Switzerland

Wegen Corona nutzen alle Zoom – ist die Videokonferenz-App eine «Datenschutz-Katastrophe»?

Die britische Regierung verwendet Zoom, um während des Corona-Lockdowns Kabinettssitzungen abzuhalten. bild: twitter/@tomwarren

Analyse

Wegen Corona nutzen alle Zoom – ist die Videokonferenz-App eine «Datenschutz-Katastrophe»?

Zoom ist das neue Skype. Doch die in Corona-Zeiten populäre Video-Chat-App übermittelte heimlich Daten an Facebook – und hat offenbar auch Sicherheitsprobleme. Was also sind die Alternativen?

Zoom ist die App der Stunde. Denn von Selbst-Quarantäne, Homeoffice und Fernunterricht profitiert niemand mehr als der aufstrebende Videokonferenz-Anbieter aus den USA.

Noch vor zehn Jahren hätten während eines Lockdowns alle geskypt, doch heute läuft Zoom dem etablierten Anbieter für Videoanrufe den Rang ab. Seit Ausbruch der Pandemie rangiert Zoom in vielen Ländern auf Platz 1 in den App-Stores von Apple und Google. Das müssen allein in den letzten Wochen zig Millionen von Downloads sein.

>> Coronavirus: Alle News im Liveticker

Die Google-Suchanfragen nach Zoom explodieren seit Mitte März

Suchanfragen weltweit nach Zoom (blau), Skype (rot), Microsoft Teams (gelb) und FaceTime (grün).
screenshot: google trends

Zoom (blau) hat die Welt erobert. Nur in Europa dürfte Skype (gehört zu Microsoft) noch knapp beliebter sein. screenshot: google trends

Für Zooms Durchmarsch gibt es gute Gründe:

Wer zu Corona-Zeiten schnell, unkompliziert und kostenlos ein Video-Meeting mit bis zu 100 Teilnehmern durchführen will, greift immer öfter zu Zoom. Und zwar nicht nur Unternehmen: Die Menschen nutzen Zoom für Yoga-Kurse, für ein Bier mit Freunden und für die Schule.

Doch längst nicht alle zoomen fröhlich mit: Die Datenschutz-Aktivisten von Digitalcourage twittern, Zoom sei eine «Datenschutz-Katastrophe». Auch der IT-Sicherheitsexperte Mike Kuketz rät «dringend» von der Zoom-Nutzung ab. Denn: «Hier werden offenbar einige Daten erhoben, gesammelt und an Dienstleister (Drittanbieter) übermittelt – datenschutzfreundlich ist das nicht.» Zu einem ganz anderen Schluss kommt der IT-Fachanwalt Stephan Hansen-Oest: «Die Behauptung, dass Zoom nicht datenschutzkonform einsetzbar ist, ist aus datenschutzrechtlicher Sichtweise offensichtlich falsch.»

Warum also die Aufregung?

Zooms merkwürdiger Umgang mit Privatsphäre und Sicherheit

Recherchen des Onlinemagazins Motherboard zeigen, dass die iOS-App von Zoom heimlich Daten an Facebook weitergibt bzw. weitergab, selbst wenn man kein Facebook-Konto hat (die Android-Version wird nicht erwähnt). Bekanntlich liefern viele Apps und Webseiten Nutzerdaten an Facebook, was auch nicht grundsätzlich verboten ist. Das Problem hier: Zoom lässt die Nutzer über den Datenfluss an Facebook im Dunkeln.

Konkret sammelt Zoom Daten über die Nutzung und das Gerät des Zoom-Nutzers und gibt die gerätespezifische Werbe-ID an Facebook weiter. Diese eindeutige Identifikation wird genutzt, um Nutzern App- und Webseiten-übergreifend personalisierte Werbung anzuzeigen. Als Nutzer kann man immerhin verhindern oder zumindest einschränken, dass von Webseiten und Apps an Facebook weitergegebene Daten mit dem eigenen Facebook-Profil verknüpft werden. Wie das geht, haben wir in diesem Artikel erklärt.


Am Montag reichte ein US-Nutzer der Videokonferenz-Software eine Sammelklage ein wegen der Weitergabe von Daten an Facebook. Zoom hat das heimliche Tracking zugegeben und den Facebook-Tracker inzwischen aus der iOS-App entfernt. Im Firmenblog schreibt Zoom, man nehme den Datenschutz «extrem ernst» und es habe sich um ein Versehen gehandelt.

Also alles gut? Mitnichten.

Auch wenn Zoom im Browser (statt als App) genutzt wird, fliessen Daten an etliche Trackingdienste, wie der deutsche IT-Sicherheitsprüfer Mike Kuketz schreibt. Seine zu Testzwecken bei Zoom registrierte E-Mail-Adresse sei direkt an eine weitere Firma (Kundenbefragungsplattform) übermittelt worden.

