Zoom: Anbieter der Videokonferenz-Lösung wird transparenter

Das Video-Tool Zoom kennen mittlerweile viele Menschen. Ist natürlich schon länger am Markt, durch die Corona-Krise gibt es nun eine in Summe explodierende Home-Office-Gemeinde, die eben jenes Tool einsetzt.

Warum? Super einfach zu bedienen, zahlreiche Funktionen kostenlos – ein Beweis, dass andere Hersteller bislang dieses Feld schlecht bestellt haben. Zoom kam schon früher in die Medien, weil man in Sachen Software nicht sauber arbeitete. Schlechte Verschlüsselung, neugierige Software, fragwürdige Funktionen und teilweise schlampig ausgeführte Arbeiten, die die Sicherheit des Anwenders beeinträchtigen kann.

Nun hat man sich bei Zoom zu Wort gemeldet. Letztes Jahr im Dezember habe man 10 Millionen Nutzer am Tag gehabt – im März waren es 200 Millionen. Das muss eine Firma erst einmal skaliert bekommen.

Die Plattform wurde in erster Linie für Unternehmenskunden gebaut – große Institutionen mit voller IT-Unterstützung. Diese reichen von den größten Finanzdienstleistungsunternehmen der Welt bis hin zu führenden Telekommunikationsanbietern, Regierungsbehörden, Universitäten, Gesundheitsorganisationen und telemedizinischen Praxen, so der CEO von Zoom. Tausende von Unternehmen auf der ganzen Welt haben umfassende Sicherheitsüberprüfungen der Benutzer-, Netzwerk- und Rechenzentrumsebenen durchgeführt und sich dennoch für Zoom entschieden.

Man habe das Produkt nicht in der Voraussicht entwickelt, dass jeder Mensch auf der Welt innerhalb weniger Wochen plötzlich von zu Hause aus arbeiten, lernen und Kontakte knüpfen würde. Man habe jetzt eine viel breitere Gruppe von Benutzern, die das Produkt in einer Vielzahl von unerwarteten Weisen nutzen, was das Unternehmen vor Herausforderungen stellt, die man bei der Konzeption der Plattform nicht erwartet habe.

Diese neuen, meist verbraucherorientierten Anwendungsfälle haben geholfen, unvorhergesehene Probleme mit der Plattform aufzudecken. Engagierte Journalisten und Sicherheitsforscher haben auch dabei geholfen, bereits bestehende Probleme zu identifizieren, so Eric S. Yuan von Zoom weiter.

Was jetzt passiert? Die Entwicklung neuer Funktionen wird eingefroren. Stattdessen verlagere man alle technischen Ressourcen in den Bereich „Vertrauens-, Sicherheits- und Datenschutzprobleme.“ Die Durchführung einer umfassenden Überprüfung mit Experten von Drittanbietern und repräsentativen Nutzern, um die Sicherheit all unserer neuen Verbraucher-Anwendungsfälle zu verstehen und zu gewährleisten, steht auch an. Auch soll es ein Bug-Bounty-Programm geben, Finder von Sicherheitslücken können diese also in klingende Münze umwandeln, wenn die Lücke(n) an Zoom gemeldet wird (werden).

Ob Zoom noch den richtigen Weg einschlägt? Schaut man sich den Erfolg der Plattform an – trotz der Negativ-Schlagzeilen der letzten Wochen – dann scheint es vielen Nutzern egal zu sein, was sie da nutzen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

32 Kommentare

  1. Ich finde, dass man es Zoom durchaus anrechnen kann, dass sie auf die Kritik reagieren. Ich bin gespannt, wie dich sich hinsichtlich der Vertrauens-, Sicherheits- und Datenschutzprobleme entwickeln.

    • Ich finde, die Reaktion auf Kritik ist das Mindeste. Alles andere würde sicherlich rechtlich noch problematischer. Wenn du die Verteidigung der eigenen Interessen denen hoch enrechnen willst, sind deine Ansprüche aber sehr gering.

