Persönlicher Kommentar zu Zoom Video

Lesedauer: 15 Minuten

Die Nachrichten und Meldungen zum Videotelefonie-Anbieter Zoom Video überschlagen sich. Eigentlich komisch, denn geht es hier doch gerade mal um eine halbe Million Zugangsaten von Leuten, die meiner Meinung nach eigentlich selbst Schuld sind. Was sieht man im höchsten der Gefühle, wenn man diese Daten hat? Nicht viel. Gar nichts eigentlich. Naja, vielleicht den Kalender in dem steht, wann man mit wem eine Videokonferenz hatte.

Eine halbe Million finden Sie viel? Nunja, über die Zwangsinstallation von Microsoft Teams auf praktisch jedem Windows Rechner durch den großen Konkurrenten aus Redmond und dessen viele Datenpannen, bei denen beispielsweise im Dezember 44 Millionen Passwörter zurückgesetzt werden mussten1)https://www.com-magazin.de/news/microsoft/microsoft-setzt-44-millionen-passwoerter-zurueck-2403982.html und im Januar dann 250 Millionen Kundendatensätze inkl. Korrespondenz aus den vergangenen 14 Jahren öffentlich im Internet standen 2)https://www.watson.ch/digital/microsoft/228944743-datenpanne-bei-microsoft-millionen-kundendaten-lagen-offen-im-netz (14 Jahre, wie war das mit gesetzlichen Aufbewahrungs- und Löschfristen nochmal…?)… redet irgendwie niemand. Dabei sind diese Zahlen doch viel, viel höher. Achso, aber das ist Microsoft, die dürfen das.

Ein Schelm sei, wer Böses dabei denkt. Ich möchte in diesem persönlichen Kommentar ein wenig aufräumen mit den vielfältigen und – meiner Meinung nach – größtenteils haltlosen Anschuldigungen gegenüber Zoom.

Denn auch wir und ich nutzen seit langer Zeit diesen amerikanischen Anbieter für Videotelefonie, Onlineschulungen und Telefonkonferenzen. Weil ich Zoom für ein tolles Produkt halte, das nicht wie Microsoft Teams einfach mal Funktionen für zahlende Nutzer abschaltet statt die Serverleistung so zu erhöhen, dass jeder zahlende Kunde auch tatsächlich die bezahlte Leistung abrufen kann3)https://www.itmagazine.ch/Artikel/71771/Microsoft_schraenkt_Office_365_wegen_Teams_ein.html. Aber auch, weil ich keine Alternative kenne, die von Zoom angebotene Leistungen auch nur ansatzweise liefern könnte.

Nicht nur weil ich TÜV-SÜD zertifizierter Datenschutzbeauftragter (DSB-TÜV) bin, muss ich solche Themen trotzdem kritisch hinterfragen. Es obliegt auch meiner Verantwortung als Geschäftsführer der ITK SECURITY GmbH. Datenschutz ist Chefsache. Eingesetzte EDV Systeme haben einer ständigen Überprüfung und ggf. erneuter Validierung zu unterliegen. Datenschutz kommt in diesen – ich glaube das wird das Unwort des Jahres 2020 werden – „Corona-Zeiten“ sowieso schon überall viel zu kurz.

In diesem Kommentar werde ich nur ein paar wenige Punkte der neuesten Meldungen aufgreifen, die in den vergangenen Tagen und Wochen in den Schlagzeilen waren. Und ich werde jeweils knapp, möglichst wenig technisch und nicht zu sehr vertieft in rechtliche Details, darauf eingehen.

Wer sich ernsthaft und hintergündig mit dem Thema beschäftigen möchte und etwas Zeit zum Lesen hat, dem empfehle ich die ausführliche und stets aktuell gehaltene anwaltliche Auseinandersetzung mit dem Thema im Blog des von mir hoch geschätzten RA Stephan Hansen-Oest:

https://www.datenschutz-guru.de/zoom-ist-keine-datenschleuder

Es ist wirklich lesenswert.

„Gehackte“ Zugangsdaten

Ursächlich zu diesem Artikel bewogen hat mich die gestrige Ausstrahlung von Achim Killers „Killer’s Security“ Sendung auf Radio B5 Aktuell4)https://www.br.de/nachrichten/netzwelt/killer-s-security-probleme-im-home-office,RwPpqtR.

