1703 views
# Zoom - Und ist der Ruf erst ruiniert Zoom ist in den vergangenen Wochen mehrfach durch negative Schlagzeilen aufgefallen. Der Videokonferenzanbieter war im Zuge des Shutdowns sehr schnell sehr beliebt geworden, was allerdings auch dazu führte, dass sowohl IT-Sicherheitsspezialistinnen als auch Datenschützerinnen genauer hinsahen und einige unerfreuliche Dinge fanden. Leider geriet in der darauffolgenden Debatte einiges durcheinander, und manchen Kommentaren war anzumerken, dass sie eigene kommerzielle oder politische Interessen (closed Source ist ihbäh, die Amis sind pöhöse, nehmt doch lieber mein Produkt) nicht sauber von begründbarer technischer Kritik trennten. Im Prinzip erlebten wir eine Neuauflage des Streits um Whatsapp. Manche Kommentare stellten auch nicht klar heraus, wann es um eine Zoom-spezifische Lücke und wann um eine Schwachstelle ging, die Zoom entweder nur zufällig oder andere Anbieter genauso traf. So ist es beispielsweise kein Fehler von Zoom, wenn trotz jahrelanger Warnungen der Fachleute viele Menschen [eine Zugangskennung für verschiedene Anlässe nutzen](https://www.heise.de/security/meldung/Zugangsdaten-fuer-hunderttausende-Zoom-Accounts-zum-Kauf-im-Darknet-entdeckt-4701838.html) und beispielsweise ihr Mailpasswort auch für ihr Zoom-Konto passt. Ein anderes Phänomen wie [einfach zu ratende Konferenzkennungen](https://krebsonsecurity.com/2020/04/war-dialing-tool-exposes-zooms-password-problems/) und der damit verbundenen Möglichkeit zum Zoom-Bombing betrifft prinzipiell auch andere Systeme wie beispielsweise Big Blue Button. Wer dort einen Nutzernamen kennt, braucht maximal 2.176.782.336 Versuche, um sämtliche Räume dieses Kontos zu finden. Die Lücke bei Zoom wird dadurch nicht weniger schlimm, aber andere Anbieter sollten sich auch nicht enstspannt zurücklehnen. ## Wer zweimal lügt Zoom hat sich zweimal bei Aussagen erwischen lassen, bei denen man schon sehr viel guten Willen aufbringen muss, hier keine Täuschungsabsicht zu sehen: 1. Der MacOS-Client verschickte Daten an Facebook, ohne dass in der Datenschutzerklärung darauf hingewiesen wurde. Nach öffentlicher Kritik wurde der Client korrigiert. 2. Zoom warb mit "Ende-zu-Ende-Verschlüsselung", einer Verschlüsselung also, die nur auf den Endgeräten entschlüsselt werden kann, nicht jedoch auf dem Server von Zoom, durch den die Daten laufen. Auf mehrfache Nachfrage hin präzisierte das Unternehmen seine Aussage dahingehend, dass es unter dem einen Ende ein Endgerät, unter dem anderen Ende den Server von Zoom versteht. Das ist aber keine Ende-zu-Ende-, sondern eine schlichte Transportwegverschlüsselung. Der Unterschied besteht hier nicht in einem nur für Nerds relevanten Detail, sondern ganz fundamental darin, dass Zoom technisch in der Lage ist, jedes Video, jede Präsentation, jedes Gespräch zu belauschen, mitzuschneiden und zu manipulieren. Das Einzige, was Zoom daran hindert, ist der treuherzige Augenaufschlag, so etwas ganz bestimmt nimmer nie nicht zu wollen. ## Datenverarbeitung im Auftrag Zoom ist Auftragsverarbeiter im Sinne des [Art 4 Ziff 8](https://dsgvo-gesetz.de/art-4-dsgvo/) und [Art 28 DSGVO](https://dsgvo-gesetz.de/art-28-dsgvo/) sowie [§ 62 BDSG](https://dsgvo-gesetz.de/bdsg/62-bdsg/). Nach §62(1) BDSG hat die verantwortliche Stelle hierbei die Pflicht > für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz zu sorgen. Falls nun die verantwortliche Stelle von Versäumnissen seitens des Auftragnehmers Kenntnis erhält und nichts unternimmt, gerät sie in die Mithaftung. Gerade im Verlauf der Negativberichtestattung der letzten Wochen über Zoom wächst damit die Gefahr für die verantwortliche Stelle, im Falle eines Datenlecks oder eines Datenverlusts aufgrund unzureichend gesicherter Clients mit zur Verantwortung gezogen zu werden. ## Was bedeutet Privacy Shield? Beim Privacy-Shield-Abkommen verpflichten sich Anbieter in den USA, ein dem der EU äquivalentes Datenschutzniveau einzuhalten, was es wiederum Unternehmen in der EU ermöglicht, Daten bei diesen Anbietern verarbeiten zu lassen. Die Frage ist: Wer bescheinigt diesen Firmen, die nötigen technischen und organisatorischen Maßnahmen getroffen zu haben? Ist es der TÜV? Gibt es ISO-Zertifikate? Nein, die Firmen zertifizieren sich selbst. Vor dem EuGH läuft gerade eine [Klage](https://https://netzpolitik.org/2019/eu-generalanwalt-gibt-schrems-in-facebook-fall-recht/) gegen dieses Abkommen. ## Datenschutz interessiert mich nicht Die übliche Antwort auf Kritik an Zoom lautet, es handle sich dabei nur um vorgeschobene Datenschutzgründe, auf den man in dieser schweren Krise keine Rücksicht nehmen kann. Wenn es auf Datenschutz nicht weiter ankommt, sondern nur darauf, schnell und billig irgendeine lauffähige Lösung zu haben, bleibt die Frage, warum die Meisten nicht einmal versucht haben, sich mit funktionierenden, wenn auch aus Datenschutzsicht bedenklichen Alternativen zu beschäftigen, sondern sich auf die erstbeste Lösung stürzten, die ihnen begegenete und ihnen nicht sofort um die Ohren flog. Hier ist eine Liste von Möglichkeiten, die ebenfalls funktionieren und nichts kosten. So gut wie keine davon hat eine akzeptable Datenschutzerklärung. Eine oder vielleicht zwei Organisationen unterschreiben einen AV-Vertrag nach DSGVO. Alle jedoch funktionieren. Die Big-Blue-Button-Instanzen wurden (Beispiel https://bbb.daten.reisen) bereits erfolgreich bei mittleren dreistelligen Teilnahmezahlen gestestet. Jitsi erreicht seine Grenze meist im mittleren einstelligen Bereich pro Sitzung (die Server halten aber durchaus viele kleine Sitzungen parallel aus) ### Big Blue Button * https://conference.sixtopia.net (tec, test setup with LetsEncrypt, docker, account request at bbb@sixtopia.net) * https://meeten.statt-drosseln.de * https://bbb.daten.reisen * https://bbbzentral.informatik.uni-bonn.de/b/ * https://bbb.cyber4edu.org - öffentlicher BigBlueButton Server in Deutschland für Bildungseinrichtungen * https://bbb.hostsharing.net - fetter Server für Genossenschaftsmitglieder * https://bbb.linxx.net (test instance, but runs stable and the good experience in use can be confirmed, landline dial-in integrated) * https://bbb.daten.reisen (y0sh / C4) ### Jitsi * https://jitsi.random-redirect.de (Finds the fastest server / Находит быстрый сервер) * https://meet.ffmuc.net soluzione di chiusura con più di ~ 2 0 сервер Freifunk Monaco * https://jitsi.hamburg.freifunk.net/ (общедоступный, Freifunk Hamburg) / (публично, Freifunk Hamburgo) * https://meet.jitsi.world/ (изд, y0sh (miembro de C4)) * https://meet.jitsi.xyz/ * https://jitsi.fem.tu-ilmenau.de * https://jitsi.fem.tu-ilmenau.de/datenschutz.html * https://jitsi.c3re.de (c3RE, Freifunk Recklinghausen noc@c3re.de) * https://meet.nerd.re * https://www.c3re.de/datenschutzerklaerung/ * https://freejitsi01.netcup.net * https://neusskotzt.de/ * https://meet.netzfraktion.org * https://meet.calypsohost.net / сервер Франкфурт от швейцарской компании * https://jitsi.hamburg.ccc.de/ * https://hamburg.ccc.de/privacy-notice/ * https://jitsi.freifunk-duesseldorf.de/ (Freifunk Düsseldorf, nomaster) * https://meet.in-berlin.de/ (IN-Berlin, gizzmo) * https://jitsi.sixtopia.net (público, tec) * https://meet.prjx.de (público, cascha) * https://meet.kobschaetzki.de/ (público, bengoshi) * https://bidrowning.digital (caos interno, _luc) * https://www.switch.ch/meet/ (SWITCH y varias universidades suizas) * https://jitsi.osna.social / (OkLab / Chaostreff Osnabrück * https://meet.linus-neumann.de/ * https://jitsi.lihas.de * https://jitsi.flyingcircus.io (публично, Flying Circus Internet Operations GmbH) * https://jitsi.ff3l.net IKK * https://meet.systemli.org/ * https://meet.digitales-machen.berlin (public, Berlin) ### (offline) formerly https://meet.raspberryblog.de (offline)(публично , prueba de carga hasta ahora, rampone @ c4) * https://jitsi.derhagen.eu * https://meet.hasi.it (pizzakatze@chaos-siegen.de) * https://videoconferenzaq.homeip.net/ * https://jitsi.hbs.ac * https://meet.teckids.org/ (Teckids eV) * https://jitsi.cc * https://meet.domov.de * https://meet.darknebu.la * https://virtual.chaosdorf . Lounge * https://meet.alpha.berlin * https://meet.adminforge.de * https://meet2.adminforge.de * https://meet.bitblaze.io (serveris Austrijā / Vīnē) // https://www.bitblaze.io/legal/privacy * https://meet.chaosdata.de (pubblico, coca / corecatcher) * https://jitsi.dorf-post.de (Lounge https://jitsi.dorf-post.de/chaos-lounge ) * https://video.linxx.net * https://jitsi.5711.org * https://freejitsi01.netcup.net/ * https://meet.cybernauts.science * https://besprechung.net * https://meet.coredump.ch * https://meet.tellifon.ch/ (public, ran by amazee.io on SWITCH.ch infra) * https://jitsi.jotbe.reunite.earth * https://jitsi.hamburgJitsi MeetJitsi MeetJitsi Meet.cccJitsi Meet.de/ * https://meet.juch beim Anmeldeprozess sind umfangreiche Angaben von personenbezogenen Daten voreingestellt, die etwa bei ust.at (Public, Vienna Austria) * https://meet.fffutu.re (Fridays for Future Server) * https://calls.disroot.org (Dutch provider, for smaller groups a Nextcloud call is also offered on their website) * https://mee.nofech.cz - public Meet Jitsi running in Prague * https://meet.cyber4edu.org - öffentlicher Meet Jitsi Server in Deutschland für Bildungseinrichtungen ## Welche Optionen habe ich? Wenn ich Zoom partout nicht traue, es aber einzusetzen gezwungen bin, kann ich es in einer virtuellen Maschine oder auf einem ausgedienten Notebook laufen lassen. Das ändert zwar nichts an der Tatsache, dass die Server in den USA stehen und ich überlegen sollte, welche Inhalte ich in einer Videokonferenz besprechen möchte, aber ich kann zumindest die lokalen Auswirkungen eines unsicheren Clients begrenzen. Zoom will es zahlenden Kundinnen