Dass SpaceX, das Raumfahrtunternehmen von Tesla-Gründer Elon Musk, und Google  sowie technologische Vorreiter wie Taiwan  medienwirksam vor der Nutzung des Videokonferenz-Tools Zoom warnten und die Software von den eigenen Geräten verbannten, konnte den coronabedingten Siegeszug der Software nicht aufhalten: Im Dezember 2019 hatte Zoom 10 Millionen Nutzerinnen und Nutzer, im März 2020 waren es 200 Millionen. Der Aktienwert des 2011 gegründeten Unternehmens stieg auf 40 Milliarden US-Dollar.

Wie Datenschützer und Technologieexperten in Blogs und Analysen zeigten, ist die Nutzung von Zoom aber nicht sicher. Heise berichtet von der  Weitergabe von Daten, etwa an Google oder an Facebook. Zoom hat sich selbst eine 90 Tage-Frist gesetzt, um auf bestehende Kritik zu reagieren bzw. Mängel zu beheben.

Das grundlegende Problem ist aber: Für User, die Zoom gratis auf ihrem Computer installieren, sind bestehende "Lücken" nicht wahrnehmbar. "Wäre Zoom die Sicherheit ihrer Software wichtig, würden sie entweder ihre Quelltexte komplett veröffentlichen oder ein sehr einfaches Prozedere schaffen, Einsicht in die Quelltexte zu nehmen und dann auch Kritik daran äußern zu dürfen", sagt Andreas Czák vom Verein Epicenter Works, der sich für digitale Rechte einsetzt. "Ohne externe Kontrolle von Zooms Software ist alles andere nur der Versuch, Kritik abzumildern", meint der Experte für IT-Sicherheit.

Zoom wird als Gratissoftware angeboten, bis zu 100 Personen können gleichzeitig an Meetings teilnehmen.  Eine Ende-zu-Ende-Verschlüsselung (End-to-End-Encryption), bei der nur die User untereinander Zugriff auf die Gespräche haben und die den Dienstleistungsanbieter von der Einsichtnahme in eine Kommunikation ausschließen würde, gibt es bis dato nicht und sei laut Czák auch nicht ohne technische Schwierigkeiten zu lösen: "Jede Person im Videocall muss in diesem Fall zu jeder anderen Person zwei Verbindungen aufbauen, eine ausgehende und eine eingehende. Gibt es bei zwei Personen nur zwei Verbindungen sind es bei vier Personen schon zwölf und bei zehn Personen schon 90 Verbindungen [2 x (9+8+7+6+5+4+3+2+1)]." Um dieses Problem zu lösen werde verstärkt, etwa bei Nextcloud, auf Peer-to-Peer gesetzt, sodass die Anzahl der Verbindungen generell reduziert werden könne, erklärt Czák weiter. Das hieße, dass nur noch zwanzig statt 90 Verbindungen bei zehn Personen anfallen würden. Czák: "Unter Einsatz eines Signaling-Servers kann man diese Anzahl auch nochmal beinahe halbieren."

Bei einer Recherche der Washington Post wurden bei Zoom grobe Sicherheitsmängel festgestellt, bei denen private Meetings mit persönlichem Inhalt ohne das Wissen der User im Netz landeten.

Zoom teilt am 21. April per Email mit, dass Konferenzen nicht gespeichert würden und, so die  Aussage der Kommunikationsagentur Hotwire im Auftrag von Zoom, "während der gesamten Zeit, in der sie das Zoom-System durchlaufen, verschlüsselt" werden.