  2. Was für ein Quatsch. Die Aussagen klingen wie ein Vorwand für deren mangelhafte Entwicklungen.
    „Seht wieviele Kunden wir nun haben! Wir konnten bisher ja gar nichts für die Sicherheit tun! Wir hatten ja nur Firmenkunden und die benutzen eine Videokonferenz ja völlig anders als Privatpersonen!!111“

    Keine Frage, die Server sind deutlich stärker belastet und es muss an der Postfinance geschraubt werden, aber die Datenschutzprobleme und Sicherheitslücken die jetzt jeden Tag neu ans Licht kommen, haben doch nichts mit Nutzerwachstum zu tun.

    • Was für Datenschutzprobleme und Sicherheitslücken kommen da denn jeden Tag ans Licht? Sind doch immer die gleichen und alten und bereits behobenen Probleme, die da genannt werden und es kommt mir so vor als ob manch eine Presse die alten Mitteilungen neu aufbrüht, da die Software halt gerade so populär genutzt wird, Ist dann eben eine Meldung Wert. Egal ob die Datenschutzprobleme und Sicherheitslücken überhaupt noch bestehen. Ich fühle mich jetzt nicht unsicher beim nutzen der Software. Aber auf eine Sache achte ich auch bei jeder Nutzung aufs neue. Bei der „Wer darf Bildschirm Teilen“ Funktion, stelle ich in den Einstellungen auf „Nur Host“.

        • FriedeFreudeEierkuchen says:

          Ja? Und was für neue Erkenntnisse stecken in dem Artikel? Wir nutzen gerade Zoom und ich bin daher sehr an allen kritischen Fragen interessiert. Aber selbst nach mehrtägiger Recherche finde ich immer nur recht vage gehaltene Aussagen. Dass ein Meeting Admin eine Session aufzeichnen kann? Das ist eine Frage die man mit dem Admin klären muss (die Aufnahme wird übrigens mit einer fetten Einblendung angezeigt). Dass man den öffentlichen(!) Chat runter laden kann? Verstehe nicht wo das Problem sein soll – ehrlich nicht. Mir fällt da kein Missbrauchsszenario ein. Die Aufmerksamkeitsüberwachung? Ohnehin eine unzuverlässige Erkennung – aber wo liegt das Problem? Was soll sich daraus negativ für Teilnehmer ergeben?
          Dann gab es mehrere Webseiten die voll mit Trackern waren, die gesagt haben, dass die Zoom Webseite Tracker einsetzt. WTF ????????
          Das Facebook Tracking in der iOS App kennen wir aus hunderten anderer Apps auch – das ist kein spezifisches Zoom Problem. Man greift sich ständig an den Kopf, wie Entwickler so blöd sein können, das FB Framework ohne Datenschutzanpassung einfach einzubauen. Das Problem ist doch inzwischen tausend Mal diskutiert. Aber anscheinend ist die Branche so geldgetrieben, dass Software-Qualität wohl keine Rolle mehr spielt.
          Dass eine Webseite die eine Login-Möglichkeit nutzt, Benutzerdaten speichert? Müsste eigentlich nicht sein, aber ist ja wohl die Regel: FB, Google, twitter, … Wer nicht?

          Es gibt viele, viele Artikel die auf Datenschutzprobleme verweisen, aber dabei keine nennen oder nur auf die Meeting-Admin Einstellungen verweisen.

          Ich bin ehrlich sehr interessiert an dem Thema – schließlich setzen wir die Software gerade ein und Datenschutz ist ein wichtiges Thema für mich. Aber ich finde keine dramatischen Sachen bisher. Wenn ihr Links für mich habt… her damit.
          Bis dahin wirkt das auf mich wie sehr breiter schlechter Journalismus. Irgendwie scheint es mir gerade die neue Sau, die durchs Dorf getrieben wird. Während gleichzeitig Gesundheitsämter Daten einfach an die nächste Polizeidienststelle weiter geben, Vollüberwachung per Handy diskutiert wird – alles Sachen die keine wirklich großen Aufreger sind.

          Das Thema Sicherheit ist ein ganz anderes Ding: Die Mac Version hatte und hat echt ziemlich miese Lücken. Betrifft uns jetzt nicht, weil wir keine Mac Nutzer haben – aber als Mac Nutzer fände ich das nicht vertrauenserweckend und würde kotzen.

      • Wenn eine Software gerade stark genutzt wird lohnt es sich auch, über deren Probleme zu schreiben. Relevanz und so.

        Zooms Probleme (externe Analytics, nicht verschlüsselt, etc.) werden bestenfalls so lange journalistisch behandelt wie sie existieren.

      • Hier ist eine Zusammenfassung der wichtigsten Dinge:
        https://objective-see.com/blog/blog_0x56.html

        Die anderen Defekte sind da nichtmal erwähnt, wie die Lüge über E2E-Verschlüsselung oder der Fakt dass alle Gespräche und Nachrichten gespeichert und vom Host jederzeit wieder angehört und gelesen werden können.

        • FriedeFreudeEierkuchen says:

          Das ist ein Artikel zum macOS Client und den gefunden Sicherheitslücken. Daneben ist die behobene FB Datenübermittlung durch da Drecks-FB-SDK in der iOS App erwähnt. Aber mehr steht nicht drin.

          „Fakt dass alle Gespräche und Nachrichten gespeichert und vom Host jederzeit wieder angehört und gelesen werden können.“
          Offensichtlich nutzt du Zoom gar nicht. Ein Host kann die Aufzeichnung einer Session einschalten. Dann wird ein fetter Button überall angezeigt „Aufzeichnung“. Wenn ich an einer Videokonferenz teilnehme, dann ist das ja kein privates Meeting, sondern ein offizielles Event. Ich bin sehr Datenschutz-Sensible (und habe deswegen z.B kein FB, WhatsApp, etc). Aber diesen Fall finde ich wirklich unproblematisch: nicht heimlich und nirgendwo geht es um vertrauliche Dinge. Und der Admin kann den öffentlichen (!!!!) Chat runter laden und speichern. Da er nicht die vertraulichen Daten von Privatchats sehen kann: wo ist das Problem?
          Ich bin gerade selbst Meeting-Admin von Zoom-Konferenzen und ich sehe keine Möglichkeit, dass ich dort irgendwas heimlich tun könnte oder Leute heimlich ausspähen oder überwachen kann – so soll es auch sein.
          Es geht gerade so viel Halbwissen herum. Mich macht das schon immer sehr nachdenklich, wenn ich sehe wie da ohne Belege etwas behauptet wird, wie ohne Nachprüfung Webseiten und öffentliche Medien wild zitieren. Und wie dann solche Sachen einfach weiter getragen werden.

          • > Offensichtlich nutzt du Zoom gar nicht.

            Das ist richtig. Ich hab mir durch die Entwicklung der letzten Monate einige Optionen angesehen. Zoom nutze ich offensichtlich aus gutem Grund nicht.

            Es mag legitime Gründe für Aufzeichnungen geben, beispielsweise bei Anwesenheitspflicht. Für mich gilt das halt nicht.

  3. Zoom, von heut auf morgen vom nobody zum hype. In allen Nachrichten, beim play store auf der Startseite. Hoffentlich war es nicht zu teuer.

    Gänzlich ohne Installation – Browser reicht kann das alles auch Jitsi Meet. Liste von deutschen Servern:
    https://github.com/jitsi/jitsi-meet/wiki/Jitsi-Meet-Instances

    • coole Liste, habe jitsi auch gerade entdeckt, kannte aber bisher nur den mett.jit.si – der natürlich sehr überlastet ist. Bin gespannt wie die Auslastung auf den genannten Servern ist. kuketz-meet.de klingt gut 😉

      • meet.jit.si müsste es heißen – sorry

        • FriedeFreudeEierkuchen says:

          Wenn du mit weniger als sechs Leuten unterwegs bist, sollte es gehen. Mit mehr gehen die öffentlichen Jitsi Server in die Knie. Wir wollen demnächst ein Meeting auf einem privaten Server testen, als Alternative zum kostenpflichtigen Zoom.
          Jitsi hat auf jeden Fall Probleme mit Firefox, weil der noch kein simulcast kann. Ein einzelner FF zieht dadurch dann wohl eine ganze Session mit runter.

