Der Videokonferenzen-Dienst Zoom musste nach Kritik an Datenschutz und Sicherheit kräftig nachbessern. Nach wie vor gilt: Vorsicht bei sensiblen Inhalten. Und was ihr über Zoom-Bombing wissen solltet? Eine Übersicht.
Wenn ungebetene Gäste Videokonferenzen mit pornografischen, gewaltverherrlichenden und anstößigen Inhalten stören, nennt man das Zoom-Bombing. Das Ziel der Hacker*innen ist dabei meist zu schocken. Zoom-Bombing ist keineswegs nur ein lustiger Streich. Das FBI hat im März eine offizielle Warnung dazu veröffentlicht. Dass das Phänomen sich so schnell verbreitet hat, liegt an den rasant steigenden Nutzer*innenzahlen des amerikanischen Videokonferenzen-Anbieters Zoom während der Corona-Pandemie.
Bis zu 200 Millionen Menschen am Tag tauschten sich über die digitalen Räume aus. Egal ob Schulen, Universitäten oder Unternehmen – selbst hochrangige EU-Treffen fanden über die Videoschalte statt. Bis heute gilt: Der Zoom-Boom ist real. Dass das Unternehmen auf den ersten Ansturm im Frühjahr nicht vorbereitet war, zeigte sich allerdings schnell. Versäumnisse im Datenschutz und Sicherheitsmängel wurden publik.
Videokonferenzen im Visier von Hacker*innen
Das Unternehmen Zoom hat Nutzerdaten an Dritte weitergegeben, darunter auch Facebook, ohne darauf hinzuweisen. Auch die lückenhaften Sicherheitsvorkehrungen machten Videokonferenzen zu einem einfachen Ziel für Hacker*innen. “Ursprünglich ging es um das Phänomen leicht erratbarer Sitzungskennungen, für die es Skripte gab, die einfach alle Kennungen durchprobierten und sich bei einem Treffer einloggten”, erklärt der Chaos Computer Club (CCC) auf Nachfrage von FINK.HAMBURG. Das Phänomen Zoom-Bombing etablierte sich – also das Stören von Konferenzen durch unbekannte Teilnehmer*innen.
Im Frühjahr meldeten verschiedene Medien beunruhigende Vorfälle: BBC berichtete von ungebetenen Gästen, die die Online-Veranstaltung einer Synagogengemeinde aus London durch antisemitische Beleidigungen gestört hatten. Heil-Hitler-Rufe unterbrachen die Online-Gedenkveranstaltung für die Opfer des Holocaust der Israelischen Botschaft in Berlin, berichtete “Der Spiegel”. Im Mai traf es dann auch Hamburg: Beim Video-Unterricht einer 10. Klasse des Gymnasiums Eppendorf erschien ein Hakenkreuz auf den Bildschirmen, die “Mopo” berichtete.
Kein hundertprozentiger Schutz trotz Verbesserungen
Am 1. April veröffentlichte Eric S. Yuan, der Gründer des Unternehmens Zoom, eine offizielle Entschuldigung für die Mängel. Er gelobte Besserung. Verlängerte Sitzungskennungen, passwortgeschützte Meeting-Räume und Wartebereiche, in welchen offensichtliche Störenfriede vorab ausgefiltert werden können, waren die Folge.
Gastgeber*innen eines Meetings haben über das neu integrierte Sicherheitssymbol in den Bedienelementen mehr Kontrolle. So kann nun beispielsweise das Meeting für weitere Teilnehmer*innen gesperrt oder die Bildschirmfreigabe und Stummschaltung gesteuert werden. Die neuesten Features erlauben dem Meeting-Host die Konferenz zu pausieren. Ein anderes Tool durchforstet das Internet nach veröffentlichten Meeting-IDs und warnt die Hosts dieser Meetings vor möglichem Datenmissbrauch. Auch ein „Trust & Safety“-Team hat das Unternehmen eingerichtet.
