Die Nachfrage nach Smart Working-Tools ist im ersten Halbjahr 2020 exponentiell gestiegen. Ein Tool, das sich bei Millionen von Nutzern durchgesetzt hat, ist Zoom. Mit dem plötzlichen Schritt ins Rampenlicht hat die Freemium-Videokonferenz-App viel Aufmerksamkeit erregt – und nicht immer waren positive Nachrichten der Anlass.
Eine Erklärung für die Popularität von Zoom gründet darin, dass es auf den ersten Blick hält, was es verspricht: Zoom bietet eine schnelle, frei zugängliche Software-Lösung, um Menschen über Video miteinander zu verbinden. Allerdings ohne die End-to-End-Verschlüsselung, über die das Tool angeblich verfügt.
In einer perfekten Welt wäre das alles, was ein Endnutzer von einer Webkonferenz erwartet und braucht. Das Problem ist jedoch, dass wir in einer Welt voller Sicherheits- und Datenschutzrisiken leben.
Das bedeutet, dass die Nutzung von Zoom sowohl für Unternehmen als auch für Einzelpersonen ganz erhebliche Fallstricke bergen kann. Denn Zoom unternimmt wenig, um seine Nutzer vor derlei Angriffen zu schützen. Genau genommen ist Zoom sogar verantwortlich dafür, dass Sie als Nutzer mehr denn je dieser Gefahr ausgesetzt sind.
Lassen Sie uns im Folgenden genauer analysieren, wodurch Wildix sich wesentlich von Zoom unterscheidet und woran dies konkret beim Umgang mit den Themen Schutz der Privatsphäre und Datensicherheit zutage tritt.
Fehlende Sicherheit — sowohl intern als auch extern
Ein weithin bekanntes Problem von Zoom ist, dass Fremde sich ohne große Hürden uneingeladen in Videokonferenzen einklinken können. Dieses Phänomen ist so bekannt, dass es bereits einen eigenen Namen erhalten hat: „Zoombombing,“ ein Begriff, den selbst das FBI verwendete, als es sich öffentlich einschalten musste, um vor solchen Attacken zu warnen.
Diese Episoden haben wohl auch deshalb derart viel Aufmerksamkeit erregt, da die durch Zoombomber hervorgerufenen Störungen meist auf Schockmomente zugespitzt sind: Es werden obszöne Dinge in die Teilnehmerrunde gerufen oder gar Sex-Videos auf die Bildschirme projiziert. Ziel scheint es zu sein, die Teilnehmer massiv zu stören und die Aufmerksamkeit ganz auf die Störenfriede zu lenken.
Diese Störungen sind in erster Linie deshalb möglich, da Zoom es versäumt hat, ein Mindestmaß an Sicherheitsstandards einzuführen. Das größte Problem besteht darin, dass Zoom-Konferenz-URLs einen einfachen 7- bis 9-stelligen Nummern-Code verwenden. Das macht es Eindringlingen leicht, durch Brute-Force-Hacking in die Konferenzen einzusteigen. Zoom-Konferenzen können auf diese Weise leicht geknackt werden, selbst wenn der Zugangslink geheim gehalten wurde. Außerdem waren präventive Maßnahmen gegen solche Attacken, wie Passwörter oder Warteräume, bisher standardmäßig deaktiviert.
All das legt nahe, dass Zoombombing nicht das Resultat von fehlerhaftem oder unbeholfenem Nutzerverhalten anzulasten, sondern vielmehr einer ungenügenden Software-Architektur geschuldet ist. Mit Blick auf die Praxis ist die Sicherheit eines Programmes immer nur so gut, wie der Durchschnittsnutzer diese aufrechtzuerhalten imstande ist. Das bedeutet folgerichtig, dass eine Kommunikationssoftware von Haus aus sicher sein muss, ohne dass der Nutzer zahllose Handbücher und Video Tutorials studieren muss.
Was wir bei Zoom beobachten, ist leider das Gegenteil. Das Programm an sich gewährleistet dem Nutzer keine Sicherheit. Vielmehr wälzt es die Verantwortung auf den Nutzer ab. Der User muss die Plattform bis ins kleinste Detail verstehen, um etwaigen Sicherheitslücken vorzubeugen.
