Schlagwort: Videokonferenz
16. August 2021
Der Hamburgische Beauftagte für Datenschutz und Informationsfreiheit (HmbBfDI) hat heute in einer Pressemitteilung bekannt gegeben, dass er die Hamburger Senatskanzlei vor dem Einsatz der Videokonferenzlösung von Zoom Inc. in der sog. “on-demand-Variante” offiziell gewarnt habe.
Hintergrund
Zoom ist ein US-amerikanisches Softwareunternehmen für Videokonferenzen. Dessen Einsatz seit dem sog. “Schrems-II-Urteil” des EuGH und dem damit verbundenen Wegfall des Privacy Shields nur unter Einhaltung sehr strenger Voraussetzungen möglich ist. Problematisch an einem Einsatz von Zoom ist insbesondere der Datentransfer in die USA, dessen Rechtsgrundlage durch das Schrems-II-Urteil gekippt wurde, da US-Geheimdienste umfangreichen Zugriff auf die bei amerikanischen Unternehmen gespeicherten Daten haben und damit eine Massenüberwachung befürchtet wird. Daher ist der Einsatz von US-Konferenzdiensten wie Zoom nur in Ausnahmefällen möglich und bedarf einer genauen Prüfung, deren Vorgaben der europäische Datenschutzausschuss in seinen Empfehlungen formuliert hat.
Sachverhalt
Diese strengen Voraussetzungen liegen bei der Senatskanzlei und dem geplanten Einsatz von Zoom nicht vor.
Nachdem die Senatskanzlei die Hamburger Aufsichtsbehörde zwar frühzeitig über entsprechende Pläne zum Einsatz von Zoom informiert habe, sei die Senatskanzlei in der Folge den Aufforderungen der Aufischtsbehörde entsprechende Unterlagen oder Argumente vorzulegen, die eine andere rechtliche Bewertung zuließen, nicht nachgekommen. Deshalb sei nach Einleitung eines formalen Verfahrens durch Anhörung der Senatskanzlei Mitte Juni 2021 nun die formale Warnung nach Art. 58 Abs. 2 lit. a DSGVO der erforderliche nächste Schritt gewesen.
Befugnisse der Aufsichtsbehörden
Nach Art. 58 DSGVO verfügt jede Aufsichtsbehörde über vielfältige Untersuchungs-, Abhilfe- oder Genehmigungsbefugnisse. Dazu gehört gem. Art 58 Abs. 2 lit. a DSGVO u.a. auch die Befugnis, einen Verantwortlichen oder Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen die DSGVO verstoßen. Dies ist hier geschehen. Der HmbBfDI begründet dies damit, dass neben der Wirtschaft auch die öffentliche Verwaltung die strengen Anforderungen erfüllen müssen, die an einen Drittstaatentransfer gestellt werden. Zudem gebe es auch europäische Dienstleister, die Videokonferenzsysteme in den eigenen Rechenzentren anbieten und die erfolgreich genutzt werden könnten. Daher sei für den HmbBfDI unverständlich, weshalb auf einen US-Anbieter zurückgegriffen werden müsse, dessen Einsatz rechtlich hoch problematisch sei.
Ausblick
Die von dem HmbBfDI ergriffenen Maßnahmen zeigen einmal mehr, dass der Einsatz von US-amerikanischen Tools rechtlich sehr schwierig ist und eine Nutzung von den Aufsichtsbehörden genau geprüft wird.
Folgt die Senatskanzlei der offiziellen Warnung nicht und führt Zoom dennoch ein, so kann der Hamburger Datenschutzbeauftragte nach Art. 58 Abs. 5 DSGVO diesen Verstoß den Justizbehörden zur Kenntnis bringen und ggf. die Einleitung eines gerichtlichen Verfahrens betreiben oder sonstige Maßnahmen ergeifen.
7. April 2021
Der Hessische Beauftragte für Datenschutz und Informationsfreiheiten Alexander Roßnagel kündigte das Ende der Duldung für den Einsatz von Microsoft Teams an Schulen an. Das Kultusministerium sucht nun Ersatz.
Bisher wurde an hessischen Schulen Microsoft Teams für den Distanz-Unterricht genutzt. Dies duldete der hessische Datenschutzbeauftragte. Nun wird die Frist am 31. Juli 2021 enden.