Das Fazit des IT-Experten:

«An jeder Ecke wird gerade Zoom für Videokonferenzen empfohlen. Wer die Datenschutzerklärung gelesen und verstanden hat, wird Zoom vermutlich nicht nutzen wollen. Absolut gruselig.»

Zoom reagiert

Die Kritik und die drohende Sammelklage haben Zoom offenbar aufgeschreckt. Das Unternehmen hat seine Datenschutzhinweise überarbeitet und schreibt nun klipp und klar:

«Wir verkaufen Ihre personenbezogenen Daten nicht. Egal, ob Sie ein Unternehmen, eine Schule oder ein einzelner Benutzer sind, wir verkaufen Ihre Daten nicht. [...] Wir verwenden die auf der Grundlage Ihrer Nutzung unserer Dienste, u. a. Ihrer Meetings, erhobenen Daten nicht für Werbezwecke.»

Zoom zoom.us

Kritiker wird dies trotzdem nicht gänzlich beruhigen, denn:

Zoom ist ein Wiederholungstäter

Mit dem Erfolg gerät Zoom in den Fokus der Datenschützer, das Unternehmen sorgte aber schon zuvor mit Sicherheitslücken für Schlagzeilen:

Erstes Beispiel: Ende Januar wurde bekannt, «dass ein Angreifer eine lange Liste von Zoom-Meeting-IDs (z. B. zoom.us/j/93XXX9XXX5) generieren und automatisiert schnell überprüfen kann, ob eine entsprechende Zoom-Meeting-Adresse gültig ist oder nicht». Ein Hacker hätte so Zugang zu Zoom-Meetings erhalten, die nicht passwortgeschützt sind.

Zweites Beispiel: «Durch eine schwerwiegende Sicherheitslücke im vergangenen Jahr konnte ungefragt auf die Webcam von Millionen Zoom-Nutzern auf dem Mac zugegriffen werden. Selbst nach Deinstallation der Software war dies weiterhin möglich», schreibt das deutsche Techportal golem.de. Das heisst: Zoom-Nutzer konnten auf dem Mac ungefragt zu Videokonferenzen hinzugefügt werden – mitsamt Videostream.

Die Zoom-Entwickler schlossen die Lücke nur unzureichend, so dass sich Apple schlussendlich genötigt sah, mit einem stillen System-Update den ungewollten Zugriff auf die Webcam zu sperren. Die Sicherheitspanne wurde möglich, da Zoom einen undokumentierten, lokalen Webserver auf den Mac-Rechnern einrichtete, der selbst nach der Deinstallation von Zoom auf dem Mac verblieb.

Drittes Beispiel: In den USA warnte die Electronic Frontier Foundation (EEF) jüngst vor Zooms umfassenden Überwachungsfunktionen, die vermutlich längst nicht allen Nutzern bewusst sind. Die Nichtregierungsorganisation, die sich für Privatsphäre und Konsumentenschutz einsetzt, kritisiert primär den folgenden Punkt:

Teilt der Videokonferenz-Veranstalter seinen Bildschirm in Zoom, kann er sehen, ob die anderen Teilnehmer das Zoom-Fenster aktiv haben, oder eben nicht. Konkret wird angezeigt, welche Teilnehmer das Video-Fenster länger als 30 Sekunden nicht mehr aktiv bzw. im Vordergrund haben.

Ein Vorgesetzter, der ein Zoom-Meeting anberaumt, kann also beobachten, welche Mitarbeiter aufmerksam an seinen Lippen hängen bzw. potenziell etwas anderes tun. Eigentlich wurde dieses «Aufmerksamkeitstracking» entwickelt, damit beispielsweise Online-Kursleiter prüfen können, ob Teilnehmer dem Kurs auch wirklich folgen.

Immerhin: Die kontroverse Funktion ist in den Einstellungen standardmässig deaktiviert, kann vom Konferenz-Veranstalter aber jederzeit aktiviert werden.

Zoom reagiert nun auch auf die Kritik am Aufmerksamkeitstracking und schreibt:

«Ihre Meetings gehören Ihnen. Wir überwachen sie nicht und speichern sie nach Abschluss Ihres Meetings auch nicht, es sei denn, wir werden vom Gastgeber des Meetings beauftragt, sie aufzuzeichnen und zu speichern. Wir benachrichtigen die Teilnehmer sowohl über Audio als auch über Video, wenn sie an Meetings teilnehmen, ob der Gastgeber ein Meeting aufzeichnet, und die Teilnehmer haben die Möglichkeit, das Meeting zu verlassen.»

