RSAC

Zoom: Der Weg zur Ende-zu-Ende-Verschlüsselung

Die Entwicklung der Sicherheit von Zoom, welche Gefahren auch weiterhin noch bestehen und welche Gegenmaßnahmen die Entwickler in naher Zukunft ergreifen wollen.

Hugh Aver
15 Jul 2021

Bei der Präsentation von Zoom auf der RSA Conference 2021 ging es hauptsächlich um die Ende-zu-Ende-Verschlüsselung von Zoom Cloud Meetings. Das Unternehmen erklärte, warum sich die Zoom-Entwickler derzeit auf dieses Thema konzentrieren, wie die Sicherheit der Anrufe in naher Zukunft gestärkt werden soll und welche neuen, sicherheitsbezogene Funktionen die Benutzer erwarten können.

Eine kleine Geschichte

Aufgrund der Pandemie mussten viele Mitarbeiter plötzlich für längere Zeit im Homeoffice arbeiten und die Kommunikation mit Kollegen, Freunden und Familienmitglieder fand überwiegend über Software für Telefonkonferenzen statt. Zoom wurde schnell zu einer der beliebtesten Kommunikationstools und zog das Interesse von sowohl IT-Sicherheitsexperten als auch von Cyberverbrechern auf sich. Es stellte sich schnell heraus, dass die Plattform in puncto Sicherheit einige Schwächen hatte. Beispielsweise hatte die Videokonferenz-Software bestimmte Sicherheitslücken, die es Angreifern ermöglichte die Benutzer über deren Kameras und Mikrofone auszuspionieren. Diese Lauschangriffe von Online-Trolls erhielten sogar einen eigenen Namen: Zoombombing. Zoom reagierte schnell darauf und nahm tiefgreifende Veränderungen vor, aber einige Probleme blieben weiterhin ungelöst.

Einer der größten Mängel der Zoom-Plattform war, dass anstatt Ende-zu-Ende-Verschlüsselung (End-to-End Encryption – E2EE) die Punkt-zu-Punkt-Verschlüsselung (Point-to-Point Encryption – P2PE) verwendet wurde.

E2EE im Vergleich zu P2PE

Auf den ersten Blick sehen die zwei Systeme sehr ähnlich aus: Beide Übertragungstechniken verschlüsseln die Daten, die die Benutzer austauschen. Der Unterschied besteht darin, dass bei der Punkt-zu-Punkt-Verschlüsselung (P2PE) der Server auf die Nachrichten des Benutzers zugreifen kann, während bei der Ende-zu-Ende-Verschlüsselung (E2EE) die Informationen auf dem Gerät des Absenders verschlüsselt und erst beim Empfänger wieder entschlüsselt werden. Auf der Konferenz erläuterten die Entwickler die möglichen Probleme bei der Verwendung von Punkt-zu-Punkt-Verschlüsselung:

Cyberkriminelle könnten den Server hacken, die Verschlüsselungsschlüssel stehlen, die dort gespeichert werden und so in Meetings die echten Teilnehmer ersetzen oder deren Nachrichten spoofen.
Opportunistische Mitarbeiter des Cloud-Anbieters oder sogar von Zoom könnten Zugriff auf die Schlüssel erhalten und die Daten der Benutzer stehlen.

Niemand möchte, dass private Unterhaltungen mit Familienmitgliedern oder mit Freunden und schon gar nicht vertrauliche Geschäftsgespräche veröffentlicht werden. Darüber hinaus wäre es im Fall eines Schlüsseldiebstahls und passiver Belauschung sehr schwierig die Bösewichte zu entlarven.

Mit der Ende-zu-Ende-Verschlüsselung wird dieses Problem gelöst, denn die Schlüssel für die Entschlüsselung werden einzig und allein auf dem Gerät der Benutzer gespeichert. In diesem Fall würde das Hacken des Servers den Eindringling nicht dazu befähigen, die Videokonferenzen zu belauschen.

Viele Menschen konnten es also kaum erwarten, dass Zoom endlich die sichere Ende-zu-Ende-Verschlüsselung einführt, die inzwischen als De-Facto-Standard bei Messaging-Apps gilt.

Ende-zu-Ende-Verschlüsselung in Zoom: Aktuelle Situation

Die Entwickler reagierten auf die Kritiken und unternahmen verschiedene Schritte, um die Sicherheit der Plattform zu verbessern, einschließlich der Implementierung der Ende-zu-Ende-Verschlüsselung.

Seit Herbst 2020 verwendet Zoom Ende-zu-Ende-Verschlüsselung für Audio- und Videoanrufe sowie für die Chats. Wenn die E2EE aktiviert ist, schützt Zoom die Daten der Teilnehmer mit einem speziellen Verschlüsselungsschlüssel für Konferenzen. Dieser Schlüssel wird nicht in den Servern von Zoom gespeichert, dementsprechend können noch nicht einmal die Entwickler die Inhalte der Unterhaltungen entschlüsseln. Die Plattform speichert nur die verschlüsselten Benutzer-IDs und einige Meeting-Metadaten wie beispielsweise die Dauer des Anrufes.

