Zoom: Anbieter der Videokonferenz-Lösung wird transparenter
Das Video-Tool Zoom kennen mittlerweile viele Menschen. Ist natürlich schon länger am Markt, durch die Corona-Krise gibt es nun eine in Summe explodierende Home-Office-Gemeinde, die eben jenes Tool einsetzt.
Warum? Super einfach zu bedienen, zahlreiche Funktionen kostenlos – ein Beweis, dass andere Hersteller bislang dieses Feld schlecht bestellt haben. Zoom kam schon früher in die Medien, weil man in Sachen Software nicht sauber arbeitete. Schlechte Verschlüsselung, neugierige Software, fragwürdige Funktionen und teilweise schlampig ausgeführte Arbeiten, die die Sicherheit des Anwenders beeinträchtigen kann.
Nun hat man sich bei Zoom zu Wort gemeldet. Letztes Jahr im Dezember habe man 10 Millionen Nutzer am Tag gehabt – im März waren es 200 Millionen. Das muss eine Firma erst einmal skaliert bekommen.
Die Plattform wurde in erster Linie für Unternehmenskunden gebaut – große Institutionen mit voller IT-Unterstützung. Diese reichen von den größten Finanzdienstleistungsunternehmen der Welt bis hin zu führenden Telekommunikationsanbietern, Regierungsbehörden, Universitäten, Gesundheitsorganisationen und telemedizinischen Praxen, so der CEO von Zoom. Tausende von Unternehmen auf der ganzen Welt haben umfassende Sicherheitsüberprüfungen der Benutzer-, Netzwerk- und Rechenzentrumsebenen durchgeführt und sich dennoch für Zoom entschieden.
Man habe das Produkt nicht in der Voraussicht entwickelt, dass jeder Mensch auf der Welt innerhalb weniger Wochen plötzlich von zu Hause aus arbeiten, lernen und Kontakte knüpfen würde. Man habe jetzt eine viel breitere Gruppe von Benutzern, die das Produkt in einer Vielzahl von unerwarteten Weisen nutzen, was das Unternehmen vor Herausforderungen stellt, die man bei der Konzeption der Plattform nicht erwartet habe.
Diese neuen, meist verbraucherorientierten Anwendungsfälle haben geholfen, unvorhergesehene Probleme mit der Plattform aufzudecken. Engagierte Journalisten und Sicherheitsforscher haben auch dabei geholfen, bereits bestehende Probleme zu identifizieren, so Eric S. Yuan von Zoom weiter.
Was jetzt passiert? Die Entwicklung neuer Funktionen wird eingefroren. Stattdessen verlagere man alle technischen Ressourcen in den Bereich „Vertrauens-, Sicherheits- und Datenschutzprobleme.“ Die Durchführung einer umfassenden Überprüfung mit Experten von Drittanbietern und repräsentativen Nutzern, um die Sicherheit all unserer neuen Verbraucher-Anwendungsfälle zu verstehen und zu gewährleisten, steht auch an. Auch soll es ein Bug-Bounty-Programm geben, Finder von Sicherheitslücken können diese also in klingende Münze umwandeln, wenn die Lücke(n) an Zoom gemeldet wird (werden).
Ob Zoom noch den richtigen Weg einschlägt? Schaut man sich den Erfolg der Plattform an – trotz der Negativ-Schlagzeilen der letzten Wochen – dann scheint es vielen Nutzern egal zu sein, was sie da nutzen.
Ich finde, dass man es Zoom durchaus anrechnen kann, dass sie auf die Kritik reagieren. Ich bin gespannt, wie dich sich hinsichtlich der Vertrauens-, Sicherheits- und Datenschutzprobleme entwickeln.
Ich finde, die Reaktion auf Kritik ist das Mindeste. Alles andere würde sicherlich rechtlich noch problematischer. Wenn du die Verteidigung der eigenen Interessen denen hoch enrechnen willst, sind deine Ansprüche aber sehr gering.
Was für ein Quatsch. Die Aussagen klingen wie ein Vorwand für deren mangelhafte Entwicklungen.
„Seht wieviele Kunden wir nun haben! Wir konnten bisher ja gar nichts für die Sicherheit tun! Wir hatten ja nur Firmenkunden und die benutzen eine Videokonferenz ja völlig anders als Privatpersonen!!111“
Keine Frage, die Server sind deutlich stärker belastet und es muss an der Postfinance geschraubt werden, aber die Datenschutzprobleme und Sicherheitslücken die jetzt jeden Tag neu ans Licht kommen, haben doch nichts mit Nutzerwachstum zu tun.
