Zoom-Sicherheitslücken

Videokonferenzdienst im Kreuzfeuer

06.04.2020
Von 
Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP; Betreuung von News und Titel-Strecken in der Print-Ausgabe der COMPUTERWOCHE.
Datenschützer kritisieren Zoom für seinen laxen Umgang mit Datenschutz und IT-Sicherheit. Auch die US-Staatsanwaltschaft hat den Videokonferenzdienst im Visier. Der Anbieter beteuert indes, sein Service funktioniere regelkonform.
Für Zoom geht es derzeit um Schadensbegrenzung. Es lodert an vielen Stellen - fast täglich tun sich neue Sicherheitslücken beim Videoconferencing Tool auf.
Für Zoom geht es derzeit um Schadensbegrenzung. Es lodert an vielen Stellen - fast täglich tun sich neue Sicherheitslücken beim Videoconferencing Tool auf.
Foto: Firefighter Montreal - shutterstock.com

In Zeiten der Coronavirus-Pandemie verlagern sich soziale Kontakte, egal ob beruflich oder privat, zunehmend ins Netz. Kaum ein Tool verzeichnet derzeit so viel Zuspruch wie der Videokonferenzdienst Zoom. Neben einer Gratis-Variante für bis zu 100 Teilnehmer und 40 Minuten Konferenzdauer offeriert der kalifornische Anbieter auch eine Bezahlversion ohne Limitierungen.

Im Zuge der Ausgangssperren und Einschränkungen der Bewegungsfreiheit in vielen Ländern sind die Nutzerzahlen binnen weniger Wochen regelrecht explodiert. Hätten Ende Dezember 2019 täglich knapp zehn Millionen User den Online-Meeting-Dienst genutzt, seien es im März Tag für Tag bereits über 200 Millionen Menschen weltweit gewesen, teilte Zoom-CEO Eric Yuan jüngst in einem Blogpost mit.

Die Zoom App und der überraschende Datenabfluss

Experten kritisieren indes, dass es Zoom mit Datenschutz und Sicherheit nicht so genau nehme. Wie viele andere Online-Anbieter nimmt sich Zoom als Gegenleistung für den Kostenlos-Service das Recht heraus, User-Daten zu sammeln, um diese zu Werbezwecken an Drittfirmen weiterzugeben. Kritiker warnen aber, Zoom habe auch Zugriff auf die Inhalte, die Nutzer des Dienstes während der Videokonferenzen teilen. Für Aufsehen sorgten zuletzt US-amerikanische Medienberichte, wonach die Zoom-App auf iOS-Geräten Nutzerdaten sammeln und diese an Facebook weitergeben soll.

Die Verantwortlichen gaben sich überrascht ob der Vorwürfe. Wie viele andere Online-Dienste gebe auch Zoom Anwendern die Möglichkeit, sich komfortabel mit ihrem Facebook-Konto anzumelden. Dass die Verwendung des Software Development Kit (SDK) von Facebook einen Datenabfluss verursache, habe man erst hinterher bemerkt, beteuerten die Verantwortlichen. Dabei seien auch keine persönlichen Informationen an Facebook gegangen. Das soziale Netzwerk habe lediglich Daten über das vom Anwender verwendete iOS-Gerät sowie über die aktuelle Zeitzone erhalten.

Täglich aktuell - Corona-News für die ITK-Welt

Mittlerweile hat Zoom auf die Privacy-Bedenken reagiert und nachgebessert. Das Feature für den Facebook-Login soll in Zukunft nicht mehr auf dem SDK des Social Networks basieren. Um auf der sicheren Seite zu sein, müssten Nutzer aber die neueste Zoom-App auf ihren Geräten installieren. "Wir entschuldigen uns aufrichtig für dieses Versehen und bleiben dem Schutz der Daten unserer Nutzer fest verpflichtet", versicherte der Videokonferenzspezialist in einem Blogbeitrag.

