Zoom: Hintergründe zum Thema Datenschutz und -sicherheit
Durch die hohe Popularität, die Zoom durch die Corona-Krise bekommen hat, steht der Dienst derzeit sehr stark im Fokus der Öffentlichkeit, auch im Hinblick auf den Datenschutz. Durch den Vertrag zur Datenverarbeitung zwischen der Universität Münster und Zoom sowie die von de CIT global konfigurierten datenschutzfreundlichen Einstellungen (Privacy by default) bestehen viele der diskutierten Probleme an der Uni Münster nicht. Wir möchten aber dennoch die aktuelle Diskussionslage zu Zoom, die wir genau verfolgen, an dieser Stelle widergeben. Sie zeigt auch, dass Zoom relativ schnell auf Kritik und Hinweise reagiert und potentielle Schwachstellen nachbessert. In der aktuellen Version 5 sind zahlreiche Sicherheitsverbesserungen eingeflossen. Aktuelle Stellungnahmen von Zoom finden Sie auch unter https://blog.zoom.us/
Zoom verfügt über folgende Zertifizierungen:
- SOC2
- TRUSTe
- FedRAMP
- GDPR (mit Privacy Shield: bitte beachten Sie die aktuellen Hinweise zum Privacy Shield weiter unten)
Das Citizen Lab der Universität Toronto hat in einem aktuellen Artikel verschiedene Punkte einschließlich der vieldiskutierten Verschlüsselungsthematik (s.u.) aufgearbeitet und kommt zu dem Schluss, dass Zoom zwar aufgrund dieser Problematiken nicht für besonders sensible Kommunikation (z.B. Firmengeheimnisse, Patienteninformationen, Investigativjournalismus) geeignet ist, wohl aber für üblicherweise öffentliche oder halb-öffentliche Veranstaltungen wie Vorlesungen, Seminare, Social Events oder sonstige nicht-kritische Kommunikation.
Privacy Shield - EuGH-Urteil
Der Gerichtshof der Europäischen Union (EuGH) hat das Privacy-Shield-Abkommen zwischen der EU und den USA am 16.07.2020 für unzulässig erklärt. Gleichzeitig erklärte das Gericht die sogenannten Standardvertragsklauseln (SCCs), die Garantien für einen angemessenen Schutz personenbezogener Daten von EU-Bürgern bei der Übermittlung in Drittstaaten bieten, für zulässig. Die Vertragsklauseln enthalten dem EuGH zufolge wirksame Mechanismen, um die Einhaltung des vom europäischen Datenschutzrecht vorgebebenen Schutzniveaus zu gewährleisten. An der datenschutzrechtlichen Bewertung des Einsatzes von Videokonferenzdiensten wie Zoom, die personenbezogene Daten (auch) in die USA übertragen und dort verarbeiten, ändert das Urteil daher wenig.
Die Universität Münster hat mit der Zoom Inc. neben dem Auftragsverarbeitungsvertrag die sog. Standardvertragsklauseln abgeschlossen. Die nationalen Aufsichtsbehörden müssen nun prüfen, ob die Standardvertragsklauseln von in den USA ansässigen Unternehmen eingehalten werden können. Wir beobachten die weitere Entwicklung und warten auf eine entsprechende Einschätzung.
Stellungnahme der Rechtsinformationsstelle Digitale Hochschule NRW zum EuGH-Urteil
Störungen von Meetings ("Zoombombing")
Verschiedentlich gab es Presseberichte über unerwünschte Meeting-Teilnehmer*innen, die versuchten, Videokonferenzen durch die Verbreitung von unerwünschten Inhalten zu stören. Auch wenn hierbei öfters von "Hacking" zu lesen war, wurde hier lediglich die Raum-ID geraten und außerdem ausgenutzt, dass die Meeting-Organisator*innen versäumt hatten, ein Passwort zu setzen.
Zoom X ist standartmäßig so konfiguriert, dass für jeden Meetingraum ein zufälliges Passwort erstellt wird. Zusätzlich kann der*die Moderator*in durch die Aktivierung des Warterraums in den Meeting-Einstellungen festlegen, dass alle Teilnehmer*innen manuell zum Meeting zugelassen werden müssen. Sind alle Teilnehmer*innen anwesend, kann das Meeting für weiteren Zutritt gesperrt werden. Ansonsten können unerwünschte Teilnehmer*innen auch nachträglich aus dem Meetingraum entfernt und am Widereintritt gehindert werden.