Die Entwickler führten auch die Heartbeat-Funktion ein, um die Plattform vor unerwünschten Verbindungen von außen zu schützen. Mithilfe dieser Funktion wird automatisch ein Signal von der App des Hosts, bzw. Meeting-Leiters an die anderen Teilnehmer geschickt. Darin ist u. A. eine Liste mit den Teilnehmern enthalten, an die der Meeting-Leiter den aktuellen Verschlüsselungsschlüssel gesendet hat. Wenn jemand in der Liste nicht am Meeting teilnimmt, ist sofort klar, dass etwas nicht mit rechten Dingen zugeht.

Eine weitere Möglichkeit, um unerwünschte Teilnehmer zu vermeiden, besteht darin, die Meetings zu sperren, indem Sie unten „Sicherheit“ den Punkt „Meeting sperren“ wählen, sobald alle geplanten Teilnehmer anwesend sind. Das geht bis jetzt nur manuell, aber dadurch wird gewährleistet, dass ab der Sperrung des Meetings kein weiterer Teilnehmer sich anschließen kann, selbst wenn er über eine Meeting-ID und ein Passwort verfügt.

Zoom schützt die Benutzer außerdem vor Man-in the-Middle-Angriffen (MITM) durch das Ersetzen des Verschlüsselungsschlüssels. Ein Meeting-Leiter kann jederzeit auf einen Button klicken, um einen Sicherheitscode zu generieren, der auf dem aktuellen Verschlüsselungsschlüssel basiert, um sicherzustellen, dass kein Fremder das Meeting belauscht. Derselbe Code wird gleichzeitig automatisch für alle anderen Teilnehmer des Meetings generiert. Der Meeting-Leiter kann den Code dann mündlich angeben und wenn der Code mit den anderen übereinstimmt, verwenden sämtliche Teilnehmer denselben Schlüssen und alles ist in Ordnung.

Sollte der Meeting-Leiter die Online-Konferenz vor der Beendigung verlassen und die Leitung an einen anderen Teilnehmer übergeben, werden alle von der App über die Übergabe informiert. Sollte den Teilnehmern diese Übergabe verdächtig vorkommen, können ggf. vertrauliche Gespräche vorerst unterbrochen werden, bis die Sache geklärt ist.

Bei einer Zoom-Party mit Freunden sind all diese Sicherheitsmaßnahmen natürlich nicht unbedingt notwendig. Wenn es aber in der virtuellen Gesprächsrunde um Geschäftsgeheimnisse oder andere vertrauliche Informationen geht, sind diese Schutzfunktionen echt nützlich. Aus diesem Grund ist es ausschlaggebend, dass die Teilnehmer von wichtigen Online-Meetings damit vertraut sind und sie richtig anwenden.

Trotz all der Innovationen geben die Zoom-Entwickler zu, dass ihnen noch viel Arbeit bevorsteht. Bei dem Vortrag auf der RSA Conference 2021 wurde einiges über den Entwicklungsweg von Zoom erläutert.

Die Zukunftsaussichten von Zoom

Die Entwickler haben einige Bedrohungen identifiziert, für die noch effektive Gegenmaßnahmen ergriffen werden müssen. Eine davon ist das Einschleichen von Personen, die sich als eingeladene Teilnehmer ausgeben. Ein weiteres Sicherheitsproblem besteht darin, dass trotz der Ende-zu-Ende-Verschlüsselung Angreifer Zugriff auf einige Metadaten erhalten könnten, wie beispielsweise Anrufdauer, Namen der Teilnehmer und IP-Adressen. Auch Schwachstellen stehen auf Zooms Liste mit möglichen Risiken, denn rein theoretisch könnten Cyberkriminelle schädlichen Code in Zoom einbetten.

In Betracht dieser Bedrohungen steckten die Zoom-Entwickler folgende Ziele:

Gewährleisten, dass nur eingeladene und zugelassene Teilnehmer Zugang zu den Meetings erhalten.
Teilnehmern, die von einem Meeting entfernt werden, es nicht erlauben sich erneut zu verbinden.
Störungen durch jegliche Person, die nicht zu dem Meeting zugelassen ist, zu unterbinden.
Den vertrauenswürdigen Teilnehmern ermöglichen, dem Zoom-Sicherheitsteam jeglichen Missbrauch zu melden.