Vorsicht bei sensiblen Inhalten
Auch beim Datenschutz gab es Fortschritte: Laut der Behörde Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) implementiert Zoom gerade eine Ende-zu-Ende-Verschlüsselung für Videochats. Das bedeutet in diesem Fall, dass die übertragenen Daten für Zoom-Server verschlüsselt bleiben. Die erste von insgesamt vier Entwicklungsphase der Ende-zu-Ende-Verschlüsselung ist ab nächster Woche verfügbar. Die Verschlüsselung ist damit aber nicht automatisch aktiv. Nutzer*innen müssen die Sicherheitsoption in ihren Kontoeinstellungen anwählen. Für alle weiteren Funktionen, wie dem Text-Chat oder Aufzeichnungen, gilt die Verschlüsselung noch nicht.
Der CCC rät zudem zur Vorsicht bei sensiblen Inhalten wie zum Beispiel bei Seelsorgegesprächen oder wenn Gesundheitsdaten in Zoom-Konferenzen geteilt werden. Grund dafür ist das Schrems-II-Urteil: Demnach dürfen personenbezogene Daten europäischer Bürger*innen nur noch an Länder außerhalb der EU übermittelt werden, wenn sie in diesem Land einen gleichwertigen Schutz genießen. Diese Richtlinie erfülle die USA – und damit Zoom – nicht. Denn die amerikanische Gesetzgebung erlaubt es den Behörden auf jegliche Daten von Nicht-Amerikanern*innen zuzugreifen, ohne dass EU-Bürger*innen ihre Rechte einklagen können. Das hat zur Folge, dass sämtliche derzeitigen regelmäßigen Übermittlungen in die USA datenschutzrechtlich unzulässig sind. Hier wird zwar gerade nachgebessert, aber bis dahin bewegen sich alle Kund*innen, die Software von US-Anbietern nutzen auf rechtlich unsicherem Terrain.
Nutzer*innen müssen zur Sicherheit beitragen
Zoom-Meetings sind mittlerweile sehr viel sicherer als noch zu Beginn des Jahres. Seit Monaten wurde nicht mehr über Hacker*innen-Attacken berichtet. Auch der Hamburger Polizei liegen aktuell keine laufenden Verfahren in Zusammenhang mit Zoom-Bombing vor. Auf Nachfrage von FINK.HAMBURG empfiehlt die Polizei dennoch “für jedes Videokonferenzsystem präventiv darauf zu achten, dass unbekannte Personen an der Konferenz nicht teilnehmen können.” Denn allen Updates und Sicherheitsmechanismen zum Trotz: “Auch die Anwender sind zu einem sorgsamen Umgang mit ihren Zugangsdaten verpflichtet”, so der HmbBfDI.
Zoom-Bomber an der Uni Hamburg
Dass es wichtig ist, sich mit den Sicherheitseinstellungen zu beschäftigen, zeigt ein Fall von Zoom-Bombing, der sich vor Kurzem an der Universität Hamburg ereignete. FINK.HAMBURG hat mit dem Dozenten gesprochen, dessen Seminar von Hacker*innen attackiert wurde:
Es ist Montag, der 02. November. Semesterbeginn an der Uni Hamburg. Die zweite Corona-Welle hat die Welt immer noch im Griff. Deshalb treffen sich die 300 Studierenden und ihr Dozent an diesem Tag via Zoom. Herr Reuter (Name von der Redaktion geändert) beginnt seinen Vortrag. „Nach zehn oder 15 Minuten habe ich dann komische Geräusche gehört. Es klang wie Sound-Schnipsel aus irgendwelchen Filmen oder Musikvideos“, schildert er die Situation. Reuter schenkt dem keine größere Beachtung. Aber die Störgeräusche nehmen zu, werden penetranter. Ein paar Studierende machen ihn auf sogenannte Trolle im Online-Seminar aufmerksam. “Da bin ich hellhörig geworden. Ok, Trolle? Was ist hier los?“, erzählt Reuter.