In einer Stellungnahme hieß es dabei, dass die Duldung der Videokonferenzsysteme von US-Anbietern – im speziellen Microsoft Teams – ausläuft. Dies sei vorher nur verlängert worden, weil kein Ersatz da war. „Der Grund für den verlängerten Zeitraum bis Ende Juli dieses Jahres lag in dem gescheiteren Bemühen des Hessischen Kultusministeriums (HKM), den hessischen Schulen bis zum Beginn des aktuellen Schuljahres ein landeseinheitliches, datenschutzkonformes Videokonferenzsystem zur Verfügung zu stellen.” Zudem hatten die „Komplexität des Ausschreibungsverfahrens sowie die Klärung grundsätzlicher Fragestellungen zum Datenschutz” dazu geführt. Eine weitere Verlängerung dieser Duldung sei „ausgeschlossen“.
Wie der Datenschutzbeauftragte mitteilt, sei vielmehr davon auszugehen, „dass bis zum Beginn des neuen Schuljahres eine Anwendung zur Verfügung steht, die sowohl den technischen als auch datenschutzrechtlichen Anforderungen entspricht.“ Hierzu wird ein europaweites Ausschreibungsverfahren durchgeführt. Der fortlaufende Einsatz von Microsoft Teams ist dann also nicht mehr „erforderlich noch datenschutzrechtlich zulässig”. Auch weitere Bundesländer prüfen derzeit Alternativen zu US-amerikanischen Softwareprodukten.
26. März 2021
Der Apple-Videotelefondienst FaceTime machte im Jahr 2019 mit einer Negativschlagzeile auf sich aufmerksam, so dass auch Datenschützer hellhörig wurden. Es kam bei der zu dieser Zeit neu hinzugefügten Gruppen-FaceTime-Funktion zu einer Softwarepanne, wodurch Nutzer des Dienstes unerlaubt belauscht werden konnten. Durch Hinzufügen einer Rufnummer konnten Anrufer das Mikrofon des Angerufenen aktivieren, ohne dass die angerufene Person hierfür abnehmen musste. Drückte der Angerufene eine Taste des eigenen iPhones, wurde außerdem das Videobild übertragen. Nachdem dieses von Apple verursachte Problem immer mehr in sozialen Netzwerken kursierte und mediale Aufmerksamkeit auf sich zog, deaktivierte Apple die Gruppen-FaceTime-Funktion.
Der Fehler wurde sodann zeitnah behoben und die Funktion wieder freigeschaltet, so dass zum aktuellen Zeitpunkt keine Gefahr droht.
Jenseits des Vorfalls stellt sich die Frage: Wie sicher ist FaceTime eigentlich? FaceTime bietet eine gute Übertragungsqualität für iOS-Gerätenutzer. Und auch in Sachen Sicherheit muss sich der Apple-Dienst nicht hinter anderen Anbietern verstecken. Der Dienst ist Ende-zu-Ende-verschlüsselt und Metadaten zu den Videokonferenzen werden nach 30 Tagen gelöscht. Der Dienst ist somit zumindest für den privaten Gebrauch als sicher zu bewerten.
FaceTime weist zwar einen hohen Sicherheitsstandard auf und auch die Gespräche werden Ende-zu-Ende verschlüsselt; dennoch bleibt weiterhin das Problem hinsichtlich des US-Bezugs. Die Aufsichtsbehörden sind beim Einsatz von US-Dienstleistern für Videokonferenzen streng, vor allem bezüglich Videkonferenzsystemen an Schulen. Die Behörden (Berliner Beauftrage für Datenschutz und Informationsfreiheit sowie LfDI Rheinland-Pflaz) lassen den Einsatz von US-Software nur noch für einen begrenzten Zeitraum zu und verweisen hier auf Open-Source-Software wie Big Blue Button oder Jitsi Meet. Gerade im Hinblick auf das Schrems-II-Urteil erscheint die Nutzung der Open-Source-Software aus datenschutzrechtlicher Sicht sinnvoller als die Nutzung von US-Anbietern.