  4. Das hat ein großes amerikanisches Unternehmen an die deutschen Mitarbeiter geschrieben…

  5. Was ist zu whereby zu sagen?

  6. Ich würde meinen Zoom geht mit der Situation gut um und ist nach dieser schlüssig dargelegten Schilderung auch kein Datenschutz-GAU

    https://www.datenschutz-guru.de/zoom-ist-keine-datenschleuder/

    • Ich persönlich halte die zitierte Webseite nicht für besonders unabhängig und vertrauenserweckend.
      Und warum hat sich Zoom nicht schon lange um die Sicherheitsprobleme gekümmert ? Müssen erst Konferenzen gehackt übernommen und sonstwas werden, damit man reagiert. Ganz aktuell liest man aber zB wenig über Probleme bei Skype, Hangouts auch Webex.
      Jitsi ist gut, OpenSource, kannte ich schon länger.

      • FriedeFreudeEierkuchen says:

        Schon wieder Halbwissen:
        Es wurden keine Konferenzen gehackt. Wenn man eine Video- (oder Aduio-) Konferenz unter einer öffentlich erreichbaren URL (oder Rufnummer) macht, ohne die Wartezimmer-Funktion oder ohne ein Passwort zu vergeben, ist man einfach grund-dämlich. Oder nennst du es auch Raubüberfall, wenn jemand zur offenen Türe reinspaziert und randaliert?
        Da werden einfach URLs durchprobiert, bis man in einem ungeschützten Meeting ist. Diesen „Spaß“ machen sich wohl gerade vor allem rassistische A****

    • Der entkräftet nichts, sondern eiert wegen Wortwahl herum und lässt seitenweise Juristenjargon vom Stapel, und hat am Ende doch nichts gesagt. Diagnose: Anwalt.

      • Naja, mir scheinen die Ausführen von Herrn Hansen-Oest mehr Substanz und Differenziertheit zu haben als dein Posting.

        • Gutes Beispiel sind die Absätze, in denen es darum geht, dass ohne Einwilligung in die Datenschutzerklärung die Emailadresse an einen Dritten weitergeleitet mit. Mehr um den heißen Brei herumlabern geht nicht. Eigentlich findet das defacto statt, aber ich hab hier mal ein paar Paragraphen, und eigentlich ist das ja garnicht schlimm und auch ganz üblich und bla bla bla.

          „Dann folgt in dem Beitrag der eigentlich „spannende“ Teil, der die Ausgangsthese, dass „Zoom“ personenbezogene Daten an „Drittanbieter übermittelt“, belegen soll.

          Kuketz stellt hierbei kurz dar, wie er die Anmeldung bei „Zoom“ durchläuft:

          Nach der Angabe einer E-Mail-Adresse und Einwilligung in die nebulöse Datenschutzerklärung wird der Account erstellt. Den Aktivierungslink bestätige ich und soll anschließend noch Vor- und Nachname angeben. Nachdem die Informationen eingetragen sind sende ich das Formular ab – eine Einwilligung in die Datenschutzerklärung wird nicht gesondert (bspw. über ein Häkchen) eingeholt.
          Kurze Anmerkung. Dass keine Einwilligung eingeholt wird, ist rechtlich übrigens genau richtig. Denn die Einwilligung wäre für „Zoom“ hier die falsche Rechtsgrundlage. Der Dienst ließe sich sonst nicht vertragskonform für die zahlenden „Zoom“-Nutzer erbringen.

          Im weiteren Verlauf stellt Mike Kuketz dann fest, dass bei der Anmeldung die E-Mail-Adresse (offenbar aber nicht Vor- und Nachname) an den Anbieter „Wootric“ übertragen werden. Daraus schließt Kuketz, dass deswegen eine „Übermittlung personenbezogener Daten an Drittanbieter“ vorliege. Weiter führt er aus, dass dies in den Datenschutzhinweisen von „Zoom“ nicht erwähnt würde.

