Zoom 5 bewegt sich in Richtung Sicherheit

Die Zoom-Entwickler haben ihren Dienst sicherer gemacht. Wir erklären, was sich geändert hat.

Vor nicht allzu langer Zeit haben wir erklärt, wie man Zoom konfiguriert, damit die Nutzung sicherer ist. Technologien können sich jedoch sehr schnell entwickeln, insbesondere solche, die im Rampenlicht der Öffentlichkeit stehen. Ein solcher Fall ist Zoom, dessen Entwickler, wie versprochen, der App eine datenschutztechnische Überarbeitung verpasst haben. Infolgedessen hat sich die Version 5.0 gegenüber ihrem Vorcorona-Vorgänger stark verändert.

Die Änderung des Sicherheitsfokus trug schnell ihre Früchte. Wendeten sich große Unternehmen und Institutionen zuvor noch von Zoom ab, ist das Programm nach dem Erhalt des Gütesiegels des Generalstaatsanwalts von New York nun wieder in den Schulen von New York zu finden. Darüber hinaus bringt Version 5 einige nützliche Funktionen mit sich.

Bequem zugängliche Sicherheitseinstellungen

Mit Zoom 5 erscheinen alle Einstellungen zur Verwaltung der Konferenzteilnehmer an einer Stelle. Sicherheit ersetzt in diesem Fall also nicht den Komfort der Nutzer.

Hier können Sie die Benutzerrechte einschränken, den Zugang zu Meetings sperren, um ungebetene Gäste fernzuhalten, Screenshots und Audioaufzeichnungen mit Wasserzeichen versehen, falls jemand beschließt, diese zu veröffentlichen, usw. Klicken Sie im Konferenzmenü auf das Schild-Symbol, um die Sicherheitseinstellungen zu öffnen.

Anti-Troll-Schutz

Eine Reihe neuer Einstellungen stoppen Invasionen durch anonyme Trolle. Erstens sind Passwörter und die Funktion „Warteraum“, die die Erlaubnis des Gastgebers zur Teilnahme an einer Konferenz erfordert, jetzt standardmäßig aktiviert. Zweitens kann man jetzt verhindern, dass Teilnehmer sich selbst umbenennen.

Besitzer von kostenpflichtigen Konten können von Teilnehmern auch verlangen, dass sie Informationen über sich selbst angeben: Name, E-Mail-Adresse und ähnliches. Und mit einem Geschäftskonto können Sie nicht autorisierte Benutzer oder Benutzer mit einer bestimmten Art von E-Mail-Adressdomäne (z.B. öffentlich statt geschäftlich) daran hindern, eine Verbindung zu dem Programm herzustellen.

Daten-Routing

Auch Zooms Ansatz beim Daten-Routing hat sich geändert. Jetzt werden Videoanrufe nicht mehr versehentlich an einen chinesischen oder anderen ausländischen Server weitergeleitet. Wenn das Gespräch aus irgendeinem Grund in Ihrem Heimatland bleiben muss, brauchen Sie sich keine Sorgen zu machen: Kostenlose Konferenzen bleiben in der Heimatregion, und zahlende Abonnenten können ab dem 18. April wählen, über welche Länder ihre Informationen geroutet werden.

Darüber hinaus können alle Konferenzteilnehmer jetzt sehen, mit welchem Rechenzentrum sie verbunden sind, indem man auf das „i“-Symbol in der linken oberen Bildschirmecke klickt. Wenn Ihre Daten also an einen anderen Ort geleitet werden, können Sie sich darüber informieren und sich beim Entwickler beschweren.

Sicherheit bei der Bildschirmfreigabe

Das alte Zoom zeigte immer eine Vorschau der Chat-Nachrichten in den Benachrichtigungen an. Das konnte zu einer unangenehmen Situation führen, wenn Ihnen z. B. jemand während der Bildschirmfreigabe eine persönliche Nachricht schrieb. Jetzt zeigt der Dienst bei kostenlosen Konferenzen überhaupt keine Benachrichtigungen an und zeigt bei der Bildschirmfreigabe keinen Chat an, selbst wenn dieser geöffnet ist.

Aktualisierte Verschlüsselung

Die Entwickler haben auch den Verschlüsselungsalgorithmus verbessert. Erstens verwendet Zoom jetzt längere (und damit zuverlässigere) Verschlüsselungsschlüssel. Zweitens wird jetzt die Integrität der übertragenen Daten überprüft. Das ist eine Schutzmaßnahme gegen Eindringlinge, die eine verschlüsselte Nachricht korrumpieren oder verändern könnten, ohne sie zu entschlüsseln.

