{"id":24340,"date":"2020-06-26T13:41:59","date_gmt":"2020-06-26T11:41:59","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=24340"},"modified":"2020-06-26T13:41:59","modified_gmt":"2020-06-26T11:41:59","slug":"zoom-5-security","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/zoom-5-security\/24340\/","title":{"rendered":"Zoom 5 bewegt sich in Richtung Sicherheit"},"content":{"rendered":"<p>Vor nicht allzu langer Zeit haben wir erkl\u00e4rt, <a href=\"https:\/\/www.kaspersky.de\/blog\/zoom-security-ten-tips\" target=\"_blank\" rel=\"noopener\">wie man Zoom konfiguriert<\/a>, damit die Nutzung sicherer ist. Technologien k\u00f6nnen sich jedoch sehr schnell entwickeln, insbesondere solche, die im Rampenlicht der \u00d6ffentlichkeit stehen. Ein solcher Fall ist Zoom, dessen Entwickler, <a href=\"https:\/\/blog.zoom.us\/a-message-to-our-users\/\" target=\"_blank\" rel=\"noopener nofollow\">wie versprochen<\/a>, der App eine datenschutztechnische \u00dcberarbeitung verpasst haben. Infolgedessen hat sich <a href=\"https:\/\/zoom.us\/docs\/en-us\/zoom-v5-0.html\" target=\"_blank\" rel=\"noopener nofollow\">die Version 5.0<\/a> gegen\u00fcber ihrem Vorcorona-Vorg\u00e4nger stark ver\u00e4ndert.<\/p>\n<p>Die \u00c4nderung des Sicherheitsfokus trug schnell ihre Fr\u00fcchte. Wendeten sich gro\u00dfe Unternehmen und Institutionen zuvor noch von Zoom ab, ist das Programm nach dem Erhalt des <a href=\"https:\/\/www.theverge.com\/2020\/5\/7\/21251075\/zoom-new-york-attorney-general-letitia-james-letter-agreement-security-privacy-updates\" target=\"_blank\" rel=\"noopener nofollow\">G\u00fctesiegels des Generalstaatsanwalts von New York<\/a> nun wieder in den Schulen von New York zu finden. Dar\u00fcber hinaus bringt Version 5 einige n\u00fctzliche Funktionen mit sich.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"ksc-trial\">\n<h2>Bequem zug\u00e4ngliche Sicherheitseinstellungen<\/h2>\n<p>Mit Zoom 5 erscheinen alle Einstellungen zur Verwaltung der Konferenzteilnehmer an einer Stelle. Sicherheit ersetzt in diesem Fall also nicht den Komfort der Nutzer.<\/p>\n<p>Hier k\u00f6nnen Sie die Benutzerrechte einschr\u00e4nken, den Zugang zu Meetings sperren, um ungebetene G\u00e4ste fernzuhalten, Screenshots und Audioaufzeichnungen mit Wasserzeichen versehen, falls jemand beschlie\u00dft, diese zu ver\u00f6ffentlichen, usw. Klicken Sie im Konferenzmen\u00fc auf das Schild-Symbol, um die Sicherheitseinstellungen zu \u00f6ffnen.<\/p>\n<h2>Anti-Troll-Schutz<\/h2>\n<p>Eine Reihe neuer Einstellungen stoppen Invasionen durch anonyme Trolle. Erstens sind Passw\u00f6rter und die Funktion \u201eWarteraum\u201c, die die Erlaubnis des Gastgebers zur Teilnahme an einer Konferenz erfordert, jetzt standardm\u00e4\u00dfig aktiviert. Zweitens kann man jetzt verhindern, dass Teilnehmer sich selbst umbenennen.<\/p>\n<p>Besitzer von kostenpflichtigen Konten k\u00f6nnen von Teilnehmern auch verlangen, dass sie Informationen \u00fcber sich selbst angeben: Name, E-Mail-Adresse und \u00e4hnliches. Und mit einem Gesch\u00e4ftskonto k\u00f6nnen Sie nicht autorisierte Benutzer oder Benutzer mit einer bestimmten Art von E-Mail-Adressdom\u00e4ne (z.B. \u00f6ffentlich statt gesch\u00e4ftlich) daran hindern, eine Verbindung zu dem Programm herzustellen.