erlauben, die [Region auszuwählen](https://www.heise.de/ix/meldung/Zoom-Zahlende-Kunden-koennen-Routing-und-Rechenzentren-auswaehlen-4701811.html), über die ihr Datenverkehr geleitet werden soll. Angeblich lassen sich aber auch bei diesem Modell die USA nicht abwählen (das bitte selbst prüfen). In Deutschland gibt es den Anbieter [Connect4Video](https://connect4video.com/index.php/de/), der damit wirbt, Zoom über ausschließlich in Deutschland stehende Server zu betreiben. Für harmlose Inhalte wie Schulungen, Streaming von Veranstaltungen und allgemeinen Besprechungen scheint Zoom derzeit geeignet zu sein. Vorerst wäre ich aber vorsichtig, was besonders sensible Inhalte wie * vertrauliche und streng vertrauliche Geschäftsgeheimnisse * Seelsorge * Personal- und Disziplinarangelegenheiten * Bewerbungen * Gesundheitsdaten (Diakonie) * besondere Kategorien personenbezogener Daten nach [Art 8 DSGVO](https://dsgvo-gesetz.de/art-9-dsgvo/) angeht ## Konsequenzen With great popularity comes great responsibility. Wir haben gesehen, was passiert, wenn unter großem Zeitdruck pragmatische Entscheidungen getroffen werden müssen. Häufig fällt die Wahl dann nicht auf die langfristig beste Option, sondern auf die naheliegendste Lösung. Die Gefahr dieses Ansatzes liegt darin, in einer Krisensituation Weichenstellungen zu treffen, die sich später schwer ändern lassen - teilweise, weil die Migrationskosten zu hoch wären, zum großen Teil aber auch, weil die Leute schlicht zu faul sind, Gewohnheiten aufzugeben, auch wenn sie schlecht sind. Der gesamte Markt an Videokonferenzsystemen ist voll mit unbefriedigenden Lösungen. Zoom hat Sicherheitsprobleme, Jitsi skaliert nicht vernünftig, Webex nur geringfügig besser, Adobe Connect setzt auf seit einem Jahrzehnt obsoleter Technik auf, und selbst das sich in der Open-Source-Welt ständig wachsender Beliebtheit erfreuende Big Blue Button fällt durch Mängel auf, die in der Branche für Stirnrunzeln sorgen: 1. [CVE-2020-12112](https://github.com/tchenu/CVE-2020-12112/) beschreibt einen Local File Inclusion (LFI) genannten Angriff, mit dem es möglich ist, auf dem Server Dateien zum Zugriffsbereich des Webservers auszulesen. Angriffe dieser Art gehören zu jahrzehntealten Klassikern, können aber in der Zwischenzeit auch gut automatisiert erkannt werden. 2. Big Blue Button ermöglicht es, ganze Sitzungen aufzuzeichnen und sich später als Videodatei anzuschauen. Hierzu hat die Sitzungsmoderation einen Aufnahmeknopf, mit dem sie eine Aufnahme beliebig starten, fortsetzen und abschließend beenden kann. Anschließend sammelt der Server die verschiedenen Aufzeichnungen der Webcams, den Audiostream und der gezeigten Präsentation ein und fügt sie zu einer gemeinsamen Videodatei zusammen. Die Gäste der Sitzung bekommen angezeigt, wann die Aufzeichnung läuft und wann nicht. Das alles wirkt sehr schön, hat aber einen Haken: Die Aufnahme läuft ständig, also auch dann, wenn der Aufnahmeknopf niemals gedrückt wird. Bei allen Sitzungen auf dem Server. Der Aufnahmeknopf bewirkt nichts weiter als das Setzen entsprechender Anfangs- und Endemarkierungen, so dass beim späteren Zusammenführen zu einer Gesamtdatei nur die markierten Abschnitte in die für Moderatorinnen erhältliche Form übernommen