Stephan Wiesend

Videokonferenzen boomen. Neben Microsoft Teams dürfte Zoom die am weitesten verbreitete Lösung sein. Aber es gibt ein Problem.

Vergrößern Die Software ist aktuelle äußerst beliebt. © Zoom

Es gibt viele Gründe dafür, dass die Videochat-Software Zoom so erfolgreich ist: Die Installation ist kinderleicht, die Performance ausgezeichnet und auch die Bedienung einfach und funktional. Zahllose Home-Office-Nutzer haben die Software aus Kalifornien schätzen gelernt. Will man aber die Sicherheitsprobleme der App auflisten, weiß man gar nicht, wo man anfangen soll. Vermutlich sind es aber gerade diese Verstöße gegen Sicherheitsregeln, wegen derer die Software so beliebt ist. Dazu gehören sowohl das Nutzungskonzept als auch einige irritierende Tricks, die Zoom bei der Installation anwendet.

1. Installation so mir nichts, dir nichts

Wie schon einigen IT-Profis auffiel, ist die Installation von Zoom merkwürdig einfach möglich. Wenn ein Mac-Anwender an einem Meeting teilnehmen will, ist der Client fast sofort installiert und gestartet. Es gibt nur eine Passwort-Abfrage und später zwei Abfragen, für den Zugriff auf Downloads und die AV-Hardware. Grund dafür sind einige Tricks von Zoom, die sonst nur Malware anwendet: Wie Felix Seele berichtet , nutzt der Installer Skripts, um Abfragen des Systems zu überspringen, und kopiert das Programm mit dem Entpacker 7zip direkt in den Programme-Ordner. Dubios: Bei einer App-Installation sieht man normalerweise ein Abfragefenster der App, das um Erlaubnis bittet. Zoom jedoch ruft ein Fenster auf, das wie eine System-Nachricht aussieht und sofort nach einem Passwort fragt. Eric S. Yuan von Zoom zufolge hat der Hersteller aber gute Gründe für dieses ungewöhnliche Vorgehen: Man wolle das Teilnehmen an einer Besprechung möglichst einfach machen und „limitations of the standard technology“ überwinden.

Vergrößern Die Installation ist überraschend einfach möglich.

2. Root-Rechte in Gefahr

Laut dem Sicherheitsprofi Patrick Wardle liefert dieses Verhalten von Zoom aber gleich zwei Angriffspunkte für Hacker: Hat ein Angreifer bereits Zugriff auf einen Mac erlangt, aber nur Zugriffsrechte eines Benutzers, kann er durch diesen Installer Root-Rechte erlangen. Es gibt aber noch einen weiteren Angriffspunkt, wenn Zoom installiert ist: Die Zugriffsrechte auf Kamera und Mikro, die Zoom sich einräumt, könnten von Hackern genutzt werden, um ebenfalls unerkannt auf Kamera und Zoom zuzugreifen. Die Hintergründe hat Wardle hier ausführlich erläutert – und rät von der Nutzung ab .

Update: Auf die Kritik von Wardle hat Zoom mittlerweile in einem längeren Blog-Beitrag geantwortet und hat nach eigenen Angaben die beiden Sicherheitslücken bereits geschlossen.



3. Unerkannter Webserver schafft Zugriff auf die Kamera

Letztes Jahr erregte Zoom Aufsehen , da eine frühere Version des Tools unter macOS einen Webserver installierte . Dieser blieb selbst nach der Deinstallation von Zoom auf dem Mac und war von Hackern angreifbar – um unerkannt Zugriff auf die Webcam zu erlangen. Schließlich sorgte Apple dafür , dass das systemeigene Malware Removal Tool diesen Server automatisch löschte. Auch damals begründete Zoom dieses Vorgehen als wichtig für den Bedienkomfort.

Bereits behoben wurde ein Fehler der iOS-Version: Diese übermittelte Daten über das Gerät eines Nutzers wie die Bildschirmgröße an Facebook – selbst wenn der Anwender gar keinen Facecook-Account hatte.

