Stern inaktivStern inaktivStern inaktivStern inaktivStern inaktiv
 

Zoom-Videokonferenzsoftware mit Sicherheitslücken?

In den letzten Wochen ist die Verwendung von Zoom-Videokonferenzsoftware explodiert, seit sie sich als Plattform der Wahl herausgestellt hat, um alles von Kabinettssitzungen bis zu Firmenbesprechungen inmitten des anhaltenden Ausbruchs des Coronavirus zu veranstalten. Die Arbeit von zu Hause, das sog. "Home-Office"  wurde während der Epidemie zur neuen Normalität.

Die App ist von durchschnittlich 10 Millionen im Dezember auf 200 Millionen Benutzer pro Tag in die Höhe geschossen - zusammen mit einem Anstieg des täglichen Datenverkehrs auf der Download-Seite um 535 Prozent im letzten Monat -, aber es hat auch einen massiven Anstieg der Probleme von Zoom gegeben. Insbesondere die  Sicherheits- und Datenschutzfragen sind bis dato noch nicht zufriedenstellend gelöst

Ist Zoom eine Malware?

Wie The Guardian berichtete, glauben einige Experten dies. Aber nein, Zoom ist wohl keine Malware. Vielmehr handelt es sich um eine Software, die leider voller Sicherheitslücken ist und diese wurden bisher nicht gründlich geprüft.

Die Datenschutzrichtlinie von Zoom wurde kritisiert, weil es möglich war, umfangreiche Daten über seine Benutzer - wie Videos, Transkripte und freigegebene Notizen - zu sammeln und diese zum persönlichen Vorteil an Dritte weiterzugeben. Am 29. März hat Zoom zwar seine Datenschutzrichtlinie verschärft und erklärt, dass keine Daten aus Besprechungen für Werbung verwendet werden. Die Daten werden jedoch weiter verwendet, wenn Benutzer die Marketing-Websites besuchen, einschließlich der Startseiten zoom.us und zoom.com.

Die Behauptung von Zoom, dass die End-to-End-Verschlüsselung zur Sicherung der Kommunikation verwendet wird, habe sich, so Hacker News, als irreführend erwiesen. Das Unternehmen gab an, dass in einer Besprechung, in der jeder Teilnehmer einen Zoom-Client verwendet und die nicht aufgezeichnet wird, alle Arten von Inhalten - Video, Audio, Bildschirmfreigabe und Chat - auf der Clientseite verschlüsselt und erst dann entschlüsselt werden, wenn diese die Empfänger erreicht. Wenn jedoch einer der Mehrwertdienste wie Cloud-Aufzeichnung oder Einwahl-Telefonie aktiviert ist, hat Zoom Zugriff auf die Entschlüsselungsschlüssel, die derzeit in der Cloud verwaltet werden. Dies macht es auch "Hackern oder einem Geheimdienst der Regierung leicht, Zugang zu diesen Schlüsseln zu erhalten", sagte ein bekannter Sicherheitsexperte.

Untersuchungen von Citizen Lab ergaben, dass die Art der verwendeten Verschlüsselung vage ist, wobei die für kryptografische Vorgänge generierten Schlüssel "an Teilnehmer eines Zoom-Meetings über Server in China geliefert werden, selbst wenn alle Meeting-Teilnehmer und das Unternehmen des Zoom-Abonnenten außerhalb von China sich befinden. " Audio und Video in jedem Zoom-Meeting werden mit einem einzigen AES-128 verschlüsselt und entschlüsselt, der im EZB-Modus verwendet wird und von allen Teilnehmern gemeinsam genutzt wird. Die Verwendung des EZB-Modus wird nicht empfohlen, da im Klartext vorhandene Muster während der Verschlüsselung erhalten bleiben.

Citizen Lab, hat ein schwerwiegendes Sicherheitsproblem mit der Wartezimmerfunktion von Zoom festgestellt, so dass empfohlen wird, die Kennwortfunktion für ein sog. "Wartezimmer" zu verwenden. Wie Kennowrte unter Zoom angelegt werden, finden Sie unter https://support.zoom.us/hc/en-us/articles/360033559832-Meeting-and-Webinar-Passwords-

Welche Einstellungen sind besonders wichtig in Zoom?

Chat auto saving auf OFF
Attention Tracking auf OFF
Verwenden Sie virtuellen background (siehe Einstellungen)
Halten Sie meeting IDs privat und senden sie die ID direkt an die gewünschten Teilnehmer und veröffentlichen sie die ID nicht
Setzen Sie bei den Account Sstemeinstellungen bei Passwort alles auf ON und bei "Alle meetings verwenden PMI auf ON
Meeting verschließen (lock)
 
Wenn Sie sich also Sorgen machen, legen Sie sich ein Besprechungskennwort fest und sperren Sie eine Besprechung, sobald alle Teilnehmer teilnehmen. Weitere Tipps zur Sicherheit von Zoom-Anrufen finden Sie in der Anleitung von EFF hier: https://www.eff.org/deeplinks/2020/04/harden-your-zoom-settings-protect-your-privacy-and-avoid-trolls

Quelle: Hacker News, Electronic Frontier Foundation