Jetzt ist auch Zooms End-to-End-Verschlüsselung unter Beschuss

1. April 2020, 09:32
  • security
  • datenschutz
  • coronavirus
  • workplace
  • insideit
image

Der populäre Videokonferenz-Anbieter Zoom definiert "Endpoint" nach eigenen Vorstellungen. Damit erreicht die Kritik eine neue Stufe.

Zoom-Meetings werden trotz anderslautendem Marketing nicht End-to-End verschlüsselt, schreiben die Investigativ-Journalisten von 'The Intercept': "Tatsächlich verwendet Zoom eine eigene Definition des Begriffs, die Zoom selbst den Zugriff auf unverschlüsselte Video- und Audiodaten von Besprechungen ermöglicht."
In einem Security-Paper von Zoom wird gesagt, man habe eine End-to-End-Verschlüsselung mit Private Keys und nutze für die Verschlüsselung den Advanced-Encryption-Standard AES-256.
Dies gelte, sofern man sich über Computer einwähle und nicht via Telefon.
Als Verschlüsselung wird allerdings nur Transport Layer Security (TLS) genutzt, so 'The Intercept'. Auf die Journalistenfrage bezüglich End-to-End-Verschlüsselung antwortete ein Zoom-Sprecher: "Derzeit ist es nicht möglich, die E2E-Verschlüsselung für Zoom-Videokonferenzen zu aktivieren. Zoom-Videokonferenzen verwenden eine Kombination aus TCP und UDP. TCP-Verbindungen werden über TLS hergestellt, und UDP-Verbindungen werden mit AES unter Verwendung eines über eine TLS-Verbindung ausgehandelten Schlüssels verschlüsselt."

Zoom-Server als "Endpoint"

Nun ist TLS nicht dasselbe wie End-to-End-Verschlüsselung. Wer die Server kontrolliert, könne bei TLS-Verschlüsselung auf den Datenstrom zugreifen, was bei End-to-End-Verschlüsselung nicht möglich wäre. Nun verweist Zoom darauf, man verschlüssle von Endpoint zu Endpoint. Die Zoom-Definition von "Endpoint" lautet aber offenbar "Zoom-Server".
"Wenn wir in unseren anderen Dokumenten den Ausdruck 'End to End' verwenden, bezieht er sich auf die Verbindung, die von Zoom-Endpunkt zu Zoom-Endpunkt verschlüsselt wird", schrieb der Zoom-Sprecher. "Der Inhalt wird nicht entschlüsselt, da er durch die Vernetzung zwischen diesen Rechnern über die Zoom-Cloud übertragen wird."
Und damit, so kann man anmerken, heisst all dies sowieso nicht, dass AES-256 auf die bestmögliche Weise implementiert ist. Je nach Betriebsmodus unterscheidet sich nämlich die Angreifbarkeit, haben wir im Zuge der Crypto-AG-Affäre nebenbei gelernt. Doch dazu steht nichts im Security-Paper.
Damit wächst die Kritik an der Enterprise-Tauglichkeit von Zoom weiter. Bereits zuvor gerieten insbesondere die Datenschutzpraktiken der Firma unter Beschuss, einschliesslich einer später aktualisierten Richtlinie. Diese schien Zoom die Erlaubnis zu geben, Nachrichten und Dateien, die während Besprechungen ausgetauscht wurden, für Werbezwecke zu analysieren.
Am 31. März wurde zudem bekannt, dass die Staatsanwaltschaft des Bundesstaates New York Zoom in Hinblick auf Datenschutz und Security ins Visier genommen hat.
Die Videokonferenz-Plattform Zoom ist sehr populär geworden. Die durchschnittlichen User-Zahlen seien im März 2020 fast dreimal so hoch wie diejenigen des Konkurrenten Teams von Microsoft gewesen. Dies meldet 'Reuters' mit Verweis auf die Datenanalysten Apptopia.
Das angesprochene Security-Paper von Zoom ist als PDF verfügbar

Loading

Mehr zum Thema

image

Zürcher Datenschützerin zum Cloudeinsatz: "Der Regierungsratsbeschluss ändert gar nichts"

Bei Dominika Blonski häufen sich seit dem Frühling Anfragen von Behörden zur Cloudnutzung. Im Gespräch sagt die Datenschützerin: "Ich weiss nicht, was die Absicht der Zürcher Regierung war."

publiziert am 30.9.2022 7
image

IT-Woche: Datenschutz vs. Anwälte – wer gewinnt?

Es läuft die Schlussviertelstunde des Spiels. Aktuell steht es Unentschieden. Die Anwälte sind im Angriff, aber die Datenschützer haben eine starke Verteidigung im Aufgebot.

publiziert am 30.9.2022
image

Datenschützer äussern harsche Kritik an Cloud-Entscheiden von Behörden

Die Konferenz der schweizerischen Datenschutzbeauftragten (Privatim) fordert: Kein Freipass für Microsoft 365.

publiziert am 30.9.2022
image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 2