Um zu verhindern, dass über den integrierten Chat Dateien mit Schadcode verschickt werden können, wurde der Dateiversand hier generell deaktiviert.
Datenschutzbedingungen
Da die Datenschutzbedingungen von Zoom an einigen Stellen als mißverständlich und zu vage kritisiert wurden, insbesondere hinsichtlich von Datenweitergabe an Dritte und zum Data Mining, wurden diese am 29.03.2020 aktualisiert, um einige Aussagen zu präzisieren und zwischen Dienst und Zoom-Webseite zu unterscheiden. Für den Dienst an sich gilt daher: es wird kein Data Mining genutzt und es werden keine Daten an Dritte verkauft. Für die offizielle Zoom-Webseite können andere Bedingungen gelten. Für Zoom X gelten durch einen Vertrag zur Auftragsdatenverarbeitung mit Zoom eigene Datenschutzbedingungen.
Aufzeichnungsfunktion
Wir haben Zoom für die Uni Münster so konfiguriert, dass die Aufzeichnungsfunktion standardmäßig beim Anlegen eines Meetings deaktiviert ist, da die Einwilligung von Studierenden im Kontext Lehre nicht als freiwillig gelten würde und ferner generell bei einem ausgeübten Recht auf Rücknahme der Einwillligung alle Bild- und Tonaufnahmen der entsprechenden Person händisch aus dem Video gelöscht werden müssten. Falls es der Moderator die Aufzeichnungsfunktion beim Anlegen eines Meetings dennoch aktiviert, ist Zoom X so konfiguriert, dass nur er eine Aufzeichnung starten kann und dazu auch die explizite Einwilligung aller Teilnehmer*innen eingeholt wird. Die Aufzeichnung wird in der Zoom-Cloud für 7 Tage gespeichert und kann nur von dem*der Moderator*in abgerufen werden. Zoom X ist so konfiguriert, dass die Ablage von Aufzeichnungen bei anderen Anbietern, wie Youtube oder Facebook nicht möglich ist.
Verschlüsselung
Unklarheiten über die tatsächliche Stärke und Art der von Zoom angegebenen Verschlüsselung der Kommunikation führte zu Irritationen und Kritik. Allerdings sind auch nahezu alle anderen Videokonferenzlösungen einschließlich des Dienstes des DFN aus technischen Gründen bisher nicht Ende-zu-Ende verschlüsselt. Zoom bietet seit der Version 5.0 eine sehr starke AES-256-Bit-Verschlüsselung im GCM-Modus und hat sogar die Einführung einer echten Ende-zu-Ende-Verschlüsselung angekündigt.
Bekannte Sicherheitsprobleme
In der jüngsten Diskussion um Zoom wurden folgende potentielle oder tatsächliche Sicherheitsschwachstellen diskutiert, die nach unserem Kenntnisstand aber alle durch den Hersteller behoben wurden:
Fehlerhaftes Geofencing
Senden von Daten an Facebook bei iOS-App
Sicherheitslücken im Mac-Zoom-Client
Aufmerksamkeits-Tracking
Chat-Nachrichten mit möglicherweise böswilligen Funktionslinks (UNC-Hyperlinks)
Weitere potentielle Probleme wurden durch das CIT abgeschaltet bzw. treffen auf Zoom X nicht zu:
- Maschinelles Zählen von Teilnehmer*innen bei Zoom-Rooms: Das Features ist abgeschaltet. Es gibt bislang auch nur einen Zoom-Raum zu Testzwecken.
- Zugriff auf andere Kontaktdaten innerhalb der Universität Münster durch Zoom: Zoom ermöglicht theoretisch den organisationsweiten Zugriff auf ein Verzeichnis aller Nutzer*innen. Diese Funktion ist bei Zoom X deaktiviert.
- Zoom-Passwörter werden im Darknet gehandelt: Dass große Datensätze mit gestohlenen Passwörtern im Darknet angeboten werden, ist ein Problem nahezu aller großen Internetfirmen. Es handelt sich dabei aber zumeist um Daten, die nicht bei den Firmen selbst, sondern bei den Endnutzern mit Hilfe von Malware gestohlen wurde (auch, weil das gleiche Passwort für verschiedene Dienste benutzt wurde) und später dann von Kriminellen als Bündel angeboten wird. Nutzer*innen der Uni Münster sind hiervon ohnehin nicht betroffen, da sie dank der Anbindung an das SSO (Single-Sign-On) der Uni Münster kein spezielles Zoom-Passwort brauchen und ihr Uni-Passwort auch nicht an Zoom weitergegeben wird.