<\/p>\n<h2>Daten-Routing<\/h2>\n<p>Auch Zooms Ansatz beim Daten-Routing hat sich ge\u00e4ndert. Jetzt werden Videoanrufe nicht mehr versehentlich an einen chinesischen oder anderen ausl\u00e4ndischen Server weitergeleitet. Wenn das Gespr\u00e4ch aus irgendeinem Grund in Ihrem Heimatland bleiben muss, brauchen Sie sich keine Sorgen zu machen: Kostenlose Konferenzen bleiben in der Heimatregion, und zahlende Abonnenten k\u00f6nnen ab dem 18. April <a href=\"https:\/\/blog.zoom.us\/coming-april-18-control-your-zoom-data-routing\/\" target=\"_blank\" rel=\"noopener nofollow\">w\u00e4hlen<\/a>, \u00fcber welche L\u00e4nder ihre Informationen geroutet werden.<\/p>\n<p>Dar\u00fcber hinaus k\u00f6nnen alle Konferenzteilnehmer jetzt sehen, mit welchem Rechenzentrum sie verbunden sind, indem man auf das \u201ei\u201c-Symbol in der linken oberen Bildschirmecke klickt. Wenn Ihre Daten also an einen anderen Ort geleitet werden, k\u00f6nnen Sie sich dar\u00fcber informieren und sich beim Entwickler beschweren.<\/p>\n<h2>Sicherheit bei der Bildschirmfreigabe<\/h2>\n<p>Das alte Zoom zeigte immer eine Vorschau der Chat-Nachrichten in den Benachrichtigungen an. Das konnte zu einer unangenehmen Situation f\u00fchren, wenn Ihnen z. B. jemand w\u00e4hrend der Bildschirmfreigabe eine pers\u00f6nliche Nachricht schrieb. Jetzt zeigt der Dienst bei kostenlosen Konferenzen \u00fcberhaupt keine Benachrichtigungen an und zeigt bei der Bildschirmfreigabe keinen Chat an, selbst wenn dieser ge\u00f6ffnet ist.<\/p>\n<h2>Aktualisierte Verschl\u00fcsselung<\/h2>\n<p>Die Entwickler haben auch den Verschl\u00fcsselungsalgorithmus verbessert. Erstens verwendet Zoom jetzt l\u00e4ngere (und damit zuverl\u00e4ssigere) Verschl\u00fcsselungsschl\u00fcssel. Zweitens wird jetzt die Integrit\u00e4t der \u00fcbertragenen Daten \u00fcberpr\u00fcft. Das ist eine Schutzma\u00dfnahme gegen Eindringlinge, die eine verschl\u00fcsselte Nachricht korrumpieren oder ver\u00e4ndern k\u00f6nnten, ohne sie zu entschl\u00fcsseln.<\/p>\n<p>Wenn Sie solche esoterischen Details m\u00f6gen (und wer tut das nicht?), wird es Sie auch bestimmt interessieren, dass der <a href=\"https:\/\/de.wikipedia.org\/wiki\/Galois\/Counter_Mode\" target=\"_blank\" rel=\"noopener nofollow\">Galois\/Counter-Modus<\/a> jetzt <a href=\"https:\/\/zoom.us\/docs\/en-us\/zoom-v5-0.html\" target=\"_blank\" rel=\"noopener nofollow\">die Integrit\u00e4tspr\u00fcfung \u00fcbernimmt<\/a>. GCM ist nicht nur sicherer, sondern gilt auch als ressourcenschonender, sodass eine bessere Verschl\u00fcsselung nicht der Computerleistung zur Last f\u00e4llt.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-trial-privacy\">\n<h2>Ende-zu-Ende-Verschl\u00fcsselung<\/h2>\n<p>Und schlie\u00dflich werden die Benutzer bald in der Lage sein, zu kommunizieren, ohne dass jemand (Au\u00dfenstehende oder Zoom-Mitarbeiter) mitlauschen kann. Der Dienst plant die Implementierung der Ende-zu-Ende-Verschl\u00fcsselung von Videoanrufen. Zu diesem Zweck hat Zoom sogar <a href=\"https:\/\/blog.zoom.us\/zoom-acquires-keybase-and-announces-goal-of-developing-the-most-broadly-used-enterprise-end-to-end-encryption-offering\/\" target=\"_blank\" rel=\"noopener nofollow\">Keybase<\/a> erworben, ein Unternehmen, das auf sichere Messenger und Anwendungen f\u00fcr den Datenaustausch spezialisiert ist.