          Nun…wo ist der Skandal?

          Ich hatte bei der Überschrift des Beitrages eigentlich erwartet, dass „Zoom“ vielleicht wirklich etwas Schlimmes und/oder Rechtswidriges macht. Allerdings liegt weder das eine oder andere vor.

          Schauen wir uns an, was Kuketz herausgefunden hat:

          Festgestellt hat Kuketz, dass ein Teil der Daten, d.h. die E-Mail-Adresse an den Dienstleister Wootric übertragen wird.

          Als Jurist frage ich mich dann, ob das nun ein Verstoß ist. In rechtlicher Hinsicht stellt die Übertragung der E-Mail-Adresse an den Anbieter Wootric eine Offenlegung von personenbezogenen Daten dar. Allerdings nicht, wovon Kuketz wohl ausgeht, an einen „Dritten“. „Wootric“ ist zwar Empfänger der Daten i.S.d. Art. 4 Nr. 9 DSGVO, aber nach Art. 4 Nr. 10 DSGVO eben kein Dritter. Das ist ein feiner und rechtlich entscheidender Unterschied.

          In der Liste der Unterauftragsverarbeiter („Subprocessors“) von „Zoom“ ist Wootric entsprechend ausgeführt:

          Die Aussage von Kuketz „Zoom übermittelt personenbezogene Daten an Drittanbieter“ ist – da dürfen wir Juristen genau arbeiten – im Hinblick auf die Offenlegung der E-Mail-Adresse an den Unterauftragnehmer „Wootric“ also rechtlich falsch.

          Kuketz moniert weiter, dass die Offenlegung der Daten von „Zoom“ an „Wootric“ nicht in den Datenschutzhinweisen von „Zoom“ angegeben werde. Das ist richtig. Richtig ist aber auch, dass „Zoom“ das gar nicht tun muss.
          Eine Pflicht zur Angabe von Unterauftragsverarbeitern in Datenschutzhinweisen gibt es nämlich nach wohl h.M. nicht.
          Hintergrund: Art. 13 DSGVO ist insoweit primärrechtskonform auszulegen. Eine Pflicht zur Nennung von Unterauftragnehmern würde Art. 15 und 16 GRCh widersprechen.
          Wichtig: Bei einem Auskunftsersuchen nach Art. 15 DSGVO wären Unterauftragnehmer wie „Wootric“ aber anzugeben.

          Zwischenfazit von Kuketz ist:

          Zoom nutzt also X-Dienstleister, mit denen dann vermutlich X-Verträge zur Auftragsverarbeitung abgeschlossen wurden, in denen die Unternehmen verpflichtet werden, die Daten ausschließlich zur Durchführung der »angeforderten Dienstleistung« zu verwenden. Sofern so umgesetzt, wäre das zumindest rechtlich in Ordnung. Nur hat das nichts mit dem Versprechen aus der Datenschutzerklärung zu tun:

          „Ihre Privatsphäre zu schützen und sicherzustellen“
          Die X-Dienstleister, die bei der Nutzung der eigentlichen „Zoom“-Services (zu unterscheiden von der reinen Website), sind dieser Liste zu entnehmen. Ich habe 15 Dienstleister gezählt. Ich finde, das sind für einen Service wie „Zoom“ nicht viele. Ich hätte da mehr erwartet.

          Warum nun der Einsatz von Dienstleistern dem Schutz der „Privatsphäre“ widersprechen soll, verstehe ich nicht. Wenn wir den Gedanken zu Ende führen, dann dürften wir gar keine Auftragsverarbeiter mehr einsetzen, sondern würden alles selbst machen. Ich fürchte, das würde nicht zu mehr Datensicherheit führen.“

  7. Die Datenschutz Probleme kommen ja nicht erst jetzt durch den neuen use Case consumer 2 consumer zustande, sondern sind schon immer in der Software vorhanden. Wie viel anders sollte eine Privatperson Zoom nutzen gegenüber Business Kunden ?! Davon ab, die Performance der letzten Tage war schlecht, weshalb meine Tochter Klavier Unterricht per Jitsi macht, das sehr gut funktioniert zu und eine Open source Lizenz hat.