Die vom Host aufgezeichneten Meetings allerdings werden auf den Servern von Zoom gespeichert. Aufgezeichnete Meetings und ihre Inhalte wie Chats, hochgeladene Dokumente, in Meetings erstellte White Boards, die Namen der am Meeting beteiligten Personen und Transkripte der Meetings sowie die öffentlichen und privaten Chats, ebenso wie die personenbezogenen Daten, Gerätedaten, Standortinformationen und weitere Angaben, die User im Zuge einer Anmeldung preisgeben, sind auf Servern von Zoom gespeichert – und diese Server mit den Daten von 200 Millionen Usern stehen unter anderem in 17 Zoom-eigenen Datenzentren weltweit - nach Angaben von Zoom steht eines dieser eigenen Datenzentren in China - sowie in Cloud-Rechenzentren: "...wir nutzen weltweit Cloud-Rechenzentren", so Florian Hohenauer von der Kommunikationsagentur von Zoom, Hotwire, im Email am 21. April.

Datenschützer befürchten, dass China Druck auf das Unternehmen ausüben könnte, um an Daten auf den Servern zu gelangen, oder dass Geheimdienste und Hacker sehr leicht Zugang zu den Daten bekommen. "Nach unserem letzten Wissensstand ist es so, dass die Schlüssel, mit denen Zoom-Chats gesichert werden, zumindest für die Dauer des Meetings auch auf chinesischen Servern vorgehalten wurden", erklärt Czák. "Das ermöglicht chinesischen Geheimdiensten den Zugriff darauf."

Zoom selbst sagt dazu, dass keine Verbindungen von Usern außerhalb Chinas über China laufen: "Zoom-Schlüssel werden nirgendwo "gespeichert" – für jede Sitzung wird ein eindeutiger Verschlüsselungsschlüssel generiert, im Systemspeicher gehalten und am Ende der Sitzung sofort vernichtet", schreibt Florian Hohenauer von der Zoom-Kommunikationsagentur Hotwire am 21. April. "Diese (Daten, Anm.) fließen durch die Besprechungszone, die die beste Leistung bietet, d.h. in der Regel durch ein Datenzentrum, das dem Benutzer, der die Daten sendet oder empfängt, am nächsten liegt."

User können die Angaben von Zoom nicht überprüfen. "Bevor diese Maßnahmen nicht  in Kraft sind und unabhängig verifiziert worden sind, kann man Zoom nicht bedenkenlos für heikle Kommunikation nutzen", meint Czák daher. Bisher können nur die zahlenden Nutzer von Zoom auswählen, in welchen Regionen Rechenzentren bevorzugt für ihre Kommunikationen genutzt werden.

Tatsächlich gibt es Grund, an der Verlässlichkeit der Angaben von Zoom zu zweifeln, denn mit Kritik geht Zoom bislang nachlässig um. In einem Statement  zur fehlenden End-to-End-Verschlüsselung deutete das Unternehmen an, man habe eben etwas anderes darunter verstanden, den Begriff in einem anderen "Spirit" benutzt. Czák meint: "Das ist eine klare Schutzbehauptung von Zoom – es gibt eine eindeutige Definition davon, was eine Ende-zu-Ende-Verschlüsselung ist."

Die fehlende Verschlüsselung ist nicht das einzige "Missverständnis": Zoom will etwa nicht gewusst haben, dass beim Login via Facebook auf Apple-Geräten automatisch Daten an Facebook gesendet wurden. Zoom muss sich wegen dieser Irreführung nun vor Gericht  verantworten.

Czák hofft, dass die Corona-Krise sichtbar macht, warum es so problematisch ist, die eigenen Daten für digitale Dienstleistungen herzugeben: "Durch die Corona-Krise werden mehr Menschen feststellen müssen, wie schlecht viele Plattformen mit unserer Privatsphäre umgehen. Diese Erkenntnis bringt einen notwendigen Aufschrei seitens der Bevölkerung, der Zivilgesellschaft und der Politik", meint er. Das sollte für Unternehmen und Privatpersonen ein Anlass sein, auf Produkte umzusteigen, die verlässlich Privatsphäre schaffen, erhalten und bewahren.

Anmerkung: Der Beitrag wurde um Angaben von der Kommunikationsagentur von Zoom, Hotwire, die uns am 21. April erreichten, ergänzt und stilistisch überarbeitet.

***

Ein Beitrag aus der "Digitalen Republik", ein Verlagsprodukt aus der Content Production der "Wiener Zeitung".