Millionen Menschen sind derzeit erklärte Fans der Video-Software Zoom. Die vor einigen Monaten nur Insidern bekannte Konferenz-Plattform hat sich in der Corona-Krise zu einem wichtigen Begleiter entwickelt: im Home-Office natürlich, aber über die App werden auch Yoga-Kurse oder das Tele-Bier nach der Arbeit organisiert. Es dürfte kaum einen Internetnutzer geben, der in den vergangenen Wochen keinen Zoom-Link zugeschickt bekommen hat.
Doch Erfolg lockt immer auch Kriminelle an. Der israelischen IT-Sicherheitsfirma Check Point zufolge wurden seit Anfang des Jahres über 1700 Domains - also Web-Adressen - registriert, die den Eindruck erwecken, sie könnten etwas mit Zoom zu tun haben. Das ist ein deutlicher Hinweis darauf, dass Betrüger die neue Konferenz-Mode für sogenannte Phishing-Nachrichten ausnutzen werden. Die falschen Nachrichten könnten etwa vorgeben, Einladungen zu Zoom-Anrufen zu sein, tatsächlich aber Informationen stehlen oder Schadsoftware installieren. Damit das gelingt, versuchen die Hacker dahinter Nutzer zu Klicks oder Installationen zu bewegen.
Genau hier macht es Zoom den Betrügern deutlich leichter als andere Software, weil die Plattform sich teils selbst so verhält wie Schadsoftware. Felix Seele ist Malware-Analyst bei der Bochumer IT-Firma VMRay. Auch er verabredete sich mit Freunden via Zoom und war überrascht, wie schnell die Installation des Programms nach dem Klick auf einen Konferenz-Link funktionierte. Was normalen Internetnutzern gefällt, macht Experten wie Seele misstrauisch. Also analysierte er das Programm auf seinem Mac-Computer (Apple) und äußerte danach deutliche Kritik an Zoom via Twitter: Durch seinen extremen Fokus darauf, die App so einfach wie möglich nutzbar zu machen, vernachlässige das Programm sinnvolle Sicherheitsstandards. Zoom versuche, die Klicks, die zu einem erfolgreichen Anruf führen, zu reduzieren, und das teilweise mit Gewalt. So gebe sich Zoom beispielsweise bei der Installation als "System" aus, und das völlig ohne Grund. Die Folge: Nutzer würden trainiert, in beliebig aufpoppenden Dialogen ihr Passwort einzugeben. Damit konterkariert die App die Bemühungen von IT-Sicherheitsexperten weltweit, sparsam mit der Vergabe von Administratorenrechten umzugehen.
Neue Schadsoftware verwendet ähnliche Tricks wie Zoom
Tatsächlich, so Seele, gebe es bereits Schadsoftware für den Mac, die ähnliche Tricks wie Zoom verwendet und sich etwa als Apple-Audiotreiber ausgibt. Der Wunsch, die App so einfach wie möglich zu halten, sei verständlich, sagt Seele. Wenn Sicherheitsmechanismen ausgehebelt würden, nur um einen Klick zu sparen, sei jedoch eine Grenze erreicht. Das Verhalten erinnert Seele an einen anderen Erzfeind der Security-Branche. Bis vor einigen Jahren waren es Hinweise auf den Adobe Flash-Player, die Menschen dazu brachten, unerwünschter Software Zugriff auf ihre Rechner zu gewähren. "Ich kann mir gut vorstellen, dass sich die nächste Malware-Welle als Zoom-Software ausgibt", sagt Seele.
Es ist nicht das erste Mal, das Zooms Streben nach einfacher Bedienbarkeit IT-Sicherheitsexperten unangenehm auffällt. Vor etwa eineinhalb Jahren löschte Apple in einem einmaligen Schritt die Zoom-App per Fernwartung von sämtlichen Geräten der Nutzer: Fachleute hatten entdeckt, dass Hacker einen von Zoom installierten Webserver nutzen konnten, um Nutzer heimlich zu filmen. Und auch aktuell gibt es mehrere Meldungen, die an der Sicherheit der App zweifeln lassen. So fand die Webseite The Intercept heraus, dass die Videotelefonate von Zoom entgegen der Aussagen des Unternehmens nicht Ende-zu-Ende-verschlüsselt sind, die Seite Bleeping Computer berichtet, dass sich über im Chat von Zoom-Sessions versandte Links das Windows-Passwort von Nutzern herausfinden lässt.
Experten wie der Politikwissenschaftler Thomas Rid warnen bereits, dass die zahllosen auf Zoom ausgelagerten Meetings einen perfekten Angriffsvektor für staatliche Spionage bieten. Auch erste große Unternehmen reagieren bereits. So untersagte die Nasa die Nutzung von Zoom. Auch Elon Musk verbot Mitarbeitern seiner Firma Weltraum-Firma SpaceX, die Plattfom für Konferenzen zu verwenden.
Auch der Datenschutz lässt zu wünschen übrig: Erst vor wenigen Tagen wurde durch eine Recherche der Webseite Motherboard bekannt, dass Zoom - ohne darauf in seinen Nutzungsbedingungen hinzuweisen - Nutzerdaten an Facebook übermittelt. Dass sich die Kritik an seinem Produkt häuft, ist nun auch Zoom-CEO Eric Yuan aufgefallen. In einem Blogpost entschuldigte sich der Firmenchef am Mittwoch für die Probleme beim Datenschutz und bei der Sicherheit, und gelobte Besserung.