Zoom FAQ

Zoom beschreibt zur Frage des Umgang mit Data-Mining:
"Importantly, Zoom does not mine user data or sell user data of any kind to anyone."

Quellen:

• https://theintercept.com/2020/03/31/zoom-meeting-encryption/

Auf die Datenschutzlücke vom 26.3.2020, bei der bekannt wurde, dass der Zoom-Client unter iOS auch ohne Facebook-Account Daten an Facebook schickt, hat Zoom innerhalb weniger Tage reagiert und diese Lücke geschlossen. (Vorausgesetzt, man meldet sich nicht per Facebook-Konto an).

Quellen:

• https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account
• https://blog.zoom.us/wordpress/2020/03/27/zoom-use-of-facebook-sdk-in-ios-client

Am 30.3.2020 wurden Sicherheitsprobleme im Mac-Zoom-Client erkannt, die u.a. mittels Phishing ausnutzbar waren.

Zoom gibt in ihrem Blog am 1.4.2020 an, diesen Fehler geschlossen zu haben: "Released fixes for both Mac-related issues raised by Patrick Wardle."

Beide beanstandeten Sicherheitsprobleme wurden im aktuell herunterladbaren Mac-Zoom-Client behoben (Zeitstempel des Codesigning für den Installer: 2. Apr 2020 at  15:15:06).

Quellen:

• https://techcrunch.com/2020/04/01/zoom-doom/, https://heise.de/-4695129
• https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/
• https://objective-see.com/blog/blog_0x56.html

Ca. am 13.4. wurden ca. 500.000 Accounts mit Klartextpasswörtern publiziert, die anscheinend auch bei Zoom funktionieren. Es wird vermutet, dass diese Zugangsdaten mittels Credential Stuffing erhoben wurden, also dem automatisierten Durchprobieren von Login-Daten aus früheren Hacks anderer Webseiten. ZOOM selbst wurde nicht komprommitiert. BenutzerInnen sollten sicherheitshalber ihr Passwort ändern.

Quelle:

• https://www.heise.de/security/meldung/Zugangsdaten-fuer-hunderttausende-Zoom-Accounts-zum-Kauf-im-Darknet-entdeckt-4701838.html

Zoom bietet immer eine TLS-basierte Transportverschlüsselung (sofern Sie nicht mit normalem Telefon teilnehmen), jedoch eine Ende-zu-Ende-Verschlüsselung (End-to-End Encryption, E2EE) für Video-Gruppenkonferenzen nur mit Endpunkten, die bei Zoom liegen. Entsprechend nutzte Zoom diesen Begriff anders, als er normalerweise benutzt wird, in dem die Endpunkte die Geräte der Videokonferenzteilnehmer sind.

Für die Bereiche Chat und Dateitransfer haben wir Zoom so konfiguriert, dass jeweils eine Verschlüsselung nach Advanced Encryption Standard (AES) 256-bit eingesetzt wird.

Eine in den USA eingereichten Klage soll klären, ob durch die unübliche Verwendung des Begriffes “End-to-End-Verschlüsselung” für Zoom ein unzulässiger Wettbewerbsvorteil erlangt wurde. Prinzipiell sind auch die Pexip-Konferenzen, die wir vom DFN einsetzten, nicht End-to-End verschlüsselt.

Zoom hat mittlerweile eine Stellungnahme bzgl. End-to-End-Verschlüsselung veröffentlicht, worin dargestellt wird:

“To be clear, in a meeting where all of the participants are using  Zoom clients, and the meeting is not being recorded, we encrypt all  video, audio, screen sharing, and chat content at the sending client,  and do not decrypt it at any point before it reaches the receiving  clients.”

Wenn der Zoom-Client eingesetzt wird und das Meeting nicht aufgezeichnet wird, werden demnach gemäß der Aussage von Zoom alle Inhalte verschlüsselt und nicht mitgeschnitten.

Quellen:

• https://theintercept.com/2020/03/31/zoom-meeting-encryption/
• https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/

Bei Verwendung des Browsers werden weniger Daten, z.B. in Bezug auf die für die Konferenz verwendeten Geräte, erhoben. Die Funktion “Virtueller Hintergrund”, mit der in Bezug auf die häusliche Umgebung im Home-Office ein erhöhter Schutz der Privatsphäre möglich ist, kann mit dem Browser nicht genutzt werden.

Der Zoom-Client bietet in der Regel ein besseres Konferenzerlebnis und funktioniert häufig problemfreier. Im Gegenzug werden mehr Daten über die eingesetzten Geräte, wie den eigenen Rechner und die Audio- /Videogeräte erhoben. Die Nutzung der Funktion “Virtueller Hintergrund” ermöglicht einen eingeschränkten Schutz der heimischen Privatsphäre.

Zoom hat diese Funktion am 1.4.2020 allgemein abgeschaltet.

Quelle:

• https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/

Wir setzen keine Zoom-Rooms ein und das Features ist bei uns abgeschaltet.

Um den Abfluss von Daten von Zoom auf diese Weise zu verhindern, werden keine Third-Party-Apps zugelassen.

Wer Videokonferenzen ohne weiteren Zutrittsschutz erstellt (z.B. ein Passwort) und die URL dann öffentlich verfügbar macht, setzt sich dem Risiko aus, das ungewollte Konferenzteilnehmer eintreten und unerwünschtes Verhalten zeigen. Diese Probleme sind dem Bereich Spam, Trolling oder ggf. auch Phishing zuzurechnen, bei dem laufende Kommunikation, die frei im Netz erreichbar ist, gestört wird.

Es kann durch den Einsatz von Passwörtern für Konferenzen eingeschränkt werden. Der Begriff Zoombombing geht einerseits auf die aktuelle Beliebtheit der Plattform Zoom zurück und andererseits war es möglich, die URLs für eine Zoom-Videokonferenz zu erraten.

Neu angelegte Konferenzen werden bei uns standardmäßig mit Passwort angelegt.

Quellen:

• https://www.golem.de/news/zoombombing-trolle-uebernehmen-zoom-konferenzen-2003-147606.html

Das Problem mit den UNC-Links wurde von Zoom am 2.4.2020 behoben und UNC-Links werden nun nicht mehr ausgeführt.

Quellen:

• https://www.tomsguide.com/news/zoom-password-malware-flaw

• SOC2
• TRUSTe
• FedRAMP
• GDPR (mit Privacy Shield)

Quellen:

• https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf

Chats und Dateitransfers werden bei uns nach Advanced Encryption Standard (AES) 256-bit verschlüsselt.