Digital
Coronavirus

Zoom hat's vermasselt – die unglaubliche Chronologie der Zoom-Fails

Videochat-App Zoom: Das «S» in Zoom steht für Sicherheit.
Videochat-App Zoom: Das «S» in Zoom steht für Sicherheit.bild: techcrunch

Zoom hat's vermasselt – die unglaubliche Chronologie der Zoom-Fails

Zoom ist der grosse Profiteur der Corona-Pandemie. Über 200 Millionen Menschen tauschen sich täglich über die Videokonferenz-App aus. Doch nun tauchen täglich neue Probleme auf. IT-Experten nennen Zoom «ein Datenschutz-Desaster» oder schlicht «Schadsoftware».
04.04.2020, 16:5106.04.2020, 10:45
Mehr «Digital»

Zoom wird seit Wochen von neuen Nutzern überrannt, da die Corona-Pandemie immer mehr Menschen dazu zwingt, von zuhause aus zu arbeiten. Das schlagende Argument des Skype-Rivalen sind die nahezu reibungslos funktionierenden Videoanrufe und Videokonferenzen. Egal ob mit zwei oder 100 Personen, egal ob am PC oder Smartphone, es funktioniert. Und zwar so einfach, dass es jede und jeder nutzen kann (sogar Boris Johnson).

>> Coronavirus: Alle News im Liveticker

Darum zoomen längst nicht nur Unternehmen: Auch Schulen, der Jassverein und die Yoga-Gruppe haben während des Corona-Lockdowns die Chat-App für sich entdeckt.

Zur Verdeutlichung: Noch im Dezember 2019 haben maximal 10 Millionen Menschen pro Tag ein Zoom-Meeting abgehalten, nun seien es über 200 Millionen, sagt Firmenchef Eric Yuan. Seit Wochen steht die App unangefochten auf Platz 1 in den App-Stores. Zoom boomt, weil es gratis und bequem ist. Aber die Videokonferenz-Software erweist sich immer mehr als Albtraum für die Sicherheit und Privatsphäre.

IT-Experten nennen Zoom «ein Datenschutz-Desaster» und «grundlegend korrupt». Die Anzahl der Sicherheitsprobleme mache Zoom so schlimm wie Malware (bösartige Software), sagt Arvind Narayanan, Informatik-Professor an der Universität Princeton.

Warum, zeigt die Chronologie der Zoom-Fails.

5. April: New York verbietet Zoom in Schulen, empfiehlt Microsoft Teams

Zooms Sicherheit- und Datenschutzprobleme haben Konsequenzen: Wegen Sicherheitsbedenken fordert New York die Schulen auf, «so bald wie möglich von der Verwendung von Zoom Abstand zu nehmen». Die Schulbehörden empfehlen stattdessen die Alternative Microsoft Teams, das die gleichen Funktionen mit geeigneten Sicherheitsmassnahmen habe. Davon betroffen sind 1,1 Millionen Schüler in über 1800 Schulen.

2. April: Zoom entfernt Überwachungs-Funktion

Mitte März hatten Datenschützer vor Zooms sogenanntem «Aufmerksamkeitstracking» gewarnt. Dabei handelt es sich um eine Funktion, die dem Ersteller eines Video-Meetings zeigt, welche Teilnehmer das Video-Fenster aktiv haben. Vorgesetzte können so beobachten, welche Mitarbeiter ihre Präsentation aufmerksam verfolgen. Nach diversen negativen Medienberichten gab Zoom am 2. April bekannt, dass man das umstrittene Feature dauerhaft entferne.

Medien weltweit berichten seit Tagen über immer neue Datenschutzprobleme bei Zoom.
Medien weltweit berichten seit Tagen über immer neue Datenschutzprobleme bei Zoom. screenshot: tagesschau

2. April: Zoom zeigt heimlich Daten von LinkedIn-Profilen

Eine Analyse der «New York Times» zeigt, dass Zoom beim Start eines Video-Meetings automatisch die Namen und E-Mail-Adressen der Teilnehmer an ein Firmensystem schickte, das diese Daten mit ihren LinkedIn-Profilen abglich. Diese Data-Mining-Funktion erlaubte es bestimmten Zoom-Nutzern während einer Videokonferenz heimlich andere Teilnehmer auszuschnüffeln. Die betroffenen Teilnehmer bekamen davon nichts mit. Die Software war laut NYT sogar in der Lage, Personen, die sich unter einem Pseudonym bei Zoom anmeldeten, mit ihrem LinkedIn-Profil abzugleichen.

