Die Videokonferenz-Software Zoom ist aktuell in aller Munde. #stayathome ist der Grundsatz und um nicht vollständig sozial distanziert zu bleiben, werden Meetings und sogar Kaffeepausen virtuell abgehalten. Bei Unternehmen, welche die digitale Transformation schon begonnen haben, sind die Tools für solche Meetings vorhanden, meist liegt es noch an der Nachlizenzierung aufgrund von mehr Nutzern als erwartet. Doch bei Unternehmen, welche bis anhin noch keine digitale Meeting-Erfahrungen haben und auch bei Schulen und Privatpersonen werden praktikable, pragmatische Lösungen gesucht, um das Social Distancing auf eine Virtual Closeness zu etablieren. Eine dieser Lösungen ist Zoom von Zoom Video Communications Inc. (Symbol ZM), einem US-Unternehmen mit Hauptsitz in San Jose, Kalifornien.
In diesem Beitrag zeigen wir auf, warum Zoom aktuell nicht die beste Lösung ist – und, falls es nicht anders geht, worauf geachtet werden soll bei der Nutzung von Zoom.
Warum Zoom?
Warum fokussieren wir uns auf Zoom? Grundsätzlich ist jede Software mit Fehlern ausgestattet. Durch das aktuelle Social Distancing und die händeringende Suche nach virtuellen Meeting-Lösungen geriet Zoom auch in den Fokus der Angreifer. Sogar die Aktie der Firma Zoom Technologies Inc. (Symbol ZOOM) schoss kurzzeitig 4000% in die Höhe (aktuell +1980%) – doch hierbei handelt es sich nicht um die Firma, die die Videokonferenzsoftware herstellt. Diese Aktie (Symbol ZM) schoss lediglich ca. 150% in die Höhe. Bemerkenswert, wie Menschen überreagieren können.
Warum nicht Zoom?
Elon Musk hat in seinem Raumfahrtunternehmen SpaceX in einer E-Mail vom 28. März 2020 seinen Mitarbeitern mitgeteilt, dass die Nutzung von Zoom deaktiviert wurde, aufgrund erheblicher Datenschutz- und Sicherheitsbedenken. Auch das Federal Bureau of Investigations (FBI) warnte vor der Nutzung von Zoom basierend auf Fällen, in welchen Schulvorlesungen durch Angreifer übernommen wurden. Es betrifft leider jeden, gerade in diesen Zeiten von Social Distancing.
Datenschutz bei Zoom
Zoom behauptet auf der Webseite, dass die Software eine End-zu-End-Verschlüsselung nutzt. Das bedeutet, dass nur die Teilnehmer die Inhalte der Meetings sehen können, der Hersteller Zoom jedoch nicht. Am 31. März 2020 gab Zoom Video Communication Inc. öffentlich zu, dass es sich nicht um eine End-zu-End-Verschlüsselung handelt. Demzufolge hat der Hersteller potenziell die Möglichkeit, auf Zoom-Inhalte jederzeit zuzugreifen und diese auch zu speichern. Laut Angaben des Herstellers sei es nicht möglich, eine End-zu-End-Verschlüsselung für Meetings zu etablieren. Bei anderen Herstellern geht dies jedoch problemlos.
Auch datenschutzrelevant waren (da Zoom diese vor einigen Tagen entfernt habe) Integrationen direkt in die Fackbook API. D.h. Facebook war stets informiert über die Nutzung von Zoom, unabhängig davon, ob der Teilnehmer Facebook hat oder nicht. Diese Funktion wurde entfernt.
Zoom Bombing
Zoom Bombing ist ein direkter Angriff auf ungeschützte Meetings. Via Zoom Bombings können unerwünschte Teilnehmer am Meeting teilnehmen und dieses potenziell sogar übernehmen. Dies hat einen Impact auf sehr viele Meetings, wenn man bedenkt, dass dies beim Unterricht in einer Schule oder in einem Verwaltungsratsmeeting passieren kann. Wie man sich gegen Zoom Bombing schützen kann, lesen Sie weiter unten.
Zoom-basierte Malware
Angreifer verteilen aktuell Zoom-basierte Malware, d.h. Schadsoftware, welche direkt auf die Benutzer von Zoom gerichtet ist. Dies kann einerseits durch gefälschte Links stattfinden oder durch Täuschung von Benutzern, um diese dazu zu bringen, Zoom-ähnliche Software zu installieren.