Grundsätzlich ermöglicht FaceTime Videokonferenzen mit bis zu 32 Teilnehmern. Insofern bietet sich das Tool für Videokonferenzen für kleine bis mittlere Gruppen an. Dabei ist die Anrufqualität des Messengers auch regelmäßig gut. Allerdings muss bedacht werden, dass FaceTime ausschließlich auf Apple-Geräten nutzbar und nicht für den Einsatz im Unternehmen konzipiert ist. Insofern sollten, auch um flexibel zu bleiben, andere Videokonferenz-Apps zum Einsatz im Unternehmen in Betracht gezogen werden, sofern nicht alle Mitarbeiter über ein Apple-Gerät verfügen. Sämtliche Alternativen bieten den Vorteil, dass die Nutzer nicht auf den Apple-Kosmos beschränkt sind. Gerade in der Geschäftswelt ist es jedoch oftmals erforderlich, auch Nutzer anderer Geräte einzubinden, um mit unternehmensexternen Personen kommunizieren zu können. In vielen Fällen scheitert der Einsatz außerdem an der begrenzten Teilnehmerzahl. Eine Limitierung auf 32 Personen mag zunächst nicht niedrig klingen, doch gerade im Rahmen von Schulungen und anderen größeren Veranstaltungen stößt das Tool schnell an seine Grenzen.
Folglich ist FaceTime in datenschutzrechtlicher Hinsicht nicht groß zu beanstanden. Der US-Bezug ist allerdings immer als problematisch anzusehen. Dementsprechend obliegt es schlussendlich der unternehmerischen bzw. persönlichen Entscheidung, ob der Einsatz von FaceTime für den konkreten Zweck geeignet ist und der Nutzen in einem angemessenen Verhältnis zum Risiko steht.
31. Januar 2021
Das Verwaltungsgericht Wiesbaden hat mit Beschluss vom 21.12.2020 bezüglich der Einführung eines Livestream-Unterrichtes den Gerichtshof der Europäischen Union angerufen. Gegenstand des Verfahrens vor dem Verwaltungsgericht ist die Frage, ob es bei dieser Form des Unterrichtes neben der Einwilligung der Eltern für ihre Kinder oder der volljährigen Schüler auch der Einwilligung der jeweiligen Lehrkraft bedarf.
Die zuständige Fachkammer entschied (Az.: 23 K 1360/20.WI), dem Gerichtshof die Frage vorzulegen, ob eine Vorschrift bestimmte inhaltliche Anforderungen der DSGVO erfüllen müsse, um eine „spezifische Vorschrift“ im Sinne der DSGVO zu sein. Zudem sei zu klären, ob eine nationale Norm, wenn sie diese Anforderungen offensichtlich nicht erfülle, trotzdem noch anwendbar bleiben könne.
Von der Klärung dieser Frage hänge ab, ob die hessischen Vorschriften zum Datenschutz die Anforderungen der DSGVO erfüllten und ob diese Normen trotz eines möglichen Verstoßes anwendbar blieben, so das Gericht.
12. Januar 2021
Datenschutz und IT-Sicherheit stehen für Zoom-Nutzer an oberster Stelle. In den letzten Monaten hat Zoom seine Anwendungen durch zahlreiche Funktionen erweitert, mit denen Kunden die Nutzung der Möglichkeit von Videokonferenzen individuell anpassen können. Besonders sachdienlich ist hierfür die von der Konferenz der Datenschutzaufsichtsbehörden (DSK) im Oktober 2020 veröffentlichte Orientierungshilfe und die zugehörige Checkliste zu Videokonferenzsystemen. Beide Dokumente geben umfassende Empfehlungen zu Datenschutz-Einstellungen ab, die bei der Installation sowie der Nutzung von Videokonferenzsystemen berücksichtigt werden sollten.
Zoom hat nun eine eigene Checkliste veröffentlicht, die auf einer Zusammenfassung der DSK-Checkliste basiert und die wichtigsten Datenschutzeinstellungen enthält. Hiermit will das Unternehmen die existierenden Zoom-Funktionalitäten und -Einstellungsmöglichkeiten näher erläutern.
“Damit erlauben wir es unseren Kunden, einfacher die volle Kontrolle über ihre Daten zu wahren und Zoom an ihre Bedürfnisse anzupassen”, so Ansgar Baums, Government Relations von Zoom. “Die DSK-Orientierungshilfe zu Videokonferenzen ist extrem hilfreich – wir bedanken uns ausdrücklich bei den Datenschutzbehörden für ihre Arbeit”.