Nach dem ersten Schock und mithilfe der Student*innen kann er die Störer identifizieren und sie aus der Konferenz entfernen. Doch die Zoom-Bomber bleiben hartnäckig. Immer wieder betreten sie den virtuellen Meeting-Raum und stören das Seminar – und das nicht nur auditiv. „Dann habe ich plötzlich jemand mit Sonnenbrille und vermummtem Gesicht gesehen. Der hat dann meinen Namen gebrüllt und ich bin zusammengezuckt.“, so Reuter. Eine Vorlesung mit 300 Teilnehmer*innen abzubrechen, ist für ihn keine Option. Zunehmend routiniert entfernt er während des zweistündigen Seminars immer wieder die Trolle.
„Ich hatte schon gehört, dass es diese Attacken gibt. Aber ich hätte nie damit gerechnet, dass es uns hier an der Uni trifft und dass man darauf vorbereitet sein muss.”
Die Trolle seien unifremde Personen gewesen, die an die Sitzungskennung gelangt sein sollen, so Reuters erste Vermutung. Passwortgeschützt war der Raum nicht. Trotz mehrmaliger Anfrage konnten sich die Datenschutzbeauftragten der Universität Hamburg bisher nicht zu der Attacke äußern. FINK.HAMBURG hat Zoom zu diesem Vorfall befragt. Das Unternehmen verurteile ein solches Verhalten. Weiter heißt es in ihrer Mitteilung: “Wir nehmen Unterbrechungen von Meetings äußerst ernst und arbeiten, wo es angebracht ist, eng mit den Strafverfolgungsbehörden zusammen.”
So schützt ihr euch vor “Zoom-Bombing”
Zoom bietet mittlerweile verschiedene Sicherheitseinstellungen, um die virtuellen Besprechungsräume vor ungebetenen Gästen zu schützen. Damit ist es allerdings nicht getan. Ein bewusster Umgang mit (Zugangs-)Daten von den Nutzer*innen selbst, ist ebenso wichtig. Darauf solltet ihr achten:
Das solltet ihr vorab über euren Account im Browser beachten
- Richtet einen Passwort-Schutz für eure Sitzung ein und teilt dieses Passwort den Teilnehmenden bestenfalls separat mit.
- Links und Passwörter für Meetings solltet ihr nicht öffentlich auf Websites, in sozialen Netzwerken oder anderen öffentlichen Foren weitergeben.
- Um die volle Kontrolle über euer Meeting zu haben solltet ihr die Funktion “Beitritt vor Moderator” deaktivieren. So stellt ihr sicher, dass das Meeting erst mit eurem Beitritt startet.
Diese Einstellungen könnt ihr in der App vornehmen
Meeting sperren
Wenn ihr vollzählig seid, könnt ihr das Meeting sperren, sodass keine weiteren Teilnehmer*innen beitreten können.
Warteraumfreigabe
Nutzt die virtuellen Warteräume für die Teilnehmer*innen.
Erlaubnis für Teilnehmer*innen
Überlegt euch vorab, ob ein Chat für euer Meeting relevant ist. Falls nicht, deaktiviert ihn besser. Sollen andere Teilnehmer*innen die Möglichkeit von Wortmeldungen oder der Bildschirmfreigabe haben? Auch das könnt ihr de/aktivieren. Tipp: Wenn ihr die Bildschirmfreigabe nur für den Host freigeschaltet habt, könnt ihr die Host-Funktion während des Meetings auf andere Teilnehmer*innen übertragen und habt so mehr Kontrolle. Außerdem könnt ihr festlegen, ob sich die Teilnehmer*innen nochmal umbenennen können.
Teilnehmer*innen entfernen
Falls es trotzdem ein ungebetener Gast in eure Konferenz mogeln sollte, findet ihr die Option “Teilnehmer entfernen” ebenfalls unter dem Sicherheitssymbol.
Titelbild: Pixabay