Videokonferenz Plattformen und ihre Sicherheitslücken.

Zoom – umsatteln oder treu bleiben?

Videokonferenzplattformen haben derzeit Hochkonjunktur. Besonders umstritten ist die Plattform Zoom, die dennoch immer mehr Menschen nutzen. Wie berechtigt ist die Kritik und welche Alternativen gibt es? // Esin Celik und Jordanis Papadopoulos

Paare heiraten, Lehrer unterrichten und Freunde treffen sich via Zoom. Doch die Cybersicherheit wird zurzeit stark bemängelt. Dies resultiert vor allem aus den Sicherheitslücken, die der Videoplattform immer wieder zum Verhängnis werden. In der Branche nichts Außergewöhnliches, doch die Konsequenzen solcher Lücken können unterschiedlich ausfallen.

Wie weit reichen die Sicherheitslücken?

"Jeder Software-Entwickler kommt früher oder später zu der Einsicht, dass es aufgrund der Kom­plexität von Soft­ware kaum möglich ist fehlerfreie Soft­ware zu entwickeln.", erklärt Armin Harbrecht, Geschäftsführer und White-Hat-Hacker der Aramido GmbH. Er beschäftigt sich zum Großteil mit dem Ausmerzen von Sicherheitslücken.

Bei Zoom gibt es gleich mehrere erkennbare Lücken. Beispielsweise können uneingeladene Gäste einer Sitzung beitreten, indem sie die Meeting-ID-Nummer eingeben oder dem Einladungslink folgen. Zum Vermeiden solcher "Zoom-Bomber" kann der Host mittlerweile einen Warteraum hinzufügen. Dieser vermeidet den direkten Beitritt, da der Host die einzelnen Teilnehmerinnen und Teilnehmer manuell in die Sitzung einlassen muss. Außerdem ist es für den Host möglich unerwünschte Gäste aus der Sitzung zu entfernen, Kameras und Mikrofone der Teilnehmenden auszuschalten und das Meeting zu verriegeln, sodass niemand mehr beitreten kann. Um dies aufzuklären hat Zoom einen Blog-Beitrag veröffentlicht. Harbrecht bemängelt daran vor allem, dass Zoom erst nach negativen Schlagzeilen die Sicherheitslücken schließt.

Solche Lücken könnten entstehen. Unschön sei es, wenn sie nicht durch Fahrlässigkeit, "sondern vorsätzlich mit dem Ziel der einfacheren Installation eingebaut wurden", erklärt Harbrecht. So hat beispielsweise die macOS Applikation verschiedene Sicherheitslücken aufgewiesen, die der Einfachheit des Programms geschuldet waren. Nach Angaben von Zoom wurden diese bereits beseitigt.

Auch Firmendaten sind nicht sicher

In einem Spiegel-Artikel wurde Anfang April berichtet, dass Hacker Windows-Accounts durch eine Zoomschwachstelle kapern konnten. Dies war für die Hacker durch das "UNC (Uniform Naming Convention) Injection"-Verhalten möglich. Dafür schickt der Hacker einen Link in den Chat, der durch das Anklicken die Windowsdaten der Person an den Hacker übermittelt. Der Hacker hat nun also Zugriff auf verschiedene Tools nach Erhalt der Anmeldedaten. Am häufigsten waren davon Firmenserver betroffen. Zoom hat diese Lücke geschlossen. 

Außerdem war es möglich, dass der Host der Zoom-Sitzung einsehen kann, welche Browserfenster die Teilnehmenden außerdem offen haben und das Verhalten dieser tracken. Professor Dr. Karl Jonas ist Informatiker und Mitglied des Institutes für Sicherheitsforschung. Er meint, dass man damals ebenso gut von einer Spionage-App hätte ausgehen können.

Nicht nur Zoom weist Sicherheitslücken auf

Sicherheitslücken kann es auf allen Plattformen geben. Je nach Art der Schwachstelle können Hacker bei Videokonferenzplattformen ermitteln, was gesagt und hochgeladen wird. Oder sie dringen in den PC ein, um dort Schadsoftware zu installieren oder auch Phishing zu betreiben. 