<\/p>\n<p>Zun\u00e4chst plante Zoom, nur zahlenden Abonnenten ein H\u00f6chstma\u00df an Privatsph\u00e4re zu bieten. Doch diese Nachricht f\u00fchrte zu viel Kritik: Zoom wurde beschuldigt, <a href=\"https:\/\/www.theguardian.com\/technology\/2020\/jun\/03\/zoom-privacy-law-enforcement-technology-yuan\" target=\"_blank\" rel=\"noopener nofollow\">mit Geheimdiensten zusammenzuarbeiten<\/a> oder zumindest die T\u00fcr f\u00fcr sie offen zu halten.<\/p>\n<p>Diese Anschuldigungen ignorieren bequemerweise einen wichtigen Punkt: <a href=\"https:\/\/www.kaspersky.de\/blog\/videoconference-software-security\/\" target=\"_blank\" rel=\"noopener\">Praktisch keiner der Konkurrenten von Zoom bietet \u00fcberhaupt eine Ende-zu-Ende-Verschl\u00fcsselung an<\/a>. Ende-zu-Ende verschl\u00fcsselte Videoanrufe sind nur in Instant Messengern mit eingeschr\u00e4nkter Videoanruf-Funktionalit\u00e4t oder in hochpreisigen Business-Tools verf\u00fcgbar, die dies nur auf Anfrage und eindeutig nicht kostenlos anbieten.<\/p>\n<p>Entwickler haben einen guten Grund, weshalb sie die End-to-End-Videoverschl\u00fcsselung ablehnen; n\u00e4mlich ist diese mit vielen n\u00fctzlichen Funktionen inkompatibel. So sind Funktionen, wie das Aufzeichnen von Konferenzen im Cloudspeicher, die \u00dcbertragung auf YouTube oder die Teilnahme an Meetings per Telefon nur \u00fcber die Verwaltung im Server m\u00f6glich. Was die Bequemlichkeit anbelangt, sind die meisten Benutzer ohne sie besser dran.<\/p>\n<p>Dennoch <a href=\"https:\/\/blog.zoom.us\/end-to-end-encryption-update\/\" target=\"_blank\" rel=\"noopener nofollow\">k\u00fcndigte Zoom am 17. Juni an<\/a>, dass die Ende-zu-Ende-Verschl\u00fcsselung nun doch allen Nutzern zur Verf\u00fcgung gestellt wird, auch denjenigen, die den Dienst kostenlos nutzen. Dies wird jedoch nicht von heute auf morgen geschehen, das Unternehmen plant, im Juli mit einem fr\u00fchen Betatest zu beginnen.<\/p>\n<h2>Keine Zeit zum Entspannen<\/h2>\n<p>Insgesamt ist Zoom 5 weitaus sicherer als fr\u00fchere Versionen. Seine Entwickler sind sehr verantwortungsbewusst an das Sicherheitsthema herangegangen und haben die meisten Probleme, die w\u00e4hrend des Lockdowns aufgetreten sind, umgehend behoben.<\/p>\n<p>Das bedeutet jedoch nicht, dass man das Ziel aus den Augen verlieren darf. Ist Ihre Konferenz offen oder geschlossen? Ist eine Aufzeichnung erlaubt oder nicht? Diese und einige andere Fragen k\u00f6nnen die Entwickler nicht f\u00fcr alle beantworten. Sie m\u00fcssen also Konferenzen nach Ihren eigenen Bed\u00fcrfnissen konfigurieren. Gl\u00fccklicherweise hat Zoom jetzt mehr Einstellungsm\u00f6glichkeiten, die Ihnen dabei helfen, es richtig zu machen.<\/p>\n<p>Zweitens gibt es keine absolute Sicherheit. Zum Beispiel wurden <a href=\"https:\/\/blog.talosintelligence.com\/2020\/06\/vuln-spotlight-zoom-code-execution-june-2020.html\" target=\"_blank\" rel=\"noopener nofollow\">zwei Schwachstellen in der relativ neuen Zoom-Version 4.6.10 entdeckt<\/a>. Eine davon erm\u00f6glichte einer b\u00f6sartigen Chat-Nachricht die Ausf\u00fchrung von beliebigen Codes auf dem Zoom-Server. Dieser Fehler wurde vor der Ver\u00f6ffentlichung von Version 5 behoben.<\/p>\n<p>Die zweite Schwachstelle betraf die Einbindung der GIF Chat-Funktion mit dem Online-GIF Anbieter GIPHY. Der Fehler erlaubte das Herunterladen beliebiger Dateien auf die Computer der Konferenzteilnehmer anstelle von animierten Bildern. Die Entwickler haben <a href=\"https:\/\/support.zoom.us\/hc\/en-us\/articles\/115004802246-Send-GIFs-via-GIPHY-\" target=\"_blank\" rel=\"noopener nofollow\">die anf\u00e4llige Funktion vor\u00fcbergehend deaktiviert<\/a>, und sie versprechen, diese wieder freizuschalten, sobald das Problem behoben ist.