Mozilla Stiftung prüft Videokonferenz-Apps

29. April 2020

Die amerikanische, gemeinnützige Stiftung Mozilla hat 15 der wichtigsten Videokonferenz-Apps einer Sicherheitsanalyse unterzogen und Ihre Ergebnisse in einem Leitfaden mit Datenschutz- und Sicherheitsmerkmalen sowie Datenschutz- und Sicherheitsmängeln zusammengestellt. Der Leitfaden soll Nutzern dabei helfen, die für sie richtige App auswählen zu können.

Um zu bestehen, mussten die Apps folgende fünf Mindestanforderungen erfüllen:

  • Verschlüsselung von Anrufen
  • Regelmäßige Sicherheitsupdates
  • Forderung nach sicheren Passwörtern
  • Umgang mit Schwachstellen
  • Vorliegen einer Datenschutzrichtlinie

12 Apps erfüllen Mindestanforderungen

12 der 15 geprüften Apps konnten diese Mindestsicherheitsstandards erfüllen. Dazu zählen WhatsApp, Apple FaceTime, Skype, Google Duo/HangoutsMeet, Facebook Messenger, Jitsi Meet, Signal, Microsoft Teams, BlueJeans, GoTo Meeting, Cisco WebEx und Zoom.

Insbesondere Zoom wurde in der Analyse dafür gelobt, dass es auf die vielfache Kritik (wir berichteten) schnell reagiert habe, um Sicherheitsmängel zu beseitigen, auch wenn der Grund dieses Handelns, laut Mozilla, wohl vor allem der großen Konkurrenz unter den verschiedenen Videokonferenz-App-Anbietern zu verdanken sei.

Dennoch erhebliche Unterschiede unter den Apps

Die Ausgestaltung der einzelnen Sicherheitsstandards unterscheidet sich zwischen den Anbietern jedoch deutlich.  

So werden Anrufe zwar verschlüsselt, allerdings seien es nur Google Duo, FaceTime, WhatsApp, Signal, Goto-Meeting und Doxy.me, die die sicherste Variante, die Ende-zu Ende Verschlüsselung, verwendeten. Nur diese Art der Verschlüsselung gewährleistet, dass der Inhalt eines Anrufs nur für die jeweiligen Teilnehmer einsehbar ist.

Bei der Skype-App, dem Facebook-Messenger und Webex habe der Nutzer aber zumindest die Option eine Ende-zu Ende Verschlüsselung zu wählen.

Andere Apps würden hingegen eine Client-zu-Server-Verschlüsselung verwenden, welche die Daten, sobald sie auf den Servern eines Unternehmens landen, lesbar macht.

Außerdem weist Mozilla auf eine Reihe weiterer Risken hin. Unter anderem sammle Facebook über seine Apps eine Menge persönlicher Informationen wie Name, E-Mail, Standort, Geolokationen auf Fotos, die hochgeladen werden sowie Informationen über Kontakte und den Nutzer selbst, die andere Personen (möglicherweise) freigeben und sogar alle Informationen, die die App über einen sammeln kann, wenn die Kamerafunktion verwendet wird. Außerdem teile Facebook die Informationen auch mit einer großen Anzahl von Drittparteien wie Werbeagenturen, Anbietern, akademischen Forschern und Analysediensten.

WhatsApp hingegen sei sehr anfällig für Fehlinformationen. Gerade während der Pandemie werde die App zur Verbreitung von Verschwörungstheorien und gefälschten Nachrichten gebraucht.

Drei Apps fielen durch

Die Apps Houseparty, Discord und Doxy.me fielen bei der Sicherheitsanalyse hingegen durch. Sie erfüllten bereits nicht die fünf Mindest-Sicherheitsanforderungen. Laut Mozilla verlangen die genannten Dienste keine sicheren Passwörter und Houseparty und Discord sammeln zu viele persönliche Daten.