Zoom präsentierte jüngst eine Reihe von neuen Sicherheitsfunktionen und Datenschutzmaßnahmen, darunter auch die Ende-zu-Ende-Verschlüsselung (E2EE) sowie eine Möglichkeit zur Datenlokalisierung für den EU-Raum.
“Die Übereinstimmung mit der DSK-Checkliste zeigt, dass wir auf dem richtigen Weg sind”, äußerte sich Ansgar Baums.
Internationalen Nutzern steht die Zoom-Checkliste auch auf Englisch zur Verfügung.
23. Juli 2020
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit Maja Smoltczyk hat auf ihrer Webseite einen Hinweis zum Thema Videokonferenzen veröffentlicht. In diesem wird vor dem Einsatz der Anwendungen für Videokonferenzen von Microsoft (Teams und Skype) sowie Zoom gewarnt. Damit geht die Diskussion um die Datenschutzkonformität – jedenfalls mit Microsoft – in die nächste Runde.
Bereits im April hat die Berliner Datenschutzbeauftragte eine Guideline für Videokonferenzen veröffentlicht (wir berichteten). Auf diese hat Microsoft mit einer Stellungnahme reagiert.
Die Behörde bleibt weiterhin bei ihrer Auffassung des unzureichenden Datenschutzes in Bezug auf die Microsoft-Produkte Teams und Skype. Zusätzlich hat sie in ihrer aktuellen Stellungnahme weitere Produkte unter die Lupe genommen. Dabei sind auch weit verbreitete Dienste für Videokonferenzen wie Zoom, Google Meet, GoToMeeting und Cisco WebEx negativ aufgefallen. Gegenstand der Prüfung waren Auftragsverarbeitungsverträge. Diese weisen entweder Mängel auf oder fehlen komplett.
Darum sollte bei Abschließen eines Vertrages mit einem der Dienstleister darauf geachtet werden, dass ein Auftragsverarbeitungsvertrag mit abgeschlossen wird. Dazu hat die Berliner Datenschutzbeauftragte Empfehlungen veröffentlicht, worauf bei Abschluss eines Auftragsverarbeitungsvertrags zu achten ist.
Lediglich die Anwendungen Jitsi in seiner kommerziellen Version, sichere Videokonferenz.de, TixeoFusion, BigBlueButton und Wire genügen den datenschutzrechtlichen Anforderungen. Die genannten Dienste für Videokonferenzen decken unterschiedliche persönliche Erfordernisse ab. Die Anwendungen unterscheiden sich in der Art des Zugangs – zum Beispiel browserbasiert oder programmbasiert – als auch über die Zugangsmöglichkeit über eine mobile App-Anwendung.
20. Mai 2020
Microsoft Deutschland hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit wegen der Empfehlungen für Videokonferenzen abgemahnt. Über die Veröffentlichung der Guidelines für Videokonferenzen berichteten wir bereits im April. Die Behörde warnte darin insbesondere vor unbefugtem Mithören, Aufzeichnen und Auswerten der Videoinhalte. Gegenstand der Warnung waren auch die beiden Microsoft-Produkte Skype und Teams. Wie t-online.de berichtete, hat Microsoft die Behörde mit Schreiben vom 5. Mai aufgefordert, “unrichtige Aussagen so schnell wie technisch möglich zu entfernen und zurückzunehmen”. In der Warnung sieht Microsoft eine erhebliche Rufschädigung, die zu einem kommerziellen Schaden führe.
Microsoft wirft der Datenschutzbehörde vor, dass mehrere Annahmen der Guideline faktisch oder rechtlich unzutreffend seien. Die Warnung suggeriere, dass die Produkte nicht nur datenschutzrechtlich, sondern auch strafrechtlich bedenklich seien. Das Unternehmen stört sich insbesondere daran, dass pauschal das Risiko aufgeführt wird, dass bei Videokonferenzen Dritte unbefugt mithören und aufzeichnen. Bei dieser Aussage differenzierten die Guidelines nicht und würden es damit auch auf die Microsoft-Produkte beziehen.
Am 6. Mai veröffentlichte Microsoft eine umfassende Stellungnahme zu den Guidelines. Darin beklagt das Unternehmen, vor der Veröffentlichung der Guidelines nicht angehört worden zu sein. Zudem seien die Produkte im Allgemeinen und Microsoft Teams und Skype for Business Online im Besonderen datenschutzkonform .