Wohl noch nie hat ein Internet-Dienst so einen Boom erfahren wie derzeit Video-Konferenzen. Ist quasi ein Stresstest für Firmen wie Zoom. Und den Stresstest besteht Zoom ganz offensichtlich nicht. Jetzt sind wieder über eine halbe Million Zugangsdatensätze von Zoom im Darknet angeboten worden, Namen, Passwörter Mail-Adressen und Etliches mehr. (…) Gauner haben auf dem Schwarzmarkt irgendwelche Zugangsdatensätze gekauft, zu Yahoo, Tumblr und Dropbox vielleicht, und dann ausprobiert, ob User-Name und Passwort auch bei Zoom funktionieren. Sowas lassen Unternehmen ihre Pressesprecher gerne sagen, weil: dann sind ja die Anderen schuld, andere Cloud-Dienstleister, weil sie sich haben hacken lassen, und die Nutzer, weil sie Passwörter mehrfach benutzen.

Quelle: 17.04.2020, 14:19 Uhr Killer’s Security: Probleme im Home-Office5)https://www.br.de/nachrichten/netzwelt/killer-s-security-probleme-im-home-office,RwPpqtR, Hervorhebung durch mich

Nun, das ist schon richtig, was da steht. Auch heise berichtet entsprechend darüber6)https://www.heise.de/security/meldung/Videokonferenz-Plattform-Zoom-Veroeffentlichte-Login-Daten-aus-Credential-Stuffing-Angriffen-4702677.html. Aber was bedeutet das im Klartext?

Es ist eine sehr triviale Form des „Hackings“. Eigentlich kann man das nicht einmal „Hacken“ bezeichnen. Es funktioniert ungefähr so:

  1. Irgend ein Internetdienst hat ein Sicherheitsproblem. Es werden Passwortlisten entwendet und diese werden jetzt im Internet zum Verkauf angeboten.
  2. Das Unternehmen informiert alle Benutzer darüber, dass sie bitteschön ihre Passwörter ändern sollen.
  3. Fünf Jahre später fällt so eine uralt-Liste wieder mal einem Hacker in den Schoß. Weil der nichts Besseres zu tun hat probiert er mit einem kleinen selbstprogrammierten Hackingtool genau diese Passwörter an irgend einem Dienst aus, der gerade ins Fadenkreuz der Presse gelangt ist. Das kann wie jetzt aktuell Zoom Video Communications sein, könnte aber auch ein anderer sein.
  4. Und jetzt kommt der Clou: natürlich hat ein Großteil der vor Jahren betroffenen Benutzer nicht reagiert und das Passwort damals nicht geändert. Noch schlimmer, viele Benutzer benutzen ein- und dasselbe Passwort überall. Also das alte private GMX oder web.de Passwort für die private Mailadresse ist dasselbe wie für den Rechner im Büro, für Facebook, Twitter und Instagram – die alle schonmal Ziel eines Angriffs waren. Tja, und für Zoom ist das Passwort natürlich auch dasselbe und wurde nie geändert. Ist ja klar, dass das Passwort dann auf Zoom noch immer funktioniert. Das muss man einfach mal so deutlich klarstellen. Und schon ist die Meldung da, dass Zoom erfolgreich gehackt wurde.

Wurde Zoom gehackt? Kann man drüber streiten. Ich würde eher sagen, es wurden wenn schon überhaupt nur die Benutzer gehackt, die seit Jahren überall dasselbe Passwort verwenden, nie ändern, nicht einmal ändern wenn sie dazu von einem der Anbieter ausdrücklich aufgefordert werden.

Sehen wir uns ein paar Zahlen dazu an.

500.000 Accounts wurden wohl veruntreut7)https://www.forbes.com/sites/leemathews/2020/04/13/500000-hacked-zoom-accounts-given-away-for-free-on-the-dark-web/. Bei rund 200 Millionen Nutzern8)https://www.br.de/nachrichten/netzwelt/videodienst-zoom-zieht-die-notbremse,Rv5ceOs bedeutet das also gerade einmal 0,25% betroffene Anwender. Nämlich genau die, die sich nicht um die eigene Passwortsicherheit gekümmert haben.

Ungeklärt bleibt außerdem, inwiefern man sich mit diesen Passwörtern überhaupt anmelden kann (siehe weiter unten). Wer die empfohlene Zweifaktorauthentifizierung aktiviert hat, der hat wohl auch erstmal nichts zu befürchten. Die Zahl der tatsächlich „missbrauchsfähigen“ bekannt gewordenen Passworte dürfte also noch einmal nur ein Bruchteil davon sein.

Wieso Zoom daran Schuld sein soll? Weil es sich in den Medien gut anhört, wenn man das so aufzieht vielleicht?

An Zooms „Schuld“ habe ich ernsthafte Zweifel, denn kommen wir mal zu den weiteren Schutzvorkehrungen, die Zoom anbietet.