Wenn Sie solche esoterischen Details mögen (und wer tut das nicht?), wird es Sie auch bestimmt interessieren, dass der Galois/Counter-Modus jetzt die Integritätsprüfung übernimmt. GCM ist nicht nur sicherer, sondern gilt auch als ressourcenschonender, sodass eine bessere Verschlüsselung nicht der Computerleistung zur Last fällt.

Ende-zu-Ende-Verschlüsselung

Und schließlich werden die Benutzer bald in der Lage sein, zu kommunizieren, ohne dass jemand (Außenstehende oder Zoom-Mitarbeiter) mitlauschen kann. Der Dienst plant die Implementierung der Ende-zu-Ende-Verschlüsselung von Videoanrufen. Zu diesem Zweck hat Zoom sogar Keybase erworben, ein Unternehmen, das auf sichere Messenger und Anwendungen für den Datenaustausch spezialisiert ist.

Zunächst plante Zoom, nur zahlenden Abonnenten ein Höchstmaß an Privatsphäre zu bieten. Doch diese Nachricht führte zu viel Kritik: Zoom wurde beschuldigt, mit Geheimdiensten zusammenzuarbeiten oder zumindest die Tür für sie offen zu halten.

Diese Anschuldigungen ignorieren bequemerweise einen wichtigen Punkt: Praktisch keiner der Konkurrenten von Zoom bietet überhaupt eine Ende-zu-Ende-Verschlüsselung an. Ende-zu-Ende verschlüsselte Videoanrufe sind nur in Instant Messengern mit eingeschränkter Videoanruf-Funktionalität oder in hochpreisigen Business-Tools verfügbar, die dies nur auf Anfrage und eindeutig nicht kostenlos anbieten.

Entwickler haben einen guten Grund, weshalb sie die End-to-End-Videoverschlüsselung ablehnen; nämlich ist diese mit vielen nützlichen Funktionen inkompatibel. So sind Funktionen, wie das Aufzeichnen von Konferenzen im Cloudspeicher, die Übertragung auf YouTube oder die Teilnahme an Meetings per Telefon nur über die Verwaltung im Server möglich. Was die Bequemlichkeit anbelangt, sind die meisten Benutzer ohne sie besser dran.

Dennoch kündigte Zoom am 17. Juni an, dass die Ende-zu-Ende-Verschlüsselung nun doch allen Nutzern zur Verfügung gestellt wird, auch denjenigen, die den Dienst kostenlos nutzen. Dies wird jedoch nicht von heute auf morgen geschehen, das Unternehmen plant, im Juli mit einem frühen Betatest zu beginnen.

Keine Zeit zum Entspannen

Insgesamt ist Zoom 5 weitaus sicherer als frühere Versionen. Seine Entwickler sind sehr verantwortungsbewusst an das Sicherheitsthema herangegangen und haben die meisten Probleme, die während des Lockdowns aufgetreten sind, umgehend behoben.

Das bedeutet jedoch nicht, dass man das Ziel aus den Augen verlieren darf. Ist Ihre Konferenz offen oder geschlossen? Ist eine Aufzeichnung erlaubt oder nicht? Diese und einige andere Fragen können die Entwickler nicht für alle beantworten. Sie müssen also Konferenzen nach Ihren eigenen Bedürfnissen konfigurieren. Glücklicherweise hat Zoom jetzt mehr Einstellungsmöglichkeiten, die Ihnen dabei helfen, es richtig zu machen.

Zweitens gibt es keine absolute Sicherheit. Zum Beispiel wurden zwei Schwachstellen in der relativ neuen Zoom-Version 4.6.10 entdeckt. Eine davon ermöglichte einer bösartigen Chat-Nachricht die Ausführung von beliebigen Codes auf dem Zoom-Server. Dieser Fehler wurde vor der Veröffentlichung von Version 5 behoben.

Die zweite Schwachstelle betraf die Einbindung der GIF Chat-Funktion mit dem Online-GIF Anbieter GIPHY. Der Fehler erlaubte das Herunterladen beliebiger Dateien auf die Computer der Konferenzteilnehmer anstelle von animierten Bildern. Die Entwickler haben die anfällige Funktion vorübergehend deaktiviert, und sie versprechen, diese wieder freizuschalten, sobald das Problem behoben ist.

Bisher wurden keine größeren Gräuel in Zoom 5 gefunden, aber das bedeutet nicht, dass es keine gibt. Solange der Dienst im Rampenlicht steht, wird es nicht an Menschen fehlen, die versuchen, Schwachpunkte zu finden. Wenn Sie also Zoom verwenden, sollten Sie auf jeden Fall nach Updates Ausschau halten und diese sofort installieren.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.