<\/p>\n<p>Bisher wurden keine gr\u00f6\u00dferen Gr\u00e4uel in Zoom 5 gefunden, aber das bedeutet nicht, dass es keine gibt. Solange der Dienst im Rampenlicht steht, wird es nicht an Menschen fehlen, die versuchen, Schwachpunkte zu finden. Wenn Sie also Zoom verwenden, sollten Sie auf jeden Fall nach Updates Ausschau halten und diese sofort installieren.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"ksc-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Die Zoom-Entwickler haben ihren Dienst sicherer gemacht. Wir erkl\u00e4ren, was sich ge\u00e4ndert hat.<\/p>\n","protected":false},"author":2581,"featured_media":24341,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2286,2287],"tags":[122,3603,3527,130,1653,3529,156,3539],"class_list":{"0":"post-24340","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-privacy","8":"category-technology","9":"tag-datenschutz","10":"tag-end-to-end-verschlusselung","11":"tag-homeoffice","12":"tag-privatsphare","13":"tag-security","14":"tag-telearbeit","15":"tag-verschlusselung","16":"tag-zoom"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/zoom-5-security\/24340\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/zoom-5-security\/21479\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/zoom-5-security\/16948\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/zoom-5-security\/8397\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/zoom-5-security\/22667\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/zoom-5-security\/20770\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/zoom-5-security\/19150\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/zoom-5-security\/23025\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/zoom-5-security\/22074\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/zoom-5-security\/28638\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/zoom-5-security\/36001\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/zoom-5-security\/15162\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/zoom-5-security\/15661\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/zoom-5-security\/13620\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/zoom-5-security\/28741\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/zoom-5-security\/25610\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/zoom-5-security\/22523\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/zoom-5-security\/27762\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/zoom-5-security\/27603\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/homeoffice\/","name":"Homeoffice"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24340","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=24340"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24340\/revisions"}],"predecessor-version":[{"id":24347,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/24340\/revisions\/24347"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/24341"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=24340"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=24340"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=24340"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}