Auch auf die Vorwürfe, Inhalte von Meetings abzugreifen, hat Zoom inzwischen geantwortet und seine Privacy Policy überarbeitet. Das Unternehmen betonte allerdings auch, dass keine der bislang gepflegten Geschäftspraktiken geändert werden müsse. Datenschutz und Sicherheit der User hätten oberste Priorität, sagte Chief Legal Officer Aparna Bawa. Sie betont, Zoom habe nie Nutzerdaten verkauft und werde dies auch in Zukunft nicht tun. Darüber hinaus gebe es auch kein Monitoring der Inhalte in Zoom-Konferenzen, um diese Informationen beispielsweise Werbetreibenden zur Verfügung zu stellen.

Videoconferencing mit Zoom - immer mehr Sicherheitslücken

Mit der zunehmenden Nutzung gerät Zoom nun aber auch immer mehr ins Visier von Hackern. Dabei zeigt sich, dass es etliche Sicherheitslücken in dem Cloud-Dienst gibt. Der ehemalige NSA-Hacker und IT-Sicherheitsspezialist Patrick Wardle hat zwei besonders gefährliche Sicherheitslücken (Zero Day Exploits) in der Videoconferencing-Software entdeckt. Hacker könnten darüber theoretisch uneingeschränkt auf Mac-Rechner von Nutzern zugreifen. TechCrunch berichtet, dass Angreifer Code auf Endgeräte einschleusen und Kamera sowie Mikrofon unter Kontrolle bringen könnten. Wardle hat die Exploits in seinem Blog veröffentlicht, ohne eine Lösung für die Fehler anzubieten. Es ist also nicht auszuschließen, dass die Fehler bereits ausgenutzt wurden.

Zuvor hatten zwei Hacker bereits einen Bug gefunden, über den Eindringlinge Windows-Paßwörter stehlen können. Derweil hat der Security-Experte Trent Lo zusammen mit Mitgliedern des SecKC in Kansas City ein Programm namens "zWarDial" entwickelt, das automatisch neun-bis elfstellige Zoom-Konferenz-IDs im Netz aufspürt. Es soll pro Stunde rund 100 Zoom-Sitzungs-IDs scannen und Informationen über diese Konferenzen sammeln, berichtet der Sicherheitsexperten Brian Krebs. Das Tool extrahiert den Zoom-Link eines Meetings, Datum und Uhrzeit, den Organisator des Meetings und dessen Thema.

Ein weiteres Problem ist das sogenannte "Zoombombing". Dabei klinken sich Hacker in Video-Konferenzen ein und verbreiten über die Screen-Sharing-Funktion pornographische oder rassistische Inhalte sowie Hass-Botschaften an die Teilnehmer. Diese Angriffe waren zuletzt vor allem im US-amerikanischen Schul- und Universitätsumfeld zu beobachten. "Wir sind zutiefst bestürzt über dieser Art von Angriffen", ließen die Zoom-Verantwortlichen verlauten und forderten ihre User auf, Missbräuche dieser Art zu melden. In einem Blogbeitrag riet der Dienst, die Screensharing-Funktion allein dem Host eines Meetings zu überlassen.

Hier finden Sie viele weitere nützliche Informationen zu Collaboration-Tools:

Außerdem will Zoom seine Nutzer mit einer Passwort-Abfrage schützen. Ohne entsprechende Kennung ist es nun nicht mehr möglich, die Meeting-ID eines Videochats aufzurufen. Außerdem würden die Warteräume jetzt für alle Meetings standardmäßig aktiviert, hieß es. Ein Zutritt in eine Konferenz ohne Erlaubnis des Hosts sei damit grundsätzlich nicht mehr möglich.

Die Überfälle auf Zooms Videokonferenzen sorgen mittlerweile dafür, dass sich viele Nutzer nach Alternativen umsehen. Zoom-Chef Yuan zufolge haben nach den Schulschließungen weltweit über 90.000 Bildungseinrichtungen in mehr als 20 Ländern Teile ihres Unterrichts über die Videosoftware abgewickelt. Nachdem nun aber das FBI offiziell vor der Nutzung von Zoom gewarnt hat, wenden sich vor allem US-amerikanische Schulen und Universitäten wieder von dem Dienst ab. Laut einem Bericht der Washington Post will beispielsweise die Schulbehörde von New York auf Microsoft Teams wechseln.