Empfehlung: Vorhandene Sicherheitsfunktionen auch mal aktivieren

Wenn ich mich in meinem Zoom Konto anmelde, dann sieht das so aus:

Quelle: Anmeldemaske von Zoom Video9)https://zoom.us/signin

Ich muss also Benutzername und Passwort angeben, also genau die Daten, die hier im vorliegenden Fall veruntreut wurden. Mache ich das und klicke auf „Sign In“, erscheint ein zweiter Sicherheitsbildschirm:

Quelle: 2FA auf zoomvideo Seite10)https://us02web.zoom.us/signin/step?code=

Hier muss ich nun einen sechstelligen Code eingeben, den eine spezielle App (ich nutze den Google Authenticator, siehe hierzu ein eigener Artikel von mir11)https://www.itk-security.de/onlinebanking-der-zukunft-kompliziert-umstaendlich-unsicherer/) auf meinem persönlichen Handy alle 10 Sekunden neu generiert. Wie ein TAN Generator der Bank.

Ohne diesen Code ist eine Anmeldung unmöglich.

Die „gestohlenen“ Logindaten bringen dem Hacker also gar nichts, wenn die Zweifaktor-Authentifizierung aktiviert wurde. Man muss sie nur aktivieren und jeder Datenschutzbeauftragte des Unternehmens wird darauf hinweisen.

Außerdem gibt es zahlreiche weitere Sicherheitsoptionen bei Zoom. Wenn ich eine Videokonferenz mit Kunden von mir über Zoom starte, dann muss ich jeden Teilnehmer explizit zulassen sobald er sich einwählt. Ohne meine Genehmigung geht nichts. Zugegeben, manche Sicherheitsfunktionen wie beispielsweise Benutzerverwaltung, Kontrollfunktionen für Administratoren, Reportingmöglichkeiten und Single Sign On („SSO“) stehen nur in den kostenpflichtigen Tarifen von Zoom zur Verfügung12)https://zoom.us/pricing?tt!pID=3521&tt!bD=6957727_1.

Da liegt die „Schuld“ aber doch auch nicht beim Anbieter, wenn Firmen statt zu bezahlen lieber die kostenfreien Tarife z. B. für Privatpersonen nutzen um Kosten zu sparen. Sicherheit und Datenschutz kosten nun einmal. Wenn ein Unternehmen nicht bereit ist dafür Geld in die Hand zu nehmen, dann ist das doch nicht die Schuld des Anbieters. Erwartet wirklich irgend jemand, dass ein Anbieter wie Zoom HD Videokonferenzen für 200 Millionen Benutzer kostenlos für alle zur Verfügung stellt? Einfach mal so, weil die Leute bei Zoom die Spendierhosen anhaben und von Luft und Liebe leben? Für mich klingt das eher nach dem Plot des Superhelden-Kinofilms Kingsman13)https://www.kino.de/film/kingsman-the-secret-service-2014/. Verquere Welt, das alles.

Grundproblem: Datenschutz kostet und keiner will das bezahlen

Das Problem in Deutschland ist, dass hier die Mehrheit der Firmen auf Datenschutz nicht viel Wert legt. Auf dem Papier ja, in der Presse natürlich ja, aber in der Realität überhaupt nicht.

Wie viele Leute arbeiten denn plötzlich im Home Office, obwohl es dazu überhaupt keine rechtliche Grundlage gibt? Wie viele nehmen Geschäftsunterlagen mit nach Hause, was sie laut Verträgen mit den Kunden der Firma überhaupt nicht dürften? Wie viele stellen ihr Notebook daheim auf den Wohnzimmertisch, wo Lebenspartner und Kinder Einblick erhalten könnten?

Oder wie viele peinlichste Fälle von Datenschutzverstößen gab es in den vergangenen Tagen, Wochen, Monaten und Jahren? Auch von großen Firmen und Behörden? Schon vergessen? Kleiner Auszug gefällig?

Schon komisch. Sie kennen bestimmt den einen oder anderen Fall. Haben Sie danach jemals wieder irgend etwas gehört? Nein? Ich auch nicht. The power of denial.

Die „Schuld“ im obigen Fall dann einfach auf einen Dienst wie Zoom zu schieben halte ich für deutlich zu einseitig. Es ist natürlich eine einfache vermeintliche „Lösung“ für das akute Problem, löst aber keineswegs die Grundproblematik. Wenn man sich mit der Technik, Sicherheit und Datenschutz selber nicht auskennt, dann muss man sich dieses Fachwissen eben ins Haus holen. Wie bei einem Steuerberater.

