Für den zu Corona-Zeiten boomenden Videokonferenz-Anbieter Zoom reissen die schlechten Nachrichten nicht ab: In den letzten Tagen und Wochen wurden immer neue Sicherheits- und Datenschutzpannen publik.
So hat man «aus Versehen» Daten ohne Wissen seiner Kunden durch China geleitet, veraltete Verschlüsselungstechnik genutzt und ebenfalls «versehentlich» Nutzerdaten mit Facebook geteilt. Die Liste der Zoom-Sünden ist allerdings noch weit länger.
Das renommierte Citizen Lab der Universität von Toronto hat Zoom unter die Lupe genommen und die Software als ungeeignet für den Einsatz in Behörden und Unternehmen eingestuft. Die App eigne sich lediglich für die Verwendung mit Freunden und Bekannten, wenn keine vertraulichen Dinge besprochen würden.
Zoom-Chef Eric Yuan musste nach der jüngsten Pannenserie öffentlich zu Kreuze kriechen und gelobte Besserung. Doch Behörden und Firmen weltweit ziehen nun die Notbremse und verbannen den Skype-Rivalen. Das dürfte nicht zuletzt daran liegen, dass Zoom-Meetings weniger gut gesichert sind, als dies die US-Firma behauptet hatte (es gibt beispielsweise keine sichere Ende-zu-Ende-Verschlüsselung).
Apple hat Zoom offenbar schon länger rausgeschmissen, Tesla folgte letzte Woche und nun verbietet auch Google seinen Mitarbeitern die Zoom-Nutzung auf Arbeitsgeräten. Die Raumfahrtbehörde Nasa und der Raketenhersteller SpaceX haben den Einsatz, wie viele andere Unternehmen, ebenfalls untersagt.
«In der Bundesverwaltung arbeiten die Mitarbeitenden standardmässig mit Skype for Business (SfB). Aktuell erhält die Bundesverwaltung mit Microsoft Teams für die Dauer der ausserordentlichen Lage eine Alternativlösung zu Skype», heisst es beim Bund auf Anfrage. Weiter bestehe «die Möglichkeit, an bundesextern organisierten Online-Konferenzen, an welchen WebEx als Tool vorgegeben wird, teilzunehmen.» Zu Zoom will man sich nicht äussern, sagt aber: «Die Bundesverwaltung unterstützt für ihre Mitarbeitenden ausschliesslich den Einsatz der oben erwähnten Tools.»
Das Innenministerium in Österreich rät hingegen klipp und klar von Zoom ab, während umgekehrt das Justizministerium gerade 600 Zoom-Lizenzen anschaffen will, wie «Der Standard» schreibt. Allerdings soll Zoom bei unseren Nachbarn auf eigenen Servern im Bundesrechenzentrum laufen, was die Sicherheit erhöhe.
In Deutschland hat das Auswärtige Amt laut dem «Handesblatt» die Nutzung von Zoom auf dienstlichen Geräten untersagt. «Medienberichten und eigenen Erkenntnissen zufolge hat die Software von Zoom kritische Schwachstellen und weiterhin erhebliche Sicherheits- und Datenschutzprobleme», zitiert die Zeitung aus einem Rundschreiben des Ministeriums an die Mitarbeiter.
Ganz auf Zoom verzichten ist aber offenbar schwierig, da viele internationale Partner Zoom einsetzen. «Ein völliger Verzicht auf die App würde unsere Kommunikation mit ihnen derzeit massiv erschweren», heisst es im Schreiben des Auswärtigen Amts weiter. Daher werde die Nutzung auf privaten Geräten zu dienstlichen Zwecken «krisenbedingt» gestattet, wo dies unumgänglich für die Aufgabenerfüllung ist, schreibt das Handelsblatt.
Deutschland will also seinen Diplomaten die Nutzung von Zoom einschränken, doch andere Staaten nutzen die umstrittene App selbst für hochrangige Treffen. Beispielsweise hielt das britische Kabinett noch letzte Woche Sitzungen über den Videodienst ab. Auch in der EU wird teils für Video-Meetings gezoomt.