Zoom von Nutzeransturm überrascht

Yuan räumte währenddessen in dem Blogbeitrag ein, dass der Anbieter mit einem solchen Ansturm nicht gerechnet habe. "Wir haben das Produkt nicht mit der Voraussicht entworfen, dass jeder Mensch auf der Welt innerhalb weniger Wochen plötzlich von zu Hause aus arbeitet, studiert und Kontakte knüpft." Infolge der großen Zahl an Benutzern würde der Dienst auf sehr unterschiedliche Weise genutzt, die so nicht vorhersehbar gewesen seien. "Das stellt uns vor Herausforderungen, die wir bei der Konzeption der Plattform nicht erwartet haben."

Zoom habe Fehler gemacht, gaben die Verantwortlichen zu und versprachen es in Zukunft besser zu machen. Das Vertrauen der Kunden ist jedoch angeknackst.
Zoom habe Fehler gemacht, gaben die Verantwortlichen zu und versprachen es in Zukunft besser zu machen. Das Vertrauen der Kunden ist jedoch angeknackst.
Foto: Michael Vi - shutterstock.com

Yuan gab zu, die Erwartungen seiner Klientel an Datenschutz und Sicherheit nicht erfüllt zu haben und räumte Fehler ein, beispielsweise beim Zoom-internen Routing und Geo-Fencing. Wie die kanadische University of Toronto herausgefunden hat, waren im Februar etliche Videokonferenzen versehentlich über Server in China geleitet worden. Dort hatte der Dienst zu Beginn der Coronakrise seine Kapazitäten massiv ausgebaut, dabei allerdings bei der Konfiguration geschlampt. Mittels Geo-Fencing soll eigentlich sichergestellt werden, dass der Dienst bei Kapazitätsproblemen nur auf Server in der gleichen Region ausweicht. Im Februar seien jedoch auch Systeme in China als Failback für andere Regionen verwendet worden, räumte Zoom ein. Irrtümlicherweise seien zwei Data Center in China einer White List für andere Regionen hinzugefügt worden.

Mittlerweile seien die Fehlkonfigurationen behoben worden, versichern die Verantwortlichen. Außerdem sei das Routing über Server in China auch nur unter ganz bestimmten Umständen erfolgt. Der spezielle Dienst Zoom for Government, in dem besonders sensible Informationen geteilt werden, sei nicht davon betroffen gewesen. Dafür halte der Anbieter eigenen Angaben zufolge eine eigene getrennte Umgebung vor.

Mehr Ressourcen für die Zoom-Sicherheit

Zoom-Chef Yuan bedauerte die Fehler und Pannen. "Das tut mir zutiefst leid, und ich möchte Ihnen mitteilen, dass wir etwas dagegen unternehmen", so seine Botschaft an die Nutzer des Dienstes weltweit. Der Anbieter will in den nächsten 90 Tagen mehr Ressourcen bereitstellen, um Probleme besser identifizieren und proaktiv lösen zu können. "Wir haben uns auch verpflichtet, während dieses gesamten Prozesses transparent zu sein", beteuerte Yuan. "Wir wollen alles tun, was nötig ist, um Ihr Vertrauen zu erhalten." Der Manager kündigte Security-Prüfungen und Transparenzberichte an. Außerdem soll ein CISO-Rat eingerichtet werden, dem auch andere Vertreter und Experten aus der Branche angehören könnten. Jede Woche will Yuan im Rahmen eines Webinars über die neuesten Entwicklungen in Sachen Security bei Zoom berichten.

Nichtsdestotrotz bleibt ein fader Beigeschmack. Bis dato hat Zoom bei der Lösung der Probleme eine eher unglückliche Figur gemacht. Während andere die Fehler und Pannen entdeckten und öffentlich machten, musste der Anbieter zusehen, die Brandherde möglichst schnell unter Kontrolle zu bringen. Ob es gelingt, aus der Rolle des Getriebenen künftig eine proaktive und transparente Sicherheitsstrategie auf die Beine zu stellen, werden die kommenden Wochen zeigen.