Datenschutz und Privatsphäre

Videokonferenz-App Zoom in der Kritik

Uhr
von Oliver Wietlisbach, Watson

Zoom ist das neue Skype. Doch die in Corona-Zeiten populäre Video-Chat-App übermittelte heimlich Daten an Facebook – und hat offenbar auch Sicherheitsprobleme. Was also sind die Alternativen?

(Source: Allie Smith / Unsplash)
(Source: Allie Smith / Unsplash)

Zoom ist die App der Stunde. Denn von Selbst-Quarantäne, Homeoffice und Fernunterricht profitiert niemand mehr als der aufstrebende Videokonferenz-Anbieter aus den USA.

Noch vor zehn Jahren hätten während eines Lockdowns alle geskypt, doch heute läuft Zoom dem etablierten Anbieter für Videoanrufe den Rang ab. Seit Ausbruch der Pandemie rangiert Zoom in vielen Ländern auf Platz 1 in den App-Stores von Apple und Google. Das müssen allein in den letzten Wochen zig Millionen von Downloads sein.

Für Zooms Durchmarsch gibt es gute Gründe:

  • Einfach nutzbar

  • Gratis nutzbar (mit der Basis-Version)

  • Funktioniert zuverlässig

  • Für alle Geräte / Betriebssysteme verfügbar

Wer zu Corona-Zeiten schnell, unkompliziert und kostenlos ein Video-Meeting mit bis zu 100 Teilnehmern durchführen will, greift immer öfter zu Zoom. Und zwar nicht nur Unternehmen: Die Menschen nutzen Zoom für Yoga-Kurse, für ein Bier mit Freunden und für die Schule.

Doch längst nicht alle zoomen fröhlich mit: Die Datenschutz-Aktivisten von Digitalcourage twittern, Zoom sei eine "Datenschutz-Katastrophe". Auch der IT-Sicherheitsexperte Mike Kuketz rät "dringend" von der Zoom-Nutzung ab. Denn: "Hier werden offenbar einige Daten erhoben, gesammelt und an Dienstleister (Drittanbieter) übermittelt – datenschutzfreundlich ist das nicht." Zu einem ganz anderen Schluss kommt der IT-Fachanwalt Stephan Hansen-Oest: "Die Behauptung, dass Zoom nicht datenschutzkonform einsetzbar ist, ist aus datenschutzrechtlicher Sichtweise offensichtlich falsch."

Warum also die Aufregung?

Zooms merkwürdiger Umgang mit Privatsphäre und Sicherheit

Recherchen des Onlinemagazins Motherboard zeigen, dass die iOS-App von Zoom heimlich Daten an Facebook weitergibt beziehungsweise weitergab, selbst wenn man kein Facebook-Konto hat (die Android-Version wird nicht erwähnt). Bekanntlich liefern viele Apps und Webseiten Nutzerdaten an Facebook, was auch nicht grundsätzlich verboten ist. Das Problem hier: Zoom lässt die Nutzer über den Datenfluss an Facebook im Dunkeln.

Konkret sammelt Zoom Daten über die Nutzung und das Gerät des Zoom-Nutzers und gibt die gerätespezifische Werbe-ID an Facebook weiter. Diese eindeutige Identifikation wird genutzt, um Nutzern App- und Webseiten-übergreifend personalisierte Werbung anzuzeigen. Als Nutzer kann man immerhin verhindern oder zumindest einschränken, dass von Webseiten und Apps an Facebook weitergegebene Daten mit dem eigenen Facebook-Profil verknüpft werden.

Am Montag reichte ein US-Nutzer der Videokonferenz-Software eine Sammelklage ein wegen der Weitergabe von Daten an Facebook. Zoom hat das heimliche Tracking zugegeben und den Facebook-Tracker inzwischen aus der iOS-App entfernt. Im Firmenblog schreibt Zoom, man nehme den Datenschutz «extrem ernst» und es habe sich um ein Versehen gehandelt.

Also alles gut? Mitnichten.

