zu leisten. Yuan wuchs in der chinesischen Provinz Shandong auf und fühlt sich der Region immer noch verbunden, wie er in einem Blogpost erzählte. Schon vor der Krise verzeichnete die Plattform starkes Wachstum, seitdem sind die Nutzerzahlen explodiert, auch der Börsenwert des Unternehmens stieg rasend schnell. Kein Wunder, in den vergangenen Monaten organisierten Millionen neue Nutzer mithilfe der Plattform ihren Arbeitsalltag - und teilweise auch ihre Freizeit.

Mit dem starken Anstieg an Nutzern stieg jedoch auch die Aufmerksamkeit für Probleme bei der Sicherheit und beim Datenschutz. In den vergangenen zwei Wochen deckten IT-Experten eine Vielzahl von potenziellen Schwachstellen auf. So teilte Zoom beispielsweise Nutzerdaten von Apple-Geräten mit Facebook, ohne diese in den Nutzungsbedingungen darüber zu informieren. Das Unternehmen behauptete wahrheitswidrig, die über die Plattform laufenden Videoanrufe seien Ende-zu-Ende verschlüsselt. Und schließlich bot Zoom ein Feature, mit dem Gastgeber von Videoanrufen kontrollieren konnten, ob die Teilnehmer wirklich die Präsentation anschauten, oder eher Nebenbeschäftigungen wie dem Konsum von Youtube-Videos oder dem Verfassen von Social-Media-Postings nachgingen.

Aktuelles zum Coronavirus - zweimal täglich per Mail oder Push-Nachricht

Alle Meldungen zur aktuellen Lage in Deutschland und weltweit sowie die wichtigsten Nachrichten des Tages - zweimal täglich mit SZ Espresso. Unser Newsletter bringt Sie morgens und abends auf den neuesten Stand. Kostenlose Anmeldung: sz.de/espresso. In unserer Nachrichten-App (hier herunterladen) können Sie den Espresso oder Eilmeldungen auch als Push-Nachricht abonnieren.

Auch Trolle entdeckten schnell, dass sich mit der Plattform vergleichsweise einfach Schindluder treiben ließ. So schalteten sich wildfremde Nutzer in ungeschützte laufende Videosessions und teilten über ihre Bildschirme obszöne Bilder und Nachrichten, eine Praxis, für die sich der Name "Zoombombing" etabliert hat.

Das Unternehmen hat allerdings auf die meisten der Probleme schnell und vergleichsweise souverän reagiert und Lücken geschlossen. Mit der Kritik geht das Unternehmen ungewöhnlich offen um. So wandte sich CEO Eric Yuan in einem Blogpost direkt an Forscher der kanadischen Bürgerrechtler von Citizen Lab und gab zu, dass die aktuellen Verschlüsselungsmechanismen modernen Standards derzeit nicht genügen. "Wir sehen ein, dass unsere Verschlüsselungsdesign besser sein könnte", schrieb Yuan und kündigte an, mit externen Fachleuten und der Community zusammenzuarbeiten, um zügig Verbesserungen zu erreichen.

Video-Calls jetzt standardmäßig mit Passwort geschützt

Dass solche Ankündigungen vermutlich keine leeren Worte sind, zeigen Taten, die man etwa zur selben Zeit beobachten konnte. So verzichtet Zoom in den kommenden 90 Tagen auf die Entwicklung neuer Features, um sich komplett auf die Weiterentwicklung des Privatsphärenschutzes und der Sicherheitseinstellungen seiner Dienstleistungen zu konzentrieren. Gleichzeitig schaffte die Plattform das umstrittene Aufmerksamkeits-Tracking-Feature ab und änderte die Standardeinstellungen der Plattform, so dass neue und unerfahrene Nutzer beim Erstellen von Video-Konferenzen automatisch besser geschützt sind und nicht mehr Gefahr laufen, von unbekleideten Fremden in Videochats belästigt zu werden.

Die App bietet eine Vielzahl von Einstellungsmöglichkeiten, mit denen Nutzer ein Sicherheitsniveau finden können, das zu ihrer persönlichen Nutzungssituation passt. Mehrere Webseiten haben in den vergangenen Tagen dazu detaillierte Hilfestellungen veröffentlicht, darunter die US-Bürgerrechtsorganisation Electronic Frontier Foundation (EFF). Um die eigenen Bedürfnisse zu klären, helfen Fragen wie: Nutze ich das Programm beruflich oder in der Freizeit? Ist die Teilnehmerzahl auf einen festen Kreis beschränkt? Soll die Session mit einem Passwort gesichert sein oder nicht? Will ich jeden Teilnehmer selbst hinzufügen?. Jede dieser Einstellungen kann im Menü der App einzeln verändert werden, die meisten sind vergleichsweise selbsterklärend.

Unruhestifter haben in den vergangenen Wochen immer wieder Videokonferenzen gestört. Das war vor allem auf zweierlei Arten möglich. Die Meeting-IDs für die Konferenzen sind bei Zoom immer gleich aufgebaut, Trolle konnten also entweder versuchen, Meeting IDs zu erraten, oder sie fanden online geteilte Meeting IDs im Netz oder auf Social-Media-Seiten. Wenn das Meeting kein Kennwort erforderte, landeten die ungebetenen Besucher direkt in der Konferenz.

Die richtigen Einstellungen sichern die Privatsphäre

Um Zoom-Nutzer vor dem bereits erwähnten Zoom-Bombing zu bewahren, ist seit einigen Tagen in der Standardeinstellung jedes mit Zoom anberaumte Meeting mit einem Passwort geschützt. Ändern sollten Nutzer das nur in begründeten Ausnahmefällen. So bleiben sie vor unangemeldeten Besuchern geschützt. Wer die Sicherheit zusätzlich erhöhen will, kann ein eigenes Kennwort für das Meeting vergeben und es über einen unabhängigen Kanal an die Teilnehmer verteilen (wenn diese vorab bekannt sind). Ansonsten können Nutzer auch einen Link verteilen, in dem das verschlüsselte Passwort bereits enthalten ist. Dann kann zwar jeder, der den Link besitzt, dem Meeting beitreten. Trolle, die weiterhin versuchen, Meeting IDs zu erraten, bleiben dann aber draußen.

Ebenfalls seit einigen Tagen standardmäßig eingeschaltet ist die Einstellung des Warteraums. Diese praktische Funktion sammelt potenzielle Teilnehmer erst in einer Art virtuellem Vorzimmer, bevor der Gastgeber sie manuell in den Meetingraum hinzufügt. Das kann helfen, den Überblick zu bewahren. Wer verhindern will, dass die Sitzung von legitimen Teilnehmern gestört werden kann, etwa bei einer Präsentation oder Lehrsituation, kann auch festlegen, dass nur der Gastgebers seinen Bildschirm teilen kann.

Viele virtuelle Meetings finden derzeit in den eigenen vier Wänden statt. Im für die Webcam sichtbaren Hintergrund können sich Informationen befinden, die die Nutzer nicht mit der Welt teilen wollen. Es empfiehlt sich deshalb für Gastgeber, die Verwendung von virtuellen Hintergründen zu erlauben und für die Teilnehmer, auch einen davon zu verwenden.

© SZ vom 08.04.2020/mxm

Konferenz-Software als Sicherheitsrisiko
:Zoom ist der neue Flash-Player

Der Erfolg der Videokonferenz-App lockt Kriminelle an. Zugute kommt Hackern dabei, dass Zoom sich teilweise selbst wie Schadsoftware verhält.

Von Max Muth

Lesen Sie mehr zum Thema

Zur SZ-Startseite