5. Bildschirmfreigabe für jeden – auch für Trolle

Sehr beliebt ist Zoom, weil die Anmeldung und Nutzung so einfach möglich ist. Ein Nutzer kann auch ohne Anmeldung oder ein Benutzerkonto an einer Sitzung teilnehmen – und sogar Daten oder seinen Bildschirm teilen. Das ist in der Praxis komfortabel, da beispielsweise ein Lehrer einen Online-Unterricht sofort und ohne lange Konfigurations-Routinen oder Problemen einzelner Schüler starten kann. Trolle nutzten diese simple Anmeldung aber gerne aus, um mit Pornos oder verstörenden Bildern in fremde Konferenzen zu platzen. Dies kann man aber lösen, wenn man für die Konferenz die Freigabe-Voreinstellungen ändert. Hier ist die Standardeinstellung so gewählt, dass allen Teilnehmern sofort teilnehmen können – auch unangemeldete, die sich dann schwer vertreiben lassen und sich mit neuen Nutzernamen immer wieder neu anmelden können. Als Reaktion zu diesen Angriffen hat Zoom eine Anleitung veröffentlicht, wie man die Angreifer aussperren kann .



6. Unverschlüsselt auf Servern

Zoom behauptet, die Meetings wären Ende zu Ende, also durchgehend verschlüsselt und damit vor dem Ausspähen von außen geschützt, laut einem Bericht von "The Intercept" ist dies nicht ganz korrekt. Bei einer Ende-zu-Ende-Verschlüsselung, wie sie etwa Apples FaceTime bietet, werden die Daten verschlüsselt zu den Servern des Anbieters übertragen und sind auch auf dem Server verschlüsselt – der Anbieter hat keinen Zugriff auf die Daten. Zoom nutzt aber offensichtlich eine einfachere Transportverschlüsselung (TLS): Videodaten einer Konferenz und der Ton werden zwar verschlüsselt übermittelt, ein Hacker kann die Daten etwa nicht im Wi-Fi-Netz mitschneiden. Die Daten werden aber offensichtlich ungeschützt auf den US-Servern verwaltet, was wohl auch die Performance verbessert. Zoom verspricht zwar, das Unternehmen würde nicht auf die Daten zugreifen, ein Restrisiko bleibt aber. So veröffentlicht Zoom keinen Transparenzbericht zu Anfragen von Behörden. Nur die Chats werden offenbar E2E verschlüsselt. Auf diese Vorwürfe ist Zoom mittlerweile eingegangen und hat Besserung gelobt. Es komme zwar keine echte E2E-Verschlüsselung zum Einsatz, verzichtet man aber auf eine Aufnahme und nutzt nur Zoom-Clients, würden die Daten nur auf den jeweiligen Clients entschlüsselt Es gäbe außerdem keine Hintertüren und Firmenangehörige hätten keinen Zugriff auf die Daten.



Unsere Meinung

Zoom ist eine komfortable Software, die vielen Home-Office-Neulingen ihre Arbeit erleichtert hat. Es ist deshalb nicht anzunehmen, dass die Beliebtheit von Zoom durch diese zahlreichen Sicherheitsprobleme beeinträchtigt wird – sind diese doch offensichtlich der Grund für den guten Komfort und schnelle Einsetzbarkeit. Schnelle Nutzbarkeit und Komfort haben offensichtlich Priorität bei Zoom. Zumindest die Voreinstellungen sollte man aber ändern und sich der mäßigen Sicherheit bewusst sein. Für sensiblere Geschäftstermine sollte man jedenfalls besser eine sicherere Software verwenden: Es ist wohl recht vielsagend, dass laut Mark Gurman Apple seinen Mitarbeitern die Nutzung von Zoom nicht erlaubt, nur Slack, Cisco Webex/Jabber und FaceTime.

Update vom 2.4.: Mittlerweile hat Zoom allerdings auf die Vorwürfe reagiert und in einem längeren Blog-Beitrag darauf geantwortet . Die Firma gelobt Besserung und will sich in den nächsten 90 Tagen um die Vorwürfe kümmern und Sicherheit und Datenschutz verbessern.