Schwachstellen bei Zoom
Auch wenn sämtliche möglichen Sicherheitsmassnahmen getroffen wurden, hat jede Applikation ihre technischen Schwachstellen. Auch hier ist Zoom wieder im Fokus der Angreifer und aktuell bekannte Schwachstellen betreffen sämtliche Betriebssysteme inkl. Smartphones und Tablets. Dies kann zur Folge haben, dass ein Angreifer potenziell Zugriff auf Ihre Kamera oder Mikrofon erhalten kann – auch nach dem virtuellen Meeting. Im schlimmsten Fall kann ein Angreifer die Kontrolle Ihres Endgerätes übernehmen und Daten abziehen – in den meisten Fällen unbemerkt.
Hierzu muss gesagt werden, dass jede Software, unabhängig vom Hersteller, Fehler hat (siehe Beitrag: die zwei Security Axiome). Durch den globalen Fokus auf Zoom werden jedoch durch die Angreifer spezifisch für diesen Hersteller Schwachstellen gesucht, gefunden und ausgenutzt.
Unsichere Meeting-Einstellungen
In viele Fällen kommt es vor, dass Meetings mit unsicheren Einstellungen erstellt werden. Die untenstehenden Tipps geben Aufschluss über die wichtigsten Einstellungen zum Thema Sicherheit bei Zoom.
So nutzen Sie Zoom richtig – falls es nicht anders geht
1) Laden Sie Zoom von einer sicheren Quelle runter
Die Verbreitung von Zoom hat auch Angreifer auf den Plan gerufen. Durch Verschicken von falschen Download- oder Meeting-Links werden Benutzer getäuscht und zur Installation von Malware verleitet. Laden Sie stets Zoom von der für Ihr Betriebssystem gültigen Quelle runter.
2) Halten Sie die Software aktuell
Prüfen Sie regelmässig, ob es eine neue Version von Zoom gibt und installieren Sie diese vor dem nächsten Meeting.
3) Halten Sie Ihre Meeting-ID geheim!
Mit der Meeting-ID und ohne Schutzmassnahmen können unerwünschte Teilnehmer dem Meeting beitreten. Verzichten Sie darauf, die Meeting-ID oder Screenshots von Meetings mit einer sichtbaren Meeting-ID in sozialen Medien zu posten. Im Speziellen ist Ihre persönliche Meeting-ID (PMI) streng geheim zu halten. Generieren Sie für jedes Meeting eine separate Meeting-ID. Das Geheimhalten der Meeting-IDs verhindert Spontanbesuche von ungewünschten Teilnehmern in Ihren Meetings.
Abbildung 1 - Meeting des Premier Ministers Boris Johnson mit sichtbarer Meeting ID (Quelle: Twitterfeed von Boris Johnson @BorisJohnson)
4) Sichern Sie Ihre Meetings mit Passwörtern
Setzen Sie ein Passwort für die Meetings, immer. Damit stellen Sie sicher, dass niemand teilnehmen kann, der das Passwort nicht kennt.
5) Aktivieren Sie den Warteraum
Aktivieren Sie in den Meeting-Optionen den Warteraum. Damit verhindern Sie die Teilnahme von ungewünschten Gästen. Stelle Sie auch sicher, dass Sie den Warteraum überwachen, damit Teilnehmer nicht vergessen gehen.
6) Deaktivieren Sie Freigaben für die Teilnehmer
Deaktivieren Sie Freigaben für die Teilnehmer. Dies verhindert ungewünschte Freigaben während des Meetings.
7) Meeting für weitere Teilnehmer sperren
Nachdem alle gewünschten Teilnehmer am virtuellen Meeting teilgenommen haben, sperren Sie das Meeting für weitere Teilnehmer. Damit verhindern Sie die Teilnahme weiterer ungewünschter Gäste.
8) Posten Sie keine Zoom-Meeting Screenshots auf sozialen Medien
Durch das Posten von Zoom-Meeting-Screenshots auf sozialen Medien könnten Sie einerseits Ihre Meeting-ID preisgeben und andererseits könnten Sie hierbei sogar datenschutzrechtlich belangt werden.
9) Achten Sie auf Aufnahmen
Zoom-Meetings ermöglichen es, dass der Host das gesamte Meeting aufnehmen und speichern kann. Achten Sie auf das Aufnahmesymbol und bitten Sie den Host, die Aufnahme abzubrechen.
10) Chats können gespeichert werden
Jeder Teilnehmer hat die Möglichkeit, vor dem Verlassen des Meetings den Inhalt des Chats zu sichern.
Sollten Sie Fragen haben zur sicheren Kommunikation im Internet, stehe wir Ihnen selbstverständlich virtuell gerne zur Verfügung.