Die Stiftung Warentest testete kürzlich mehrere Videokonferenz-Programme. Microsoft erlangte mit Teams und Skype einen Doppelsieg. Allerdings kritisierten die Tester, dass die Datenschutzerklärung “keine ernsthafte Befassung mit der DSGVO erkennen” ließe.
Mittlerweile hat die Berline Datenschutzbehörde die Warnung von ihrer Website ohne Kommentar gelöscht. Auch andere Landesdatenschutzbehörde befassten sich mit Microsoft-Produkten. So verbat etwa die Hessische Datenschutzbehörde die Nutzung von Microsoft Office 365 in hessischen Schulen und die Baden-Württembergische Datenschutzbehörde riet zum Einsatz von Open-Source-Produkten. Die Datenschutzbehörde NRWs veröffentlichte erst kürzlich “Leitplanken für die Auswahl von Videokonferenzsystemen während der Kontaktbeschränkungen aufgrund der Corona-Pandemie“. Danach sollen Verantwortliche zunächst prüfen, ob sie mit verhältnismäßigem Aufwand einen eigenen Dienst implementieren können. Im Übrigen listet die Behörde mehrere Prüfkriterien für einen datenschutzkonformen Einsatz bestehender Online-Dienste bereit. Ähnliche Kriterien finden sich in der Checkliste des Dokuments “Best-Practice zum Homeoffice” der Bayerischen Datenschutzbehörde.
29. April 2020
Die amerikanische, gemeinnützige Stiftung Mozilla hat 15 der wichtigsten Videokonferenz-Apps einer Sicherheitsanalyse unterzogen und Ihre Ergebnisse in einem Leitfaden mit Datenschutz- und Sicherheitsmerkmalen sowie Datenschutz- und Sicherheitsmängeln zusammengestellt. Der Leitfaden soll Nutzern dabei helfen, die für sie richtige App auswählen zu können.
Um zu bestehen, mussten die Apps folgende fünf Mindestanforderungen erfüllen:
- Verschlüsselung von Anrufen
- Regelmäßige Sicherheitsupdates
- Forderung nach sicheren Passwörtern
- Umgang mit Schwachstellen
- Vorliegen einer Datenschutzrichtlinie
12 Apps erfüllen Mindestanforderungen
12 der 15 geprüften Apps konnten diese Mindestsicherheitsstandards erfüllen. Dazu zählen WhatsApp, Apple FaceTime, Skype, Google Duo/HangoutsMeet, Facebook Messenger, Jitsi Meet, Signal, Microsoft Teams, BlueJeans, GoTo Meeting, Cisco WebEx und Zoom.
Insbesondere Zoom wurde in der Analyse dafür gelobt, dass es auf die vielfache Kritik (wir berichteten) schnell reagiert habe, um Sicherheitsmängel zu beseitigen, auch wenn der Grund dieses Handelns, laut Mozilla, wohl vor allem der großen Konkurrenz unter den verschiedenen Videokonferenz-App-Anbietern zu verdanken sei.
Dennoch erhebliche Unterschiede unter den Apps
Die Ausgestaltung der einzelnen Sicherheitsstandards unterscheidet sich zwischen den Anbietern jedoch deutlich.
So werden Anrufe zwar verschlüsselt, allerdings seien es nur Google Duo, FaceTime, WhatsApp, Signal, Goto-Meeting und Doxy.me, die die sicherste Variante, die Ende-zu Ende Verschlüsselung, verwendeten. Nur diese Art der Verschlüsselung gewährleistet, dass der Inhalt eines Anrufs nur für die jeweiligen Teilnehmer einsehbar ist.
Bei der Skype-App, dem Facebook-Messenger und Webex habe der Nutzer aber zumindest die Option eine Ende-zu Ende Verschlüsselung zu wählen.
Andere Apps würden hingegen eine Client-zu-Server-Verschlüsselung verwenden, welche die Daten, sobald sie auf den Servern eines Unternehmens landen, lesbar macht.
Außerdem weist Mozilla auf eine Reihe weiterer Risken hin. Unter anderem sammle Facebook über seine Apps eine Menge persönlicher Informationen wie Name, E-Mail, Standort, Geolokationen auf Fotos, die hochgeladen werden sowie Informationen über Kontakte und den Nutzer selbst, die andere Personen (möglicherweise) freigeben und sogar alle Informationen, die die App über einen sammeln kann, wenn die Kamerafunktion verwendet wird. Außerdem teile Facebook die Informationen auch mit einer großen Anzahl von Drittparteien wie Werbeagenturen, Anbietern, akademischen Forschern und Analysediensten.