Hilfreiche Anwendung oder Malware?
Deutlich werden die Sicherheitsdefizite in der Programmierung von Zoom auch bei der Installation. Wie Sicherheitsexperten herausfanden, erfolgt auf Mac OS eine Auto-Installation von Zoom, ganz ohne Genehmigung des Nutzers. Zudem wird es auf vielen Geräten nicht als Web-Konferenz-Tool, sondern als Malware klassifiziert.
Zunächst mag dies kein Problem darstellen, weil Zoom selbst nicht als „bösartige“ Software einzustufen ist. Doch können sich auf diese Weise auch Trojaner einschleusen. Durch die (unwissentlich gewährten) Berechtigungen kann Schadsoftware installiert werden, die Ihre Geräte ausspioniert.
Tatsächlich ist es für Malware mit Zoom einfacher, auf einem Macbook auf Webcam und Mikrofon zuzugreifen.
Wildix legt hingegen bereits bei der Programmierung der Software größten Wert auf Sicherheit, damit diese Schwachstellen gar nicht erst auftreten.
Beispielsweise wird ungebetenen Gästen bei einer Videokonferenz vorgebeugt, indem komplexe alphanumerische URLs verwendet werden. Indem die Konferenz-URLs durch eine zufällige Kombination aus Ziffern und Buchstaben generiert werden, ist es für Eindringlinge ungleich schwerer, die Konferenz zu stören.
Das Problem mit Schadsoftware wird umgangen, indem das Design Browser-basiert ist. Wildix basiert auf WebRTC und verlangt die explizite Genehmigung, auf Mikrofon und Kamera zugreifen zu dürfen. Aber noch wichtiger ist, dass das Programm dank des nahezu undurchdringlichen Designs von WebRTC überhaupt nur sehr schwer zu hacken ist.
Gerade was die Sicherheit betrifft, arbeitet Wildix auf ganzer Linie effizient und transparent.
Weitergabe von personenbezogenen Daten als Knackpunkt
Der nicht-transparente Umgang mit Daten und Genehmigungen durch Zoom, schlägt sich auch auf die Privacy-Einstellungen der Nutzer nieder. Cybersecurity Experte Doc Searls beschreibt es als „gruselige“ Verschwörung mit Werbe-Tracking-Firmen.
Laut eines Nutzerberichtes griff Zoom in der Vergangenheit nicht nur Daten aus Videokonferenzen ab — beginnend vom Gesicht der Teilnehmer bis hin zu den Objekten im Hinetrgrund — sondern verkaufte die personenbezogenen Daten an Firmen aus dem Marketingumfeld. Seit dem letzten Privacy Policy Update von Zoom kann dies nun nicht mehr passieren, doch es stellt sich die Frage, wie es überhaupt jemals dazu kommen konnte. Schließlich sollte ein kompetenter Webkonferenz-Entwickler Geld mit seiner proprietären Software verdienen, nicht mit dem Verkauf von Daten.
Besorgniserregend ist auch der Umgang von Zoom mit aufgenommenen Videokonferenzen. Wie die Washington Post herausfand, speichert Zoom Aufnahmen standardmäßig auf öffentlichen URLs — so öffentlich, dass Zoom-Aufnahmen über eine einfache Google-Suche gefunden werden können. Standardmäßig stellt Zoom die Konferenzen somit frei ins Internet. Auch wenn Nutzereinstellungen einen gewissen Schutz für die Aufnahmen bieten können, ist es doch erschreckend, wie eine solche Sicherheitslücke auftreten kann.
Aber selbst wenn Sie Ihre Konferenzen nicht aufnehmen, ist Ihr Account nicht unbedingt sicher. Seit Januar 2020 tauchen im Dark Web immer wieder Datenbanken mit Zoom Account Namen und Passwörtern zum Verkauf auf. Mit der wachsenden Anzahl an Zoom-Nutzern, wuchs natürlich auch diese Datenbank und wurde damit immer attraktiver für Hacker.
Wildix legt großen Wert auf den Schutz der Privatsphäre. Hier werden keinerlei Kommunikationsinformationen für das Werbe-Tracking gespeichert. Dadurch, dass die App eine Browser-zu-Browser-Verschlüsselung nutzt, ist es unmöglich, diese Daten abzufischen, auch für Wildix-Techniker. Aufgezeichnete Videokonferenz werden standardmäßig privat abgelegt. Die komplexe, per Zufall generierte URL ist von Außen nicht auffindbar.