"White-Hats" gegen "Black-Hats"

Natürlich liegt es im Interesse der unterschiedlichen Anbieter, diese Sicherheitslücken zu schließen. Dafür suchen sie gezielt nach sogenannten "White-Hat-Hackern", die für das Finden von Sicherheitslücken bezahlt werden. Auf der anderen Seite gibt es die "Black-Hat-Hacker". Diese hacken Unternehmen oder Privatpersonen, um selbst davon zu profitieren. Im Darknet werden die ermittelten Zugangs- und Nutzerdaten dann verkauft. Das ist natürlich illegal.

Bei der Videokonferenzplattform Zoom ist demnach ein "Black-Hat-Hacker" eingedrungen, um die Daten zu stehlen. Dadurch, dass die Daten im Darknet gefunden wurden, hatte Zoom die Möglichkeit, die Sicherheitslücke zu schließen. Dazu erklärt Jonas während einer Zoom-Sitzung folgendes:

Es gibt auch Alternativen

Neben Zoom gibt es eine Vielzahl an weiteren Videokonferenzplattformen. Mit Jitsi Meet bietet die Hochschule Bonn-Rhein-Sieg beispielsweise eine kostenlose und sichere Möglichkeit, sich mit Dozenten und Kommilitonen online zu treffen. Jonas befürwortet die Nutzung. "Im Vergleich zu Zoom ist Jitsi keine Applikation, sondern eine Web-Anwendung. Dafür benötigt man entweder Firefox oder Google Chrome als Browser", erklärt er. 

Um die Daten der Nutzer zu schützen, wird die Videokonferenz für den Transport auf dem Server und die Chat-Nachrichten Ende-zu-Ende verschlüsselt. Außerdem erfolgt der Beitritt in eine Sitzung kostenlos, ganz ohne Anmeldung.

Neben Jitsi empfehlt Jonas außerdem BigBlueButton. Die Webanwendung wird von verschiedenen Bundesländern insbesondere zu Bildungszwecken verwendet. Hier ist es allerdings wieder so, dass man sich registrieren muss, um an Sitzungen teilzunehmen zu können. Seit Mai 2018 gelten strenge Datenschutzmaßnahmen. Die SSL (Secure Sockets Layer) Verschlüsselung sorgt unter anderem für die Sicherheit sensibler Daten. 

Einige Lehrkräfte bevorzugen auch Cisco Webex. Um den Schutz der Daten zu erhalten, nimmt Cisco an Frameworks und Prinzipien des EU-US-Datenschutzschildes und des Swiss-US Privacy Schields teil. Diese und weitere Sicherheitsmaßnahmen sind durch das TRUSTe-Siegel ausgezeichnet. Cisco Webex kann sowohl im Browser als auch als App gestartet werden. Bedienerfreundlich ist die übersichtliche Plattform auch deshalb, weil man sich nicht anmelden muss, um an einem Meeting teilzunehmen. 

In der Vergangenheit standen einige der genannten Plattformen ebenfalls aufgrund Sicherheitslücken zur Diskussion. Das ist nichts Ungewöhnliches.

Zoom wird sicherer

"Es ist zu erwarten, dass durch die gesteigerte Aufmerksamkeit auf das Produkt (Zoom) in den nächsten Wochen weitere Sicherheitslücken gefunden werden. Idealerweise findet Zoom diese selbst durch die Überprüfung der Software mit Penetrationstests oder bekommt sie vertraulich gemeldet", erklärt uns White-Hat-Hacker Harbrecht.

Unsere Experten raten trotzdem, alle Konferenz-Tools regelmäßig zu aktualisieren. "Der Moderator der Konferenz sollte sich die Sicherheitsempfehlungen der jeweiligen Konferenzlösung anschauen und anwenden", so Harbrecht. Durch diesen Link kann man herausfinden, ob man schon ausspioniert wurde.

 

Teaserbild: Sicherheitslücken auf Zoom und anderen Videokonferenzplattformen. Quelle: Jordanis Papadopoulos

Die Autoren

Jordanis Papadopoulos

Jordanis Papadopoulos

Esin Celik

Esin Celik

Kommentar hinterlassen

Mit Absenden des Formulars erkären Sie sich mit der Speicherung und Verarbeitung der darin eingegebenen personenbezogenen Daten einverstanden. Weitere Hinweise dazu finden Sie in unserer Datenschutzerklärung.