WhatsApp hingegen sei sehr anfällig für Fehlinformationen. Gerade während der Pandemie werde die App zur Verbreitung von Verschwörungstheorien und gefälschten Nachrichten gebraucht.
Drei Apps fielen durch
Die Apps Houseparty, Discord und Doxy.me fielen bei der Sicherheitsanalyse hingegen durch. Sie erfüllten bereits nicht die fünf Mindest-Sicherheitsanforderungen. Laut Mozilla verlangen die genannten Dienste keine sicheren Passwörter und Houseparty und Discord sammeln zu viele persönliche Daten.
16. April 2020
Seit Wochen überschlagen sich die Nachrichten zur Videokonferenz App Zoom, das seit der Corona Krise eine rasante Nachfrage zu verzeichnen hat, gleichzeitig aber auch mit erheblicher Kritik hinsichtlich seiner Datensicherheit kämpft (wir berichteten hierzu am 01.04.2020 und 09.04.2020).
Das Unternehmen arbeitet laut eigener Aussage seitdem auf Hochtouren daran seine Datensicherheit zu verbessern.
Politiker raten von Nutzung ab
Deutsche Politiker raten momentan jedoch weiter von der Verwendung des Videodienstes ab. Solange es dem Unternehmen nicht gelinge, sämtliche Sicherheits- und Datenschutzvorwürfe vollständig zu entkräften, könne Zoom nicht als Videokonferenzdienst empfohlen werden.
Der Vorsitzende des Digitalausschusses im Bundestag, Manuel Höferlin (FDP) äußert sich hierzu sehr deutlich: „Solange Zoom nicht nachweisen kann, dass ihre Software sicher und vertrauenswürdig ist, sollten deutsche Unternehmen auf die Nutzung dieser Video-Plattform weitestgehend verzichten. Das sollte zumindest für alle Besprechungen gelten, bei denen das erforderliche Vertraulichkeitsmaß höher ist als bei einer Postkarte.“
Vor allem aber auch Behörden und Ministerien wird von einer Nutzung der App abgeraten. Politiker von CDU und FDP befürchten einen Zugriff Chinas auf die Nutzerdaten und Inhalte.
Das Unternehmen hatte noch im Februar Konferenzen über Server in China geleitet. Auch wenn das Problem nach eigener Aussage des Unternehmens mittlerweile behoben sei, sind deutsche Politiker weiterhin der Ansicht, dass der Zugriff chinesischer Behörden auf Zoom-Daten nicht ausgeschlossen werden könne. Vor allem da sich nach wie vor ein Rechenzentrum des Unternehmens in China befinde.
Zoom reagiert
Per Blog-Post gab das Unternehmen nun bekannt, dass zahlende Kunden ab dem 18.April die Möglichkeit erhalten sollen, Rechenzentren-Regionen selbst auszuwählen. Somit soll der zahlende Kunde selbst entscheiden können, über welche Länder die Daten und Konferenzen geleitet werden. Als Regionen zur Auswahl stehen derzeit die USA, Kanada, Europa, Indien, Australien, China, Lateinamerika, und die Region Japan / Hong Kong.
Nutzer die die App weiterhin kostenlos nutzen wollen, haben diese Möglichkeit allerdings nicht.
Fazit
Es bleibt abzuwarten, ob Zoom es schafft seine Funktionen sicherer zu gestalten. Massive datenschutzrechtliche Bedenken bestehen in jedem Falle weiterhin und auch die Politik hat deutlich gemacht, dass Zoom für sensible Daten oder vertrauliche Informationen keinesfalls verwendet werden sollte.
Update
Wie jetzt bekannt wurde, werden die Zugangsdaten von über 500.000 Zoom-Accounts im Darknet für weniger als einen Penny zum Kauf angeboten. In einigen Fällen werden die Daten auch kostenlos zur Verfügung gestellt. Der Verkauf soll seit Anfang April 2020 laufen.
