Zoom erhält Common-Criteria-Zertifizierung vom (BSI)

Zoom hat laut eigenen Aussagen als erster Videokommunikations-Client die Common-Criteria-Zertifizierung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten. Der Standard Common Criteria ist ein Maßstab für die Zertifizierung der Sicherheit von IT-Produkten in mehr als 25 Ländern, darunter Deutschland, Großbritannien, USA und Kanada.

Erteilt wurde die Zertifizierung vom BSI für den Zoom Meeting Client in der Version 5.6.6. Die Evaluierung umfasste die Analyse einer Reihe von Sicherheitsvorgaben, einschließlich der Dokumentation von Anleitungen, des Architekturdesigns, der Lebenszyklus-Aspekte, Tests und der Bewertung von Schwachstellen. Konkret hat man die Zertifizierung für das Common Criteria Evaluation Assurance Level 2 (v3.1 rev. 5) erhalten.

Der Zertifizierung des BSIs greift für die die Zoom-Version 5.6.6 für Windows, macOS, iOS und Android. Obwohl Version 5.6.6 die zum Zeitpunkt der Zertifizierung die verfügbare Version des Zoom-Clients war, empfiehlt Zoom seinen Kunden immer, die neueste Version des Clients zu verwenden, um von den neuesten Sicherheitsupdates und Funktionen von Zoom zu profitieren.

In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden. PayPal-Kaffeespende an den Autor.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

12 Kommentare

  1. Die Zertifizierung ist aber eine Mogelpackung, da sie nur den Client umfasst.

    Es spricht auch nicht fürs BSI, dass sie ein Produkt zertifizieren, das überhaupt nicht DSGVO-konform einsetzbar ist.

    • An welcher Stelle lässt sich denn Zoom „überhaupt nicht“ DSGVO-konform einsetzen?

      • DragonHunter says:

        Kannst du garantieren, dass keine Daten in einem Zoom-Call über Server ausserhalb der EU geleitet werden? Und wenn nein, kannst du garantieren, dass das nur unter Wahrung eines vergleichbaren Datenschutzes, wie unter der DSGVO, passiert?
        Nein? Dann ist kein DSGVO-konformer Einsatz denkbar. Fertig.

        • Da solltest Du Dich aber nocheinmal besser informieren. Wenn man bestimmte Nutzungsvorgaben macht und bestimmte Einstellungen vornimmt ist Zoom sehr wohl datenschutzrechtskonform einsetzbar. Fertig. 😉

          • DragonHunter says:

            Streng genommen ist es bei zoom, dank des Cloud Act völlig egal, wo die Daten landen, weil die US-Regierung sich so oder so vorbehält, an die Daten dran zu kommen.

        • Das wäre eine (wohl leider übliche) falsche Auslegung der DSGVO – beide Punkte sind allein nicht ausreichend, um über die Konformität zu entscheiden. Die DSGVO ist kein Selbstzweck – also, reicht nicht. Nicht fertig 😉

          • Sorry, Du liegst falsch. Natürilch sind beide Punkte allein nicht ausreichend. Aber das sind die entscheidenden, um letztlich Rechtskonformität erreichen zu können und insbesondere die EuGh-Vorgaben zu erfüllen. Du zäumst das Pferd von der flaschen Seite auf… 😉

            • Aus juristischer Sicht scheint am immer am Ar… zu sein, so gesehen hast du Recht
              Aber: der Kern der DSGVO sind Prinzipien im Umgang mit Daten, das lässt sich nicht auf diese Punkte reduzieren. Die Showprozesse à la Schrems vernebeln da ein bisschen den Blick. Das EU-Datenschutzniveau nutzt dir z.B. null, wenn du ganz toll Daten sicherst, die du eigentlich gar nicht erfassen darfst…

          • DragonHunter says:

            Beide Punkte sind nicht ausreichend, um die Konformität zu bestätigen, aber es reicht aus um die Konformität abzulehnen, da die DSGVO kein Wahlkatalog ist, wo man sich raussuchen kann, woran man sich hält.
            Und ein Zugriff von US-Behörden auf Nutzerdaten ist schlicht und ergreifend ein NoGo. Ende der Diskussion.
            Nicht umsonst hat der Berliner Datenschutzbeauftragte die Nutzung von Zoom im Kontext von Fernunterricht verneint!
            https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2021-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf

            • Nein, das ist selbstredend nicht das Ende der Diskussion. Unter bestimmten Voraussetzungen kann das Ergebnis der Prüfung sein, dass der Einsatz von Zoom nicht rechtskonform erfolgt. Es ist aber durchaus möglich, Zoom rechtskonform einzusetzen. Nur das war hier mein Punkt und welche Maßnahmen genau getroffen werden müssen, um Rechtskonformität zu erreichen, darüber kann man trefflich diskutieren.

              Nur der Vollständigkeit halber zur Einlassung der Berliner Datenschutztbeauftragten:
              1. Zunächst ist das nur eine Meinung einer einzelnen Landesbehörde. Interessant aber keinesfalls maßgeblich. (Darüber hinaus ist die dafür verantwortliche Behördenleiterin/Landesdatenschutzbeauftragte nicht mehr im Amt.)
              2. Ist diese Einschätzung fast ein Jahr alt (Februar 2021) und beurteilt den Sachverhalt auf noch älteren Grundlagen, u.a. der Zoom-Nutzungsbedingungen von August 2020. Seitdem hat sich einiges u.a. die Nutzungsbedingungen, der Auftragsverarbeitungsvertrag und die technischen Prozesse, (zum Besseren) verändert, so dass diese Stellungnahme schon lange veraltet ist.

        • Solange die Teilnehmer dem zugestimmt haben (und zwar einander, nicht gegenüber Zoom), sollte das kein Problem sein …

          Es ist mein ganz persönliches Bier, ob und welche Daten ich von mir wo verarbeiten lassen will – und wenn alle an einer Zoom Konferenz beteiligten das auch so sehen, ist das doch ok.

          Ich kann ja auch meine komplette Krankenakte auf eine Website stellen (solange ich oersonenbezogene Daten anderer schwärzel…. oder haben wir schon so Zeiten, daß mir die Datenschutzterror-Polizei auch das verbieten will?

    • Das BSI hat nach CC zertifiziert (nicht geprüft), das hat mit der DSGVO erstmal nichts zu tun. Ob die funktionale Anforderung nach Datenschutz im zur Prüfung verwendeten Schutzprofil überhaupt enthalten war, wissen wir nicht.
      Ausserdem: für das niedrige Level EAL 2 wird die Software selber nicht getestet, es wird nur die Dokumentation des Herstellers zu Sicherheitsfunktionen geprüft. Zum Vergleich, um in den USA eine Freigabe zum Einsatz in Behörden zu bekommen, muss nach EAL 4 zertifiziert werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.