Die Wahrung der Privatsphäre ist Wildix „eingeschrieben“ und gelangt automatisch zum Einsatz. Bei Zoom liegt die Verantwortung auch hierfür beim Endnutzer.
Erklärungsversuche
Man muss Zoom zu Gute halten, dass Sie inzwischen Ihre Schwachstellen bemerkt haben. Anfang April 2020 — nicht lange nach den ausführlichen Recherchen des New York Attorney General — ließ das Unternehmen verlauten, dass Feature Updates für 90 Tage ausgesetzt werden und der Fokus stattdessen auf bestehenden Sicherheitslücken liegt.
Diese Aussage erfolgte im Rahmen einer Entschuldigung zu den Zoom-Sicherheitslücken vom CEO des Unternehmens, Eric Yuan. Darin stellte er außerdem klar, weshalb das Produkt überhaupt mit solchen Sicherheitslücken auf den Markt gekommen ist. In dieser Stellungnahme erklärt Yuan, dass die Anzahl der aktiven Nutzer weit höher war, als das Unternehmen je erwartet hatte. Ursprüngliche wurde Zoom für große Unternehmen erstellt, die über einen umfassenden IT-Support verfügen.
Damit mag Yuan Recht haben. Jedoch sollte bei all den Sicherheitslücken wohl eher klar gestellt werden, dass Zoom besser nur in Verbindung mit einem internen technischen Support genutzt werden sollte. Und dieses Tech Team muss groß genug sein, um den Großteil seiner Arbeit damit zu verbringen, das Programm am Laufen zu halten.
Richtig ist sicher auch, was Yuan durch die Blume sagt: Für kleine bis mittlere Unternehmen und sogar für Einzelpersonen ist Zoom keine sinnvolle Lösung.
Dies scheint eine Schlussfolgerung zu sein, die auch von den öffentlichen Schulen in New York City geteilt wird, die die Plattform nun haben fallen lassen. Ähnlich sieht es der selbsternannte „Technologe von öffentlichem Interesse“ Bruce Schneier, der ausführlich über die Probleme der Software schrieb. Der Informatik-Professor Arvind Narayanan der Princeton Universität bezeichnet Zoom hingegen unverblümt als „Malware“.
Was wir daraus lernen
Wenn wir aus all dem etwas lernen, dann dass Sicherheit in die Kommunikationsplattform eingebunden sein muss. Fehler bei der Nutzung können immer auftreten. Deshalb sollten die Sicherheitsfeatures der Lösung stets aktiviert und nicht etwas sein, das man manuell ein- und ausschalten kann.
Die Tatsache, dass das „Secure by Design“-Konzept ein integraler Bestandteil der Wildix-Lösung ist, entspricht nicht einem bloßen Lippenbekenntnis. Bei Wildix ist „Security“ keine Einstellung, die Sie aktivieren sollten, um Angriffe abzuwehren. Die Sicherheitsmechanismen greifen automatisch sobald Sie die Plattform nutzen. Sie müssen sich nicht zwischen Komfort und Sicherheit entscheiden. Wildix bietet Ihnen standardmäßig beides.
Bei näherem Hinsehen wird klar, dass nichts den Komfort mehr behindert als fehlende Sicherheit. Zoom hat uns allen dies deutlich vor Augen geführt: ein unsicheres Tool ist langfristig wenig brauchbar. Denn wer möchte schon eine Lösung nutzen, mit der man sich einem nicht kalkulierbaren Risiko aussetzt?
Die Fakten
| Wildix | Zoom | |
| Invite-only videoconferences | On by default | Opt-in |
| Downloadable recordings | On by default | Opt-in |
| Conference URLs | Alphanumeric (more combinations, harder to guess) | Numeric-only (fewer combinations, easier to guess) |
| Kick or mute conference attendees | Yes | Yes |
| Recorded conferences | Private only | Public or private |
| Installation | N/A, used in browser | Uses pre-install exploits to save clicks |
| Webcam and mic access | Given only to Wildix in-browser app | Given to standalone Zoom app and any programs that access it |