Zoom und LinkedIn arbeiteten offenbar zusammen, da nur Zoom-Nutzer, die einen kostenpflichtigen LinkedIn-Service nutzten, die Schnüffel-Funktion zur Verfügung hatten. Konfrontiert mit der Recherche sagten die beiden Firmen, man werde das Feature deaktivieren.

1. April: Lücke in Zoom ermöglicht Zugriff auf Mac-Computer

Angreifer können über zwei Lücken in der Mac-Version von Zoom die Kontrolle über Apple-Computer übernehmen, inklusive Webcam und Mikrophon. Hacker, die physischen Zugriff auf ein Gerät haben, erhalten so vollen Zugang (Root-Zugriff) auf den Mac und könnten beispielsweise Spionageprogramme installieren, schreibt der renommierte IT-Sicherheitsexperte Patrick Wardle. «Wenn Ihnen Ihre Sicherheit und Ihre Privatsphäre am Herzen liegen, hören Sie vermutlich auf, Zoom zu verwenden», meint der frühere NSA-Hacker.

Zoom sagt, man habe die von Wardle gemeldete Schwachstelle inzwischen mit einem Update behoben. Also updaten!

1. April: Lücke in Zoom erlaubt Hackern Windows-Passwort zu stehlen

In der Windows-Version von Zoom klafft eine Lücke, die es Hackern unter gewissen Bedingungen ermöglicht, die Kontrolle über Windows-Geräte zu erlangen. Das heisst: Angreifer können durch das Verschicken spezieller Links im Zoom-Chat an das Windows-Passwort des Opfers gelangen und so auch Malware auf dem Zielrechner ausführen, wenn das Opfer den Link im Chat anklickt.

Zoom hat die Lücke inzwischen geschlossen. Also updaten!

31. März: Zoom leakt E-Mail-Adressen und Kontaktinformationen

Ende März hat Zoom die E-Mail-Adressen und Fotos von Tausenden Nutzern an Fremde weitergegeben. Das Problem: Zoom hat die betroffenen Nutzer fälschlicherweise so behandelt, als gehörten sie alle zum gleichen Unternehmen.

Normalerweise gruppiert Zoom Kontakte, die in der gleichen Firma arbeiten, in einen Firmen-Ordner. So lassen sich die Arbeitskontakte mit Name, E-Mail-Adresse und Profilfoto einsehen, um direkt mit ihnen in Kontakt zu treten. Durch einen Fehler wurden nun einige Zoom-Nutzer, die sich mit einer privaten E-Mail-Adresse registriert hatten, mit Tausenden von anderen Personen zusammengelegt, als ob sie alle für dasselbe Unternehmen arbeiten würden. Ihnen wurden darauf gänzlich fremde Personen als Kontakte angezeigt.

31. März: Staatsanwaltschaft leitet Untersuchung ein

Die Generalstaatsanwältin des US-Bundesstaats New York, Letitia James, leitet eine Untersuchung zum Datenschutz bei Zoom ein. Sie wirft dem kalifornischen Tech-Unternehmen vor, nur langsam auf Sicherheitsprobleme reagiert zu haben.

31. März: US-Nutzer strengt Sammelklage gegen Zoom an

Am vergangenen Montag reichte ein US-Nutzer der Videokonferenz-Software eine Sammelklage ein. Grund: Heimliche Weitergabe von Nutzerdaten an Facebook. Denn bis Ende März schickte Zoom bei jedem Start der iOS-App gewisse Daten des genutzten iPhones an Facebook – auch wenn der Zoom-Nutzer gar kein Facebook-Konto hat.

Zoom hat das laut eigenen Angaben unbeabsichtigte Tracking nach mehreren Medienberichten zugegeben und den Facebook-Tracker aus der iOS-App entfernt.

30. März: Zoom-Meetings sind entgegen dem Versprechen nicht Ende-zu-Ende verschlüsselt

Zoom-Nutzern wird eine Ende-zu-Ende-Verschlüsselung vorgegaukelt, die es gar nicht gibt.
Zoom-Nutzern wird eine Ende-zu-Ende-Verschlüsselung vorgegaukelt, die es gar nicht gibt.screenshot: the intercept

Zoom wirbt mit einer besonders sicheren Ende-zu-Ende-Verschlüsselung, die es so aber gar nicht gibt. Dies machte die Enthüllungs-Plattform The Intercept publik. Zwar sind Audio- und Videogespräche über Zoom verschlüsselt, also für Angreifer nicht ohne Weiteres abhörbar, aber Zoom selbst könnte trotzdem mitlauschen (und Informationen zum Beispiel an Behörden weitergeben). Per Definition handelt es sich also nicht um eine Ende-zu-Ende-Verschlüsselung, sondern um eine weniger umfassende Transportverschlüsselung (TLS).