    • FriedeFreudeEierkuchen says:

      KJlar, Klavierunterricht hatte sie wohl nicht in einer größeren Gruppe.

      Das Problem: Ständig wird erzählt, dass Jitis Open Source und daher toll ist. Zum einen gibt es prinzipiell keinen Zusammenhang zwischen Open Source und „gut“. Schon lange werden viele Projekte nur noch von 1-2 Maintainern versorgt (kann man sich auf Github gut ansehen), so dass man nicht mit Code Reviews rechnen sollte.
      Zum anderen, und jetzt zurück zu Jitsi, funktioniert das Tool auf den öffentlichen Servern nur gut mit sehr, sehr wenigen Nutzern und skaliert nicht. Viele die es testen daddeln mal kurz mit 1-2 Kumpels rum, aber alle die ich kenne die mit mehr Leuten getestet haben, hatten große Probleme. Bei uns gingen mehrere getestete Server ab dem 5. oder 6. Teilnehmer in die Knie. Mit 10 Leuten mussten wir erst Video ausschalten und dann das ganze Meeting abbrechen, weil auch der Ton viel zu schlecht wurde.
      Wie es auf einem guten privaten Server aussieht werden wir noch testen.

  8. gregorius says:

    Ein herrlicher clickbait Artikel.
    Ganz im Ernst Caschy, wer Zoom auch nur ansatzweise ohne deren Daten(schütz)probleme thematisiert, freut sich im wesentlichen über den Traffic auf der line.

  9. ohne alle Kommentare gelesen zu haben: „Das muss eine Firma erst einmal skaliert bekommen.“ ist keine Entschuldigung für Sicherheitslücken oder Bullshitcode.

  10. Ein bisschen off-topic: Ich habe in den letzten Wochen mehrere Meetings
    (privat, kein Business) mit 3 bis 80 Teilnehmern gehabt und habe es zunächst
    mit Jitsi und dann mit Zoom probiert. Die Meetings liefen zwischen 1 bis 2 Stunden.
    Die HW-Nutzung war sehr heterogen, Laptops, Tablets und Smartphones.
    Bei Jitsi flogen immer wieder ein paar Teilnehmer während des Meetings raus.
    Das ist bei Zoom nicht einmal passiert.
    Hatte ein Teilnehmer eine etwas langsamere Leitung, war die Qualität bei Jitsi deutlich
    schlechter als bei Zoom.
    Ich will das Thema Datenschutz hiermit nicht klein reden, aber es ist doch nachvollziehbar
    dass ein Unternehmen eher Geld hat, bei einer boomenden Nachfrage, in die HW zu
    investieren, als ein Open Source Projekt (wobei ich absolut noch nicht weiß, wer da
    sein Geld investiert). Die Performance von Videokonferenz-Tolls ist sicher nicht ausschleißlich
    eine Sache der Software…

    • FriedeFreudeEierkuchen says:

      Jep, das war auch unsere Erfahrung: Jitis war auf den öffentlichen Servern nur mit sehr wenig Leuten brauchbar. Bei Zoom gab es keine Probleme. Uns gefallen weder die Kosten (wird sind eine Non-Profit-Organisation ohne Einnahmen), noch ist Zoom völlig gut durchdacht. Zum Glück haben wir keine Mac User, weil die Sicherheit des Mac Clients ist wirklich zum Kotzen.
      Wir geben Jitsi jetzt nochmal eine Chance auf einem privaten Server, den wir uns mit einer anderen Organisation teilen. Nach allem was ich auf der Jitsi Seite und in den Jitsi Foren mir angelesen habe, erwarte ich mir nicht so viel von dem Test.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.