Was für Datenschutzprobleme und Sicherheitslücken kommen da denn jeden Tag ans Licht? Sind doch immer die gleichen und alten und bereits behobenen Probleme, die da genannt werden und es kommt mir so vor als ob manch eine Presse die alten Mitteilungen neu aufbrüht, da die Software halt gerade so populär genutzt wird, Ist dann eben eine Meldung Wert. Egal ob die Datenschutzprobleme und Sicherheitslücken überhaupt noch bestehen. Ich fühle mich jetzt nicht unsicher beim nutzen der Software. Aber auf eine Sache achte ich auch bei jeder Nutzung aufs neue. Bei der „Wer darf Bildschirm Teilen“ Funktion, stelle ich in den Einstellungen auf „Nur Host“.
https://www.heise.de/security/meldung/Videokonferenz-Software-Ist-Zoom-ein-Sicherheitsalptraum-4695000.html
Ja? Und was für neue Erkenntnisse stecken in dem Artikel? Wir nutzen gerade Zoom und ich bin daher sehr an allen kritischen Fragen interessiert. Aber selbst nach mehrtägiger Recherche finde ich immer nur recht vage gehaltene Aussagen. Dass ein Meeting Admin eine Session aufzeichnen kann? Das ist eine Frage die man mit dem Admin klären muss (die Aufnahme wird übrigens mit einer fetten Einblendung angezeigt). Dass man den öffentlichen(!) Chat runter laden kann? Verstehe nicht wo das Problem sein soll – ehrlich nicht. Mir fällt da kein Missbrauchsszenario ein. Die Aufmerksamkeitsüberwachung? Ohnehin eine unzuverlässige Erkennung – aber wo liegt das Problem? Was soll sich daraus negativ für Teilnehmer ergeben?
Dann gab es mehrere Webseiten die voll mit Trackern waren, die gesagt haben, dass die Zoom Webseite Tracker einsetzt. WTF ????????
Das Facebook Tracking in der iOS App kennen wir aus hunderten anderer Apps auch – das ist kein spezifisches Zoom Problem. Man greift sich ständig an den Kopf, wie Entwickler so blöd sein können, das FB Framework ohne Datenschutzanpassung einfach einzubauen. Das Problem ist doch inzwischen tausend Mal diskutiert. Aber anscheinend ist die Branche so geldgetrieben, dass Software-Qualität wohl keine Rolle mehr spielt.
Dass eine Webseite die eine Login-Möglichkeit nutzt, Benutzerdaten speichert? Müsste eigentlich nicht sein, aber ist ja wohl die Regel: FB, Google, twitter, … Wer nicht?
Es gibt viele, viele Artikel die auf Datenschutzprobleme verweisen, aber dabei keine nennen oder nur auf die Meeting-Admin Einstellungen verweisen.
Ich bin ehrlich sehr interessiert an dem Thema – schließlich setzen wir die Software gerade ein und Datenschutz ist ein wichtiges Thema für mich. Aber ich finde keine dramatischen Sachen bisher. Wenn ihr Links für mich habt… her damit.
Bis dahin wirkt das auf mich wie sehr breiter schlechter Journalismus. Irgendwie scheint es mir gerade die neue Sau, die durchs Dorf getrieben wird. Während gleichzeitig Gesundheitsämter Daten einfach an die nächste Polizeidienststelle weiter geben, Vollüberwachung per Handy diskutiert wird – alles Sachen die keine wirklich großen Aufreger sind.
Das Thema Sicherheit ist ein ganz anderes Ding: Die Mac Version hatte und hat echt ziemlich miese Lücken. Betrifft uns jetzt nicht, weil wir keine Mac Nutzer haben – aber als Mac Nutzer fände ich das nicht vertrauenserweckend und würde kotzen.
Wenn eine Software gerade stark genutzt wird lohnt es sich auch, über deren Probleme zu schreiben. Relevanz und so.
Zooms Probleme (externe Analytics, nicht verschlüsselt, etc.) werden bestenfalls so lange journalistisch behandelt wie sie existieren.
Hier ist eine Zusammenfassung der wichtigsten Dinge:
https://objective-see.com/blog/blog_0x56.html
Die anderen Defekte sind da nichtmal erwähnt, wie die Lüge über E2E-Verschlüsselung oder der Fakt dass alle Gespräche und Nachrichten gespeichert und vom Host jederzeit wieder angehört und gelesen werden können.