Auch wenn Zoom im Browser (statt als App) genutzt wird, fliessen Daten an etliche Trackingdienste, wie der deutsche IT-Sicherheitsprüfer Mike Kuketz schreibt. Seine zu Testzwecken bei Zoom registrierte E-Mail-Adresse sei direkt an eine weitere Firma (Kundenbefragungsplattform) übermittelt worden.

Das Fazit des IT-Experten: "An jeder Ecke wird gerade Zoom für Videokonferenzen empfohlen. Wer die Datenschutzerklärung gelesen und verstanden hat, wird Zoom vermutlich nicht nutzen wollen. Absolut gruselig."

Zoom reagiert

Die Kritik und die drohende Sammelklage haben Zoom offenbar aufgeschreckt. Das Unternehmen hat seine Datenschutzhinweise überarbeitet und schreibt nun klipp und klar: "Wir verkaufen Ihre personenbezogenen Daten nicht. Egal, ob Sie ein Unternehmen, eine Schule oder ein einzelner Benutzer sind, wir verkaufen Ihre Daten nicht. [...] Wir verwenden die auf der Grundlage Ihrer Nutzung unserer Dienste, unter anderem Ihrer Meetings, erhobenen Daten nicht für Werbezwecke."

Kritiker wird dies trotzdem nicht gänzlich beruhigen, denn:

Zoom ist ein Wiederholungstäter

Mit dem Erfolg gerät Zoom in den Fokus der Datenschützer, das Unternehmen sorgte aber schon zuvor mit Sicherheitslücken für Schlagzeilen:

Erstes Beispiel: Ende Januar wurde bekannt, "dass ein Angreifer eine lange Liste von Zoom-Meeting-IDs (z. B. zoom.us/j/93XXX9XXX5) generieren und automatisiert schnell überprüfen kann, ob eine entsprechende Zoom-Meeting-Adresse gültig ist oder nicht". Ein Hacker hätte so Zugang zu Zoom-Meetings erhalten, die nicht passwortgeschützt sind.

Zweites Beispiel: "Durch eine schwerwiegende Sicherheitslücke im vergangenen Jahr konnte ungefragt auf die Webcam von Millionen Zoom-Nutzern auf dem Mac zugegriffen werden. Selbst nach Deinstallation der Software war dies weiterhin möglich", schreibt das deutsche Techportal "Golem". Das heisst: Zoom-Nutzer konnten auf dem Mac ungefragt zu Videokonferenzen hinzugefügt werden – mitsamt Videostream.

Die Zoom-Entwickler schlossen die Lücke nur unzureichend, so dass sich Apple schlussendlich genötigt sah, mit einem stillen System-Update den ungewollten Zugriff auf die Webcam zu sperren. Die Sicherheitspanne wurde möglich, da Zoom einen undokumentierten, lokalen Webserver auf den Mac-Rechnern einrichtete, der selbst nach der Deinstallation von Zoom auf dem Mac verblieb.

Drittes Beispiel: In den USA warnte die Electronic Frontier Foundation (EEF) jüngst vor Zooms umfassenden Überwachungsfunktionen, die vermutlich längst nicht allen Nutzern bewusst sind. Die Nichtregierungsorganisation, die sich für Privatsphäre und Konsumentenschutz einsetzt, kritisiert primär den folgenden Punkt:

Teilt der Videokonferenz-Veranstalter seinen Bildschirm in Zoom, kann er sehen, ob die anderen Teilnehmer das Zoom-Fenster aktiv haben, oder eben nicht. Konkret wird angezeigt, welche Teilnehmer das Video-Fenster länger als 30 Sekunden nicht mehr aktiv beziehungsweise im Vordergrund haben.

Ein Vorgesetzter, der ein Zoom-Meeting anberaumt, kann also beobachten, welche Mitarbeiter aufmerksam an seinen Lippen hängen beziehungsweise potenziell etwas anderes tun. Eigentlich wurde dieses "Aufmerksamkeitstracking" entwickelt, damit beispielsweise Online-Kursleiter prüfen können, ob Teilnehmer dem Kurs auch wirklich folgen.