Firmen werden gesetzlich verpflichtet, einen Steuerberater zu bestellen. Macht jede Firma. Firmen werden gesetzlich genau so verpflichtet, einen Datenschutzbeauftragten zu bestellen. Macht praktisch keiner oder bestellt am Ende noch sich selbst, obwohl ihm augenscheinlich die Fachkunde in der Praxis fehlt. Mag auf dem Papier vorhanden sein, aber an der praktischen Umsetzung hapert es da meiner Erfahrung nach doch ganz gewaltig. Oder aber der DSB ist hoffnungslos überfordert, gerade bei größeren Unternehmen scheint mir das mittlerweile oft nur noch ein Alibi zu sein. „Wir haben einen Datenschutzbeauftragten, ja.“. Zoom hat da schon viel mehr umgesetzt, gerade auch in den vergangenen Monaten, als die meisten deutschen Unternehmen. So viel ist mal sicher14)https://zoom.us/security.

Quintessenz

Hauptsache es gibt eine Schlagzeile. Die Empfehlung, sein Zoom Konto – oder auch das von beliebigen anderen Diensten – abzusichern mit den vielfältig bereitgestellten Möglichkeiten, diesen Hinweis vermisse ich doch sehr in der allgegenwärtigen Presse.

Leider sind auch die offiziellen Verlautbarungen der Aufsichtsbehörden dieser Tage bescheuert. Bei so viel Inkompetenz stellt es mir die Nackenhaare auf. Hauptsache, seinen Senf dazu geben, auch wenn man keine Ahnung hat.

Ich hätte es nicht besser formulieren können als der Kollege Hansen-Oest, weshalb ich hier einen Auszug zitieren möchte.

Neben allgemein guten Ausführungen zu Anforderungen an solche Systeme in der Stellungnahme (PDF) der Aufsichtsbehörde gleitet die Aufsichtsbehörde leider dann in einen kleinen „Nicht-Argumentations-Nebel“ ab. Denn der Einsatz von Microsoft Teams, Skype und natürlich auch „Zoom“ wird per se für rechtswidrig gehalten, ohne substantiiert darauf einzugehen oder dies gar konkret zu begründen.
Zu „Zoom“ heißt es pauschal, dass nach Stand vom 02.04.2020 die datenschutzrechtlichen Anforderungen des Anbieters von „Zoom“ nicht eingehalten würden. Eine konkrete Begründung gibt es nicht. (…) Ich muss leider gestehen, dass ich einzelne Äußerungen von Aufsichtsbehörden gerade in Zeiten der aktuellen Pandemie wenig bis gar nicht nachvollziehen kann. So empfiehlt auch die Berliner Aufsichtsbehörde grundsätzlich wieder, man solle ggf. besser Telefonkonferenzen durchführen. 

Quelle: https://www.datenschutz-guru.de/zoom-ist-keine-datenschleuder/#update1615)https://www.datenschutz-guru.de/zoom-ist-keine-datenschleuder/#update16, Hervorhebung durch mich

Ja genau, lieber Telefonkonferenzen nutzen. Super Stichwort, und damit möchte ich den Artikel auch abschließen. Denn auch Probleme mit einer nicht ganz perfekten Verschlüsselung einiger Dienste von Zoom steht hier noch im Raum. Wie auch weitere technische Feinheiten, die Sie in den verlinkten Artikeln nachlesen können (würde hier zu weit führen).

Die Aufsichtsbehörde empfiehlt aktuell jedenfalls, lieber das klassische Telefon zu verwenden. So wie die Rechtsanwaltskammer sagt, statt beA (dem „sicheren“ Nachrichtensystem der Bundesrechtsanwaltskammer für Anwälte und Gerichte) solle man wenns drauf ankommt lieber ein Fax verwenden.

Ihnen ist schon klar, dass Telefon und Fax in aller Regel gar nicht verschlüsselt sind?

Dann machen Sie es doch gleich so wie der Großteil aller Anwaltschaften, Ärzte, Steuerberater und Notare in Deutschland und nutzen Sie als Hauptwerkzeug das komplett und generell unverschlüsselte System namens „E-Mail“.

So viel dazu.

Ich glaube wir haben im Moment wichtigere Sorgen, als alles schlecht zu reden was uns in der jetzigen Lage zu unterstützen vermag und ich würde mir etwas mehr Fachkunde und Objektivität in dieser medienwirksamen Diskussion wünschen.

Ja, wir müssen über so etwas reden. Datenschutz ist elementar wichtig. Aber vielleicht kehren wir erst einmal die Trümmerteile vor unserer eigenen Haustür, bevor wir mit unqualifizierter Anbieterhetze durchstarten.

Schönes Wochenende.

patrick.ruppelt