Das ist ein Artikel zum macOS Client und den gefunden Sicherheitslücken. Daneben ist die behobene FB Datenübermittlung durch da Drecks-FB-SDK in der iOS App erwähnt. Aber mehr steht nicht drin.
„Fakt dass alle Gespräche und Nachrichten gespeichert und vom Host jederzeit wieder angehört und gelesen werden können.“
Offensichtlich nutzt du Zoom gar nicht. Ein Host kann die Aufzeichnung einer Session einschalten. Dann wird ein fetter Button überall angezeigt „Aufzeichnung“. Wenn ich an einer Videokonferenz teilnehme, dann ist das ja kein privates Meeting, sondern ein offizielles Event. Ich bin sehr Datenschutz-Sensible (und habe deswegen z.B kein FB, WhatsApp, etc). Aber diesen Fall finde ich wirklich unproblematisch: nicht heimlich und nirgendwo geht es um vertrauliche Dinge. Und der Admin kann den öffentlichen (!!!!) Chat runter laden und speichern. Da er nicht die vertraulichen Daten von Privatchats sehen kann: wo ist das Problem?
Ich bin gerade selbst Meeting-Admin von Zoom-Konferenzen und ich sehe keine Möglichkeit, dass ich dort irgendwas heimlich tun könnte oder Leute heimlich ausspähen oder überwachen kann – so soll es auch sein.
Es geht gerade so viel Halbwissen herum. Mich macht das schon immer sehr nachdenklich, wenn ich sehe wie da ohne Belege etwas behauptet wird, wie ohne Nachprüfung Webseiten und öffentliche Medien wild zitieren. Und wie dann solche Sachen einfach weiter getragen werden.
> Offensichtlich nutzt du Zoom gar nicht.
Das ist richtig. Ich hab mir durch die Entwicklung der letzten Monate einige Optionen angesehen. Zoom nutze ich offensichtlich aus gutem Grund nicht.
Es mag legitime Gründe für Aufzeichnungen geben, beispielsweise bei Anwesenheitspflicht. Für mich gilt das halt nicht.
Zoom, von heut auf morgen vom nobody zum hype. In allen Nachrichten, beim play store auf der Startseite. Hoffentlich war es nicht zu teuer.
Gänzlich ohne Installation – Browser reicht kann das alles auch Jitsi Meet. Liste von deutschen Servern:
https://github.com/jitsi/jitsi-meet/wiki/Jitsi-Meet-Instances
meet.jit.si müsste es heißen – sorry
Wenn du mit weniger als sechs Leuten unterwegs bist, sollte es gehen. Mit mehr gehen die öffentlichen Jitsi Server in die Knie. Wir wollen demnächst ein Meeting auf einem privaten Server testen, als Alternative zum kostenpflichtigen Zoom.
Jitsi hat auf jeden Fall Probleme mit Firefox, weil der noch kein simulcast kann. Ein einzelner FF zieht dadurch dann wohl eine ganze Session mit runter.
Das hat ein großes amerikanisches Unternehmen an die deutschen Mitarbeiter geschrieben…
Was ist zu whereby zu sagen?
https://www.testingtime.com/whereby-anleitung/
Ich würde meinen Zoom geht mit der Situation gut um und ist nach dieser schlüssig dargelegten Schilderung auch kein Datenschutz-GAU
https://www.datenschutz-guru.de/zoom-ist-keine-datenschleuder/
Ich persönlich halte die zitierte Webseite nicht für besonders unabhängig und vertrauenserweckend.
Und warum hat sich Zoom nicht schon lange um die Sicherheitsprobleme gekümmert ? Müssen erst Konferenzen gehackt übernommen und sonstwas werden, damit man reagiert. Ganz aktuell liest man aber zB wenig über Probleme bei Skype, Hangouts auch Webex.
Jitsi ist gut, OpenSource, kannte ich schon länger.
Schon wieder Halbwissen:
Es wurden keine Konferenzen gehackt. Wenn man eine Video- (oder Aduio-) Konferenz unter einer öffentlich erreichbaren URL (oder Rufnummer) macht, ohne die Wartezimmer-Funktion oder ohne ein Passwort zu vergeben, ist man einfach grund-dämlich. Oder nennst du es auch Raubüberfall, wenn jemand zur offenen Türe reinspaziert und randaliert?