Zoom

Angestellte sollten sich dennoch bewusst sein, dass das eigene Unternehmen bzw. die IT-Administratoren aufgezeichnete Zoom-Meetings später jederzeit wieder anschauen können.

Zu den Zoom-Kunden gehören nebst immer mehr Privatpersonen insbesondere grosse Unternehmen, Regierungen und Organisationen im Bildungs- und Gesundheitswesen. Für sie gilt: Zoom ist weder beim Datenschutz noch bei der Sicherheit über alle Zweifel erhaben.

Auch die britische Regierung zoomt.

Als Premierminister Boris Johnson vor einigen Tagen auf Twitter ein Foto von sich und der Regierung beim Zoom-Meeting veröffentlichte, stellte die BBC die Sicherheitsfrage. Das britische National Cyber Security Centre antwortete: «Es gibt keinen Grund, Zoom nicht für Kommunikation unterhalb einer gewissen Geheimhaltungsschwelle zu nutzen».

Die Frage nach den Alternativen

Jitsi Meet kann insbesondere für kleine Teams eine Alternative sein. bild: jitsi.org

Im Windschatten von Zoom, Skype, Microsoft Teams oder Google Meet (allesamt US-Firmen) gewinnt momentan die Open-Source-Alternative Jitsi Meet an Fahrt. Wie bei Zoom oder Skype kann man bequem ohne Nutzerkonto an einem Video-Chat teilnehmen. Glaubt man den Reviews in den App-Stores, scheint Jitsi allerdings insbesondere bei einer grösseren Anzahl Teilnehmenden wenig zuverlässig zu funktionieren. Für kleinere Online-Meetings mit fünf bis zehn Personen ist es trotzdem eine Überlegung wert.

Gerade Universitäten, die Vorlesungen an Hunderte von Studenten übertragen, werden hingegen weiterhin auf grosse, leistungsstarke Anbieter wie Zoom setzen. IT-Anwalt Stephan Hansen-Oest, der Online-Schulungen mit bis zu 800 Teilnehmenden hält, schreibt hierzu: «Bei mir ist Zoom das einzige Tool gewesen, das nachhaltig die Leistung hat, grosse Meetings zu ‹wuppen›, ohne dass Ton oder Bild ausfallen oder ich Meeting-Teilnehmende bitten muss, bitte ihre Kamera auszustellen, damit das mit der Bandbreite hinhaut.»

Zoom, das kleinere Übel?

«Der Spiegel» bringt das Dilemma auf den Punkt:
Wenn Firmen wegen Corona ihre ganze Belegschaft ins Homeoffice schicken und vom IT-Verantwortlichen erwartet wird, dass ruckzuck alles funktioniert, «welche Videokonferenzsoftware wird der wohl bevorzugen – die auf eigenen Servern einzurichtende Premium-Datenschutz-Lösung aus Deutschland, die bei mehr als vier Nutzern ins Trudeln gerät, oder das US-Angebot Zoom, das auch von Anfängern leicht zu bedienen ist und selbst bei mehreren hundert gleichzeitigen Teilnehmern stabil läuft? Es ist eine Abwägung zwischen dem, was schiefgehen wird, und dem, was schiefgehen könnte.»

So gesehen ist Zoom im Alltag für viele schlicht das kleinere Übel.

So kam das Coronavirus in die Schweiz – eine Chronologie

World of Watson: Wenn Büro-Angestellte ehrlich wären

Abonniere unseren Newsletter

Liveticker

Armee sagt alle unnötigen WKs bis Ende Juni ab +++ Kantone: «Bitte nicht ins Ferienhaus!»

>> Hier geht's zum Liveticker der vergangenen Tage

Link zum Artikel

Football news:

Wahnsinn in Frankfurt: die Eintracht traf 34 mal aufs Tor, verlor aber knapp (9 Minuten vor dem Abpfiff)
Real hat den Vertrag mit Casemiro bis 2023 verlängert. (Marca)^.Real Madrid habe den Vertrag mit Mittelfeldspieler Casemiro verlängert, behauptet Marca
Teddy Sheringham: Pogba muss gehen, damit Manchester United jemanden mit der richtigen Mentalität kauft
In Frankreich kamen 400 Fans zum illegalen Fußball. Nach dem Tor liefen Sie aufs Feld
Sulscher über Igalo: ich Hoffe, dass er den Einstieg beenden kann, vielleicht mit Manchester United die Trophäe gewinnen kann
Müller über Alfonso Davis: der Münchner Läufer Stiehlt dem Gegner ständig den Ball
Favre über 0:1 gegen Bayern: Borussia verdient ein Remis