Andere Länder machen Nägel mit Köpfen: Taiwan hat Zoom für die behördliche Kommunikation laut der Nachrichtenagentur Reuters verbannt.
Zoom ist eine US-Firma, doch selbst dort ist den Behörden die Software nicht mehr geheuer. Der US-Senat hat die Verwendung eingeschränkt und die Stadt New York forderte alle Schulen auf, «so bald wie möglich von der Verwendung von Zoom Abstand zu nehmen». Die Schulbehörden empfehlen stattdessen die Alternative Microsoft Teams, das die gleichen Funktionen mit geeigneten Sicherheitsmassnahmen habe. Davon betroffen sind 1,1 Millionen Schüler in über 1800 Schulen. «Weitere Schuldirektionen und Universitäten in Nevada, Florida und Los Angeles haben sich nach mehrfachen Störungen gegen die Anwendung entschieden», schreibt die NZZ.
Zooms enorme Popularität lockt auch Betrüger an. Aktuell werden zahlreiche Fake-Zoom-Installer, die Malware enthalten, verbreitet. Kriminelle versuchen so beispielsweise Passwörter zu stehlen. Wer die Videokonferenz-App, trotz der unglaublichen Chronologie an Sicherheits-Fails nutzen möchte, «sollte sich die App nur von der offiziellen Herstellerseite herunterladen», rät IT-Experte Felix Bauer von der Initiative bleib-virenfrei.de.
Zooms Sündenregister ist lang: Sicherheitslücken, fragwürdige Überwachungsfunktionen, heimlicher Datenabfluss an Facebook, falsche Verschlüsselungs-Versprechen und zwielichtige Tricks, die an Schadsoftware erinnern etc..
Die zunehmenden Sicherheitsbedenken sowie Berichte über das sogenannte Zoombombing, bei denen sich Unberechtigte in Sitzungen einwählen, setzen das Unternehmen unter Druck. Seit einem Allzeithoch Ende März hat die Aktie fast einen Drittel an Wert verloren.
Zoom hat inzwischen zugegeben, dass die eigene Verschlüsselungstechnik unzureichend sei. Als Antwort auf die Pannenserie hat Zoom den Ex-Sicherheitschef von Facebook und Yahoo, Alex Stamos, als Berater an Bord geholt. IT-Experten befürchten, dass in nächster Zeit weitere Lücken bei Zoom gefunden werden, zumal die boomende Software nun von Dutzenden IT-Sicherheitsfirmen auf Fehler abgeklopft wird.
Zoom hat in den letzten Tagen rasch auf neue Sicherheitslücken in den Versionen für Mac-Computer und Windows-PCs reagiert und dafür von IT-Sicherheitsexperten Lob bekommen. Die schnelle Reaktion wurde notwendig, um das Kundenvertrauen nicht gänzlich zu verspielen. Doch dies konnte nicht verhindern, dass in den USA eine Sammelklage eingereicht wurde. In der Klage wird Zoom vorgeworfen, die Qualität des Datenschutzes zu hoch angegeben sowie nicht öffentlich gemacht zu haben, dass der Dienst nicht durchgehend verschlüsselt ist.
Der Trend zum Homeoffice in der Coronavirus-Pandemie hat Zoom Millionen neue Nutzer beschert. Noch im Dezember 2019 haben maximal 10 Millionen Menschen pro Tag ein Zoom-Meeting abgehalten, nun sind es über 200 Millionen.
Weniger bekannte Alternativen zu Zoom sind offene Videoanwendungen wie Jitsi Meet und Bigbluebutton. Bekannter sind kommerzielle Lösungen wie Skype, Microsoft Teams, Cisco WebEx oder Google Hangouts Meet. Für kleine Teams ist Whereby eine Option.
Und nochmals an die nicht IT-affinen Journalisten: Nein, es sind keine Sicherheitslücken, Funktionen welche interne Daten der User abgreifen, muss man explizit programmieren. Dies geschieht vorsätzlich!