Da werden einfach URLs durchprobiert, bis man in einem ungeschützten Meeting ist. Diesen „Spaß“ machen sich wohl gerade vor allem rassistische A****
https://www.projekte.hu-berlin.de/de/gnuHU/anleitungen/digitale-konferenzen
Der entkräftet nichts, sondern eiert wegen Wortwahl herum und lässt seitenweise Juristenjargon vom Stapel, und hat am Ende doch nichts gesagt. Diagnose: Anwalt.
Naja, mir scheinen die Ausführen von Herrn Hansen-Oest mehr Substanz und Differenziertheit zu haben als dein Posting.
Die Datenschutz Probleme kommen ja nicht erst jetzt durch den neuen use Case consumer 2 consumer zustande, sondern sind schon immer in der Software vorhanden. Wie viel anders sollte eine Privatperson Zoom nutzen gegenüber Business Kunden ?! Davon ab, die Performance der letzten Tage war schlecht, weshalb meine Tochter Klavier Unterricht per Jitsi macht, das sehr gut funktioniert zu und eine Open source Lizenz hat.
KJlar, Klavierunterricht hatte sie wohl nicht in einer größeren Gruppe.
Das Problem: Ständig wird erzählt, dass Jitis Open Source und daher toll ist. Zum einen gibt es prinzipiell keinen Zusammenhang zwischen Open Source und „gut“. Schon lange werden viele Projekte nur noch von 1-2 Maintainern versorgt (kann man sich auf Github gut ansehen), so dass man nicht mit Code Reviews rechnen sollte.
Zum anderen, und jetzt zurück zu Jitsi, funktioniert das Tool auf den öffentlichen Servern nur gut mit sehr, sehr wenigen Nutzern und skaliert nicht. Viele die es testen daddeln mal kurz mit 1-2 Kumpels rum, aber alle die ich kenne die mit mehr Leuten getestet haben, hatten große Probleme. Bei uns gingen mehrere getestete Server ab dem 5. oder 6. Teilnehmer in die Knie. Mit 10 Leuten mussten wir erst Video ausschalten und dann das ganze Meeting abbrechen, weil auch der Ton viel zu schlecht wurde.
Wie es auf einem guten privaten Server aussieht werden wir noch testen.
Ein herrlicher clickbait Artikel.
Ganz im Ernst Caschy, wer Zoom auch nur ansatzweise ohne deren Daten(schütz)probleme thematisiert, freut sich im wesentlichen über den Traffic auf der line.
bitte vorgenannten Betrag löschen. Danke.
Es war ein anstrengender Tag.
Bedeutet, du hast meinen Text nicht gelesen und quasi vorab kommentiert?
ohne alle Kommentare gelesen zu haben: „Das muss eine Firma erst einmal skaliert bekommen.“ ist keine Entschuldigung für Sicherheitslücken oder Bullshitcode.
Ein bisschen off-topic: Ich habe in den letzten Wochen mehrere Meetings
(privat, kein Business) mit 3 bis 80 Teilnehmern gehabt und habe es zunächst
mit Jitsi und dann mit Zoom probiert. Die Meetings liefen zwischen 1 bis 2 Stunden.
Die HW-Nutzung war sehr heterogen, Laptops, Tablets und Smartphones.
Bei Jitsi flogen immer wieder ein paar Teilnehmer während des Meetings raus.
Das ist bei Zoom nicht einmal passiert.
Hatte ein Teilnehmer eine etwas langsamere Leitung, war die Qualität bei Jitsi deutlich
schlechter als bei Zoom.
Ich will das Thema Datenschutz hiermit nicht klein reden, aber es ist doch nachvollziehbar
dass ein Unternehmen eher Geld hat, bei einer boomenden Nachfrage, in die HW zu
investieren, als ein Open Source Projekt (wobei ich absolut noch nicht weiß, wer da
sein Geld investiert). Die Performance von Videokonferenz-Tolls ist sicher nicht ausschleißlich
eine Sache der Software…
Jep, das war auch unsere Erfahrung: Jitis war auf den öffentlichen Servern nur mit sehr wenig Leuten brauchbar. Bei Zoom gab es keine Probleme. Uns gefallen weder die Kosten (wird sind eine Non-Profit-Organisation ohne Einnahmen), noch ist Zoom völlig gut durchdacht. Zum Glück haben wir keine Mac User, weil die Sicherheit des Mac Clients ist wirklich zum Kotzen.
Wir geben Jitsi jetzt nochmal eine Chance auf einem privaten Server, den wir uns mit einer anderen Organisation teilen. Nach allem was ich auf der Jitsi Seite und in den Jitsi Foren mir angelesen habe, erwarte ich mir nicht so viel von dem Test.