Immerhin: Die kontroverse Funktion ist in den Einstellungen standardmässig deaktiviert, kann vom Konferenz-Veranstalter aber jederzeit aktiviert werden.

Zoom reagiert nun auch auf die Kritik am Aufmerksamkeitstracking und schreibt: "Ihre Meetings gehören Ihnen. Wir überwachen sie nicht und speichern sie nach Abschluss Ihres Meetings auch nicht, es sei denn, wir werden vom Gastgeber des Meetings beauftragt, sie aufzuzeichnen und zu speichern. Wir benachrichtigen die Teilnehmer sowohl über Audio als auch über Video, wenn sie an Meetings teilnehmen, ob der Gastgeber ein Meeting aufzeichnet, und die Teilnehmer haben die Möglichkeit, das Meeting zu verlassen."

Angestellte sollten sich dennoch bewusst sein, dass das eigene Unternehmen beziehungsweise die IT-Administratoren aufgezeichnete Zoom-Meetings später jederzeit wieder anschauen können.

Zu den Zoom-Kunden gehören nebst immer mehr Privatpersonen insbesondere grosse Unternehmen, Regierungen und Organisationen im Bildungs- und Gesundheitswesen. Für sie gilt: Zoom ist weder beim Datenschutz noch bei der Sicherheit über alle Zweifel erhaben.

Als Premierminister Boris Johnson vor einigen Tagen auf Twitter ein Foto von sich und der Regierung beim Zoom-Meeting veröffentlichte, stellte die BBC die Sicherheitsfrage. Das britische National Cyber Security Centre antwortete: "Es gibt keinen Grund, Zoom nicht für Kommunikation unterhalb einer gewissen Geheimhaltungsschwelle zu nutzen".

Die Frage nach den Alternativen

Im Windschatten von Zoom, Skype, Microsoft Teams oder Google Meet (allesamt US-Firmen) gewinnt momentan die Open-Source-Alternative Jitsi Meet an Fahrt. Wie bei Zoom oder Skype kann man bequem ohne Nutzerkonto an einem Video-Chat teilnehmen. Glaubt man den Reviews in den App-Stores, scheint Jitsi allerdings insbesondere bei einer grösseren Anzahl Teilnehmenden wenig zuverlässig zu funktionieren. Für kleinere Online-Meetings mit fünf bis zehn Personen ist es trotzdem eine Überlegung wert.

Gerade Universitäten, die Vorlesungen an Hunderte von Studenten übertragen, werden hingegen weiterhin auf grosse, leistungsstarke Anbieter wie Zoom setzen. IT-Anwalt Stephan Hansen-Oest, der Online-Schulungen mit bis zu 800 Teilnehmenden hält, schreibt hierzu: "Bei mir ist Zoom das einzige Tool gewesen, das nachhaltig die Leistung hat, grosse Meetings zu 'wuppen', ohne dass Ton oder Bild ausfallen oder ich Meeting-Teilnehmende bitten muss, bitte ihre Kamera auszustellen, damit das mit der Bandbreite hinhaut."

Zoom, das kleinere Übel?

"Der Spiegel" bringt das Dilemma auf den Punkt: Wenn Firmen wegen Corona ihre ganze Belegschaft ins Homeoffice schicken und vom IT-Verantwortlichen erwartet wird, dass ruckzuck alles funktioniert, "welche Videokonferenzsoftware wird der wohl bevorzugen – die auf eigenen Servern einzurichtende Premium-Datenschutz-Lösung aus Deutschland, die bei mehr als vier Nutzern ins Trudeln gerät, oder das US-Angebot Zoom, das auch von Anfängern leicht zu bedienen ist und selbst bei mehreren hundert gleichzeitigen Teilnehmern stabil läuft? Es ist eine Abwägung zwischen dem, was schiefgehen wird, und dem, was schiefgehen könnte."

So gesehen ist Zoom im Alltag für viele schlicht das kleinere Übel.

Dieser Artikel erschien zuerst am 31. März 2020 auf watson.ch.

Webcode
DPF8_175701