werden. Der Rest verbleibt als temporäre Dateien auf dem Server und wird regelmäßig automatisch gelöscht. Mit anderen Worten: Jede einzelne Sitzung bleibt für einige Tage oder Wochen für die Serveradministration in voller Länge zugreifbar, egal, ob die Moderation eine Aufnahme veranlasst hat oder nicht. Das ist den meisten Menschen allerdings nicht klar. Sie nehmen an, dass wie bei einer normalen Kamera nur dann eine Aufzeichnung angefertigt wird, wenn die rote Lampe brennt. Auf den Umstand, dass dem nicht so ist, sollte zumindest die Datenschutzerklärung deutlich hinweisen. Alternativ kann das Aufzeichnen serverweit deaktiviert werden, aber das wollen viele auch nicht, weil es gerade bei Seminaren sinnvoll sein kann, wenigstens die Vorträge mitzuschneiden. Um das Aufzeichnen global zu deaktivieren, muss in ```/usr/share/bbb-web/WEB-INF/classes/bigbluebutton.properties``` der Parameter ```disableRecordingDefault``` auf ```true``` gesetzt und der Server mit ```bbb-config --restart``` neu gestartet werden. Ein Patch für das Greenlight-Frontend ist [in Vorbereitung](https://github.com/bigbluebutton/greenlight/issues/1163#issuecomment-611791578). Kurz: Der Bedarf an Videokonferenzen hat die Branche praktisch über Nacht erwischt. Die meisten auf dem Markt befindlichen Lösungen scheitern schon an elementaren Anforderugen wie beispielsweise 15 gleichzeitig eingeloggten Clients mit laufenden Kameras und Mikrofonen. Die verbleibenden Lösungen funktionieren zwar aus technischer Sicht, weisen aber zum Teil erhebliche Sicherheitsmängel auf und haben Defizite beim Datenschutz. Das geht schon dabei los, dass es kaum Anbieter mit Servern in der EU gibt. ## Links * [Linkliste zu Zoom und DSGVO-Konformität](https://blog.forum-politische-bildung.de/sel-igbce-18/2018/05/28/linkliste-zur-dsgvo/#Zoom_und_DSGVOKonformitaet) * [Blogartikel - Abschnitt "Das Landeskirchenamt spielt Gerhard Schröder"](https://ohmyroot.wordpress.com/2020/04/11/wahrend-des-shutdowns-haben-sie-vielleicht-auch-zeit-fur-einen-langeren-text/) * [Liste frei verfürbarer Videokonferenzsysteme](https://pads.ccc.de/ep/pad/view/jitsiliste/latest) * [Eine Sicherheitsanalyse des Zoom-Clients unter Windows](https://dev.io/posts/zoomzoo/) * [Anbieterübersicht und Checkliste zur DSGVO-Konformität](https://datenschutz-generator.de/dsgvo-video-konferenzen-online-meeting/) * Der Flensburger Anwalt Stephan Hansen-Oest hat einen langen [Blogartikel](https://www.datenschutz-guru.de/zoom-ist-keine-datenschleuder/) mit zahlreichen Updates verfasst. Er hält grundsätzlich den Einsatz von Zoom für datenschutzrechtlich vertretbar, ist aber sehr reflektiert und auch bereit, seine Ansicht teilweise zu revidieren. Selbst, wer zu anderen Schlüssen kommt als er, sollte seinen Artikel lesen, weil er zahlreiche Quellen angibt und sich ständig auf dem Laufenden hält. Sein aktuelles Ergebnis: > Ja, meiner Meinung nach kann „Zoom“ aktuell noch in datenschutzrechtlich zulässiger Weise eingesetzt werden (Stand: 23.04.2020 – 12:48 Uhr). ABER: Aufgrund der Entdeckung von Schwachstellen im Windows-Client und der erst mit „Zoom 5.0“ behobenen Verschlüsselungsprobleme (s. Update XVII) sollte man bei besonders schutzbedürftigen Betriebs- und Geschäftsgeheimnissen Vorsicht walten lassen.