Die Daten wurden vermutlich durch sogenannte „Credential Stuffing“-Angriffe gesammelt. Hierbei versuchen Hacker sich bei Online-Diensten – wie in diesem Fall Zoom – mit Login-Daten anzumelden, die aus älteren Datenpannen stammen. Denn: Viele Nutzer verwenden dasselbe Passwort für mehrere Dienste. Dies kommt Hackern beim „Credential Stuffing“ zugute. Erfolgreiche Anmeldungen werden dann in Listen zusammengestellt und an andere Hacker verkauft. Die Listen beinhalten neben den E-Mail-Adressen auch Passwortkombinationen.
Zoom erklärte, gegen diese Angriffe bereits umfangreiche Maßnahmen ergriffen zu haben. So habe man Firmen damit beauftragt, die Passwort-Dumps und Tools, mit denen diese erstellt wurden, ausfindig zu machen. Außerdem würden als kompromittiert erkannte Zoom-Accounts gesperrt und Nutzer würden gebeten, ihre Passwörter zu ändern. Zoom betonte außerdem, dass große Unternehmenskunden mit eigenen Single-Sign-On-Systeme im Allgemeinen nicht von den Angriffen betroffen seien.
Bei „Credential Stuffing“ handelt es sich um kein Zoom-spezifisches Sicherheitsproblem. Jeder Dienst kann Opfer solcher Angriffe werden. Doch insbesondere während der Corona-Krise, in der ein erhöhter Bedarf an Video-Kommunikationsmitteln besteht, sind die Nutzerdaten von Zoom für Hacker wohl von besonderem Interesse.
9. April 2020
Auch in Zeiten von Covid 19 gilt es den Datenschutz und die Datensicherheit ernst zu nehmen. Das hat sich mittlerweile auch bis zum Silicon Valley rumgesprochen. Der Anbieter der Videokonferenz-App Zoom reagiert nämlich auf die anhaltende Kritik. Das Unternehmen führt Maßnahmen ein, die bei den Nutzern für mehr Datenschutz- und Sicherheit sorgen sollen. Insbesondere das sogenannte “Zoombombing” will Zoom verhindern.
Hintergrund
Die mittlerweile 200 Millionen Nutzer zählende Videokonferenz-App erlebt wegen der Corona Krise einen regelrechten Boom, war aufgrund seiner Datenschutzpraxis jedoch bereits mehrfach in die Kritik geraten:
So häuften sich in den USA Fälle des Zoombombing. Hierbei wählen sich Trolle durch das Erraten von Zoom-Meeting-IDs, eine Ziffernfolge, in die meist schlecht geschützten Konferenzen ein und spielen beispielsweise rassistische Beleidigungen ein. Bis jetzt war dies möglich, weil die bloße Kenntnis der ID ausreichte, um sich ungefragt in nicht passwortgeschütze Meetings einzuklinken. Manche Nutzer machten es den Trollen aber auch nicht gerade schwer. So teilten viele Nutzer – prominentestes Beispiel ist wohl der britische Premierminister Boris Johnson – Screenshots ihrer Zoom Gespräche über ihre Social Media Accounts. Auf diesen Screenshots war dann die Zoom-Meeting-ID für jedermann sichtbar.
Zuletzt hat sogar Google seinen Mitarbeitern die Benutzung des Videkonferenz-Programms auf Arbeitsrechnern untersagt, weil Sicherheitsstandarts nicht eingehalten würden, wie ein Konzernsprecher gegenüger BuzzFeed bekannt gab. In unserem Beitrag vom 01.04.2020 sind wir auf weitere datenschutzrechtliche Bedenken eingegangen.
Step by step: Zoom reagiert
Der Videodienst hat für alle seine Plattformen nun eine erneuerte Version seiner Client-Software zur Verfügung gestellt. Eine der Neuerungen ist, dass die Meeting-ID nun nicht mehr wie bis dato für jedermann sichtbar in der Titelleiste steht. Ferner wurde ein “Security”-Button eingeführt. Dieser soll relevante Sicherheitsfeatures bündeln und transparent darstellen. Beispielsweise kann so der Zurgiff auf Meetings für die Außenwelt komplett gesperrt werden.
Nach unserer Einschätzung dürfte dies kurzen Prozess mit dem Phänomen des Zoombombing machen. Doch damit nicht genug. Zoom-Chef Eric Yuan kündigte an, in den nächsten drei Monaten step by step weitere Schwachstellen zu eliminieren anstatt neue Funktionen zu entwickeln.