Roadmap

Die Entwickler haben eine 4-Phasen-Roadmap ausgearbeitet, um diese Ziele zu erreichen. Die erste Phase wurde inzwischen implementiert. Wie bereits oben erwähnt, wurde die Art und Weise, wie der Verschlüsselungsschlüssel der Konferenzen gehandhabt wurde, verändert und der Schlüssel wird jetzt direkt auf dem Gerät des Benutzers gespeichert. Darüber hinaus wurden auch weitere Schutzmaßnahmen implementiert, um Fremde daran zu hindern, unbefugt an Meetings teilzunehmen.

Bei der zweiten Phase haben die Entwickler vor, eine neue Art der Authentifizierung einzuführen, die nicht von den Zoom-Servern abhängt. Stattdessen wollen sie Single-Sign-On (SSO) verwenden und die Dienste eines unabhängigen Identity Provider (IdP) in Anspruch nehmen.

Dadurch wird gewährleistet, dass selbst wenn ein Möchtegern-Eindringling die Kontrolle eines Zoom-Servers übernimmt, nicht in der Lage wäre, die Identität eines Benutzers zu fälschen. Sollte jemand dem Meeting beitreten und sich als eingeladener Teilnehmer ausgeben, das aber mit einem neuen öffentlichen Schlüssel tun, dann werden alle Teilnehmer gewarnt.

In der dritten Phase soll das Konzept Transparency Tree eingeführt werden, d. h. sämtliche Identitäten werden in einer authentifizierten, prüfbaren Datenstruktur gespeichert, um zu gewährleisten, dass alle Benutzer über eine einheitliche Ansicht der Identitäten verfügen und Impersonationsangriffe erkennen können. Zoom ist sehr darum bemüht die Plattform vor Man-in-the-Middle-Angriffen zu schützen.

Und in der letzten, der vierten Phase wollen die Entwickler die Identitätsüberprüfung erleichtern, wenn sich ein Benutzer über ein neues Gerät verbindet. Damit sich ein Benutzer mit einem neuen Gerät verbinden kann, wird es erforderlich sein zuerst die Legitimität des Geräts zu beweisen, indem beispielsweise ein QR-Code auf einem als vertrauenswürdig eingestuften Smartphone oder Computer gescannt wird. So kann verhindert werden, dass Angreifer ein Gerät mit dem Konto eines anderen Benutzers verbinden.

Sicherheit ohne Opfer

Wenn zusätzliche Sicherheitsmechanismen implementiert werden, ist es wichtig zu beachten, welchen Einfluss das auf die Benutzererfahrung haben wird. Selbstverständlich ziehen auch die Zoom-Entwickler diesen Aspekt in Betracht. Beispielsweise zählt zu den vorgeschlagenen Innovationen die Nutzung einer persönlichen Device-Cloud. Mit dieser Technologie kann der Vorgang für das Hinzufügen von neuen Geräten zu einem Konto vereinfacht und gleichzeitig die Sicherheit gestärkt werden.

Wird Zoom sicherer werden?

Die kurze Antwort lautet: Ja! Die Sicherheit von Zoom wird kontinuierlich verbessert. Das Unternehmen hat bereits eine Menge getan, um unbefugten Zugang zu vermeiden und die Entwicklung von weiteren Sicherheitsfunktionen ist in Planung. Nebenbei bemerkt ist es nett, dass Zoom sich sehr darum bemüht, die Sicherheit mit Benutzerfreundlichkeit in Einklang zu bringen.

Viel hängt natürlich auch von den Zoom-Benutzern ab: Wie bei so ziemlich allem im Internet sind auch für virtuelle Videokonferenzen gesunder Menschenverstand und gewisse Grundkenntnisse der verfügbaren Sicherheitsmechanismen erforderlich. Es ist wichtig die Warnungen der Plattform zu beachten, das Besprechen von vertraulichen Themen zu vermeiden, wenn etwas verdächtig erscheint und natürlich sollte immer in Betracht gezogen werden, dass Datenlecks nicht auszuschließen sind.

Banking-Trojaner als Geschäftskorrespondenz getarnt

Zur Verteilung der Banking-Malware IcedID und QBot verwenden Spammer schädliche Makros in angeblich wichtigen Dokumenten.

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

Zoom: Der Weg zur Ende-zu-Ende-Verschlüsselung

Eine kleine Geschichte

E2EE im Vergleich zu P2PE

Ende-zu-Ende-Verschlüsselung in Zoom: Aktuelle Situation

Die Zukunftsaussichten von Zoom

Roadmap

Sicherheit ohne Opfer

Wird Zoom sicherer werden?

IoT-Geräte vor dem Netzwerk oder das Netzwerk vor den IoT-Geräten schützen?

Router sind eine Schwachstelle im Remote-Arbeitsmodell

Banking-Trojaner als Geschäftskorrespondenz getarnt

Tipps

Werbung im Dienste von… Geheimdiensten

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie