Bei der Pr\u00e4sentation von Zoom auf der RSA Conference 2021 ging es haupts\u00e4chlich um die Ende-zu-Ende-Verschl\u00fcsselung von Zoom Cloud Meetings. Das Unternehmen erkl\u00e4rte, warum sich die Zoom-Entwickler derzeit auf dieses Thema konzentrieren, wie die Sicherheit der Anrufe in naher Zukunft gest\u00e4rkt werden soll und welche neuen, sicherheitsbezogene Funktionen die Benutzer erwarten k\u00f6nnen.<\/p>\n
Aufgrund der Pandemie mussten viele Mitarbeiter pl\u00f6tzlich f\u00fcr l\u00e4ngere Zeit im Homeoffice arbeiten und die Kommunikation mit Kollegen, Freunden und Familienmitglieder fand \u00fcberwiegend \u00fcber Software f\u00fcr Telefonkonferenzen statt. Zoom wurde schnell zu einer der beliebtesten Kommunikationstools und zog das Interesse von sowohl IT-Sicherheitsexperten als auch von Cyberverbrechern auf sich. Es stellte sich schnell heraus, dass die Plattform in puncto Sicherheit einige Schw\u00e4chen hatte. Beispielsweise hatte die Videokonferenz-Software bestimmte Sicherheitsl\u00fccken, die es Angreifern erm\u00f6glichte die Benutzer \u00fcber deren Kameras und Mikrofone auszuspionieren<\/a>. Diese Lauschangriffe von Online-Trolls erhielten sogar einen eigenen Namen: Zoombombing<\/a>. Zoom reagierte schnell darauf und nahm tiefgreifende Ver\u00e4nderungen vor, aber einige Probleme blieben weiterhin ungel\u00f6st.<\/p>\n Einer der gr\u00f6\u00dften M\u00e4ngel der Zoom-Plattform war, dass anstatt Ende-zu-Ende-Verschl\u00fcsselung (End-to-End Encryption \u2013 E2EE) die Punkt-zu-Punkt-Verschl\u00fcsselung (Point-to-Point Encryption \u2013 P2PE) verwendet<\/a> wurde.<\/p>\n Auf den ersten Blick sehen die zwei Systeme sehr \u00e4hnlich aus: Beide \u00dcbertragungstechniken verschl\u00fcsseln die Daten, die die Benutzer austauschen. Der Unterschied besteht darin, dass bei der Punkt-zu-Punkt-Verschl\u00fcsselung (P2PE) der Server auf die Nachrichten des Benutzers zugreifen kann, w\u00e4hrend bei der Ende-zu-Ende-Verschl\u00fcsselung (E2EE) die Informationen auf dem Ger\u00e4t des Absenders verschl\u00fcsselt und erst beim Empf\u00e4nger wieder entschl\u00fcsselt werden. Auf der Konferenz erl\u00e4uterten die Entwickler die m\u00f6glichen Probleme bei der Verwendung von Punkt-zu-Punkt-Verschl\u00fcsselung:<\/p>\n Niemand m\u00f6chte, dass private Unterhaltungen mit Familienmitgliedern oder mit Freunden und schon gar nicht vertrauliche Gesch\u00e4ftsgespr\u00e4che ver\u00f6ffentlicht werden. Dar\u00fcber hinaus w\u00e4re es im Fall eines Schl\u00fcsseldiebstahls und passiver Belauschung sehr schwierig die B\u00f6sewichte zu entlarven.<\/p>\n Mit der Ende-zu-Ende-Verschl\u00fcsselung wird dieses Problem gel\u00f6st<\/a>, denn die Schl\u00fcssel f\u00fcr die Entschl\u00fcsselung werden einzig und allein auf dem Ger\u00e4t der Benutzer gespeichert. In diesem Fall w\u00fcrde das Hacken des Servers den Eindringling nicht dazu bef\u00e4higen, die Videokonferenzen zu belauschen.<\/p>\n Viele Menschen konnten es also kaum erwarten, dass Zoom endlich die sichere Ende-zu-Ende-Verschl\u00fcsselung einf\u00fchrt, die inzwischen als De-Facto-Standard bei Messaging-Apps<\/a> gilt.<\/p>\n <\/strong><\/p>\n Die Entwickler reagierten auf die Kritiken und unternahmen verschiedene Schritte, um die Sicherheit der Plattform zu verbessern<\/a>, einschlie\u00dflich der Implementierung der Ende-zu-Ende-Verschl\u00fcsselung.<\/p>\n Seit Herbst 2020 verwendet Zoom Ende-zu-Ende-Verschl\u00fcsselung<\/a> f\u00fcr Audio- und Videoanrufe sowie f\u00fcr die Chats. Wenn die E2EE aktiviert ist, sch\u00fctzt Zoom die Daten der Teilnehmer mit einem speziellen Verschl\u00fcsselungsschl\u00fcssel f\u00fcr Konferenzen. Dieser Schl\u00fcssel wird nicht in den Servern von Zoom gespeichert, dementsprechend k\u00f6nnen noch nicht einmal die Entwickler die Inhalte der Unterhaltungen entschl\u00fcsseln. Die Plattform speichert nur die verschl\u00fcsselten Benutzer-IDs und einige Meeting-Metadaten wie beispielsweise die Dauer des Anrufes.<\/p>\n Die Entwickler f\u00fchrten auch die Heartbeat-Funktion ein, um die Plattform vor unerw\u00fcnschten Verbindungen von au\u00dfen zu sch\u00fctzen. Mithilfe dieser Funktion wird automatisch ein Signal von der App des Hosts, bzw. Meeting-Leiters an die anderen Teilnehmer geschickt. Darin ist u. A. eine Liste mit den Teilnehmern enthalten, an die der Meeting-Leiter den aktuellen Verschl\u00fcsselungsschl\u00fcssel gesendet hat. Wenn jemand in der Liste nicht am Meeting teilnimmt, ist sofort klar, dass etwas nicht mit rechten Dingen zugeht.<\/p>\n Eine weitere M\u00f6glichkeit, um unerw\u00fcnschte Teilnehmer zu vermeiden, besteht darin, die Meetings zu sperren, indem Sie unten \u201eSicherheit\u201c den Punkt \u201eMeeting sperren\u201c w\u00e4hlen, sobald alle geplanten Teilnehmer anwesend sind. Das geht bis jetzt nur manuell, aber dadurch wird gew\u00e4hrleistet, dass ab der Sperrung des Meetings kein weiterer Teilnehmer sich anschlie\u00dfen kann, selbst wenn er \u00fcber eine Meeting-ID und ein Passwort verf\u00fcgt.<\/p>\n Zoom sch\u00fctzt die Benutzer au\u00dferdem vor Man-in the-Middle-Angriffen (MITM)<\/a> durch das Ersetzen des Verschl\u00fcsselungsschl\u00fcssels. Ein Meeting-Leiter kann jederzeit auf einen Button klicken, um einen Sicherheitscode zu generieren, der auf dem aktuellen Verschl\u00fcsselungsschl\u00fcssel basiert, um sicherzustellen, dass kein Fremder das Meeting belauscht. Derselbe Code wird gleichzeitig automatisch f\u00fcr alle anderen Teilnehmer des Meetings generiert. Der Meeting-Leiter kann den Code dann m\u00fcndlich angeben und wenn der Code mit den anderen \u00fcbereinstimmt, verwenden s\u00e4mtliche Teilnehmer denselben Schl\u00fcssen und alles ist in Ordnung.<\/p>\n Sollte der Meeting-Leiter die Online-Konferenz vor der Beendigung verlassen und die Leitung an einen anderen Teilnehmer \u00fcbergeben, werden alle von der App \u00fcber die \u00dcbergabe informiert. Sollte den Teilnehmern diese \u00dcbergabe verd\u00e4chtig vorkommen, k\u00f6nnen ggf. vertrauliche Gespr\u00e4che vorerst unterbrochen werden, bis die Sache gekl\u00e4rt ist.<\/p>\n Bei einer Zoom-Party mit Freunden sind all diese Sicherheitsma\u00dfnahmen nat\u00fcrlich nicht unbedingt notwendig. Wenn es aber in der virtuellen Gespr\u00e4chsrunde um Gesch\u00e4ftsgeheimnisse oder andere vertrauliche Informationen geht, sind diese Schutzfunktionen echt n\u00fctzlich. Aus diesem Grund ist es ausschlaggebend, dass die Teilnehmer von wichtigen Online-Meetings damit vertraut sind und sie richtig anwenden.<\/p>\n Trotz all der Innovationen geben die Zoom-Entwickler zu, dass ihnen noch viel Arbeit bevorsteht. Bei dem Vortrag auf der RSA Conference 2021 wurde einiges \u00fcber den Entwicklungsweg von Zoom erl\u00e4utert.<\/p>\n Die Entwickler haben einige Bedrohungen identifiziert, f\u00fcr die noch effektive Gegenma\u00dfnahmen ergriffen werden m\u00fcssen. Eine davon ist das Einschleichen von Personen, die sich als eingeladene Teilnehmer ausgeben. Ein weiteres Sicherheitsproblem besteht darin, dass trotz der Ende-zu-Ende-Verschl\u00fcsselung Angreifer Zugriff auf einige Metadaten erhalten k\u00f6nnten, wie beispielsweise Anrufdauer, Namen der Teilnehmer und IP-Adressen. Auch Schwachstellen stehen auf Zooms Liste mit m\u00f6glichen Risiken, denn rein theoretisch k\u00f6nnten Cyberkriminelle sch\u00e4dlichen Code in Zoom einbetten.<\/p>\n In Betracht dieser Bedrohungen steckten die Zoom-Entwickler folgende Ziele<\/a>:<\/p>\n Die Entwickler haben eine 4-Phasen-Roadmap ausgearbeitet, um diese Ziele zu erreichen. Die erste Phase<\/strong> wurde inzwischen implementiert. Wie bereits oben erw\u00e4hnt, wurde die Art und Weise, wie der Verschl\u00fcsselungsschl\u00fcssel der Konferenzen gehandhabt wurde, ver\u00e4ndert und der Schl\u00fcssel wird jetzt direkt auf dem Ger\u00e4t des Benutzers gespeichert. Dar\u00fcber hinaus wurden auch weitere Schutzma\u00dfnahmen implementiert, um Fremde daran zu hindern, unbefugt an Meetings teilzunehmen.<\/p>\n Bei der zweiten Phase<\/strong> haben die Entwickler vor, eine neue Art der Authentifizierung einzuf\u00fchren, die nicht von den Zoom-Servern abh\u00e4ngt. Stattdessen wollen sie Single-Sign-On (SSO)<\/a> verwenden und die Dienste eines unabh\u00e4ngigen Identity Provider (IdP) in Anspruch nehmen.<\/p>\n Dadurch wird gew\u00e4hrleistet, dass selbst wenn ein M\u00f6chtegern-Eindringling die Kontrolle eines Zoom-Servers \u00fcbernimmt, nicht in der Lage w\u00e4re, die Identit\u00e4t eines Benutzers zu f\u00e4lschen. Sollte jemand dem Meeting beitreten und sich als eingeladener Teilnehmer ausgeben, das aber mit einem neuen \u00f6ffentlichen Schl\u00fcssel tun, dann werden alle Teilnehmer gewarnt.<\/p>\nE2EE im Vergleich zu P2PE<\/h3>\n
\n
Ende-zu-Ende-Verschl\u00fcsselung in Zoom: Aktuelle Situation<\/h2>\n
Die Zukunftsaussichten von Zoom<\/h2>\n
\n
Roadmap<\/h3>\n