Kurz gesagt: Zoom hat den Begriff Ende-zu-Ende-Verschlüsselung wohl aus Marketinggründen kurzerhand neu definiert, um den Nutzern eine Sicherheit vorzugaukeln, die es so nicht gibt.

Auf Nachhaken von The Intercept sagte Zoom, dass eine Ende-zu-Ende-Verschlüsselung bei Video-Meetings derzeit nicht möglich sei. Man entschuldige sich für die entstandene «Verwirrung».

Auf der Webseite behauptet Zoom noch immer, Meetings hätten eine Ende-zu-Ende-Verschlüsselung (Stand: 3. April).
Auf der Webseite behauptet Zoom noch immer, Meetings hätten eine Ende-zu-Ende-Verschlüsselung (Stand: 3. April).screenshot: the intercept

30. März: Zoombombing! Trolle platzen in Meetings, Schulstunden und Gottesdienste

Bild
bild: techcrunch

Beim sogenannten Zoombombing machen sich Trolle einen Spass daraus, beispielsweise pornografische oder rassistische Inhalte in fremde, nicht per Passwort geschützte Videokonferenzen einzuspielen. Selbst das FBI warnt inzwischen davor.

So wurden allein in den USA und England in den letzten Tagen mehrere Fälle bekannt, in denen Schulstunden und Zoom-Gottesdienste mit Beschimpfungen und dem Vorzeigen von Nazi-Symbolen gestört wurden.

Zoom ermöglicht es jedem, seinen Bildschirm für die anderen Teilnehmer eines Video-Meetings freizugeben. Klinkt sich ein Störefried in ein Zoom-Meeting ein, kann er allen anderen seinen Bildschirm zeigen, auf dem beispielsweise ein pornografisches Video läuft. Manchmal geschieht dies, wenn Teilnehmer den Link zum Online-Meeting (absichtlich oder aus Versehen) öffentlich freigeben. Das muss aber längst nicht immer der Grund sein: Für Hacker ist es ein Leichtes, selbst gültige Zoom-Meeting-Links zu generieren und sich so in fremde Videochats einzuschleusen.

Zoom versuchte das Problem schon früher mit mehreren Massnahmen zu verhindern. Beispielsweise ist das Scannen nach nicht-passwortgeschützten Videokonferenzen seit Januar erschwert. Nun aber zeigen IT-Experten, dass sich Zooms neue Sicherheitsmassnahmen weiterhin aushebeln lassen.

zWarDial ist ein automatisiertes Tool von IT-Sicherheitsforschern zum Auffinden von nicht passwortgeschützten Zoom-Meetings. Nach Angaben der IT-Experten findet das Programm durchschnittlich 110 nicht geschützte Meetings pro Stunde. Die Botschaft ist also klar: Wichtige Videokonferenzen immer mit Passwort schützen!

Die Sicherheitsforscher schreiben, sie hätten tausende ungeschützte Meetings gefunden, bei denen sie sich einwählen könnten. Darunter seien auch Grosskonzerne und Banken.

Zoom hat auf das Problem reagiert: Bei Schulstunden mit Zooms Videochat kommen die Teilnehmer nun standardmässig zunächst in den sogenannten Warteraum. So will Zoom verhindern, dass Trolle direkt in Online-Schulstunden platzen.

30. März: Zoom hebelt Apples Sicherheits-Funktionen aus

Wer Zoom auf dem Mac herunterlädt, wird feststellen, dass sich das Programm quasi von alleine installiert und sich vollen Zugriff auf das System erschleicht. Zoom nutzt dazu die gleichen Tricks wie Malware.

Das heisst: Die Installationsdatei von Zoom auf dem Mac verwendet Skripte, um das Programm nach einem Klick direkt zu installieren. Hat der Nutzer keine Admin-Rechte, zeigt Zoom dem Nutzer ein Passwortfenster an, das sich als Betriebssystem-Eingabeaufforderung ausgibt.

IT-Experte Felix Seele beschreibt Zooms zwielichtiges Vorgehen wie folgt: «Die Anwendung (Zoom) wird installiert, ohne dass der Benutzer seine endgültige Zustimmung gibt, und eine höchst irreführende Eingabeaufforderung wird verwendet, um Root-Rechte (vollen Zugang zum System) zu erlangen. Die gleichen Tricks, die auch von macOS-Malware verwendet werden.»

Das sieht so aus:

Dem Nutzer wird vorgegaukelt, mit «Weiter» werde überprüft, ob Zoom installiert werden kann. Tatsächlich wird das Programm mit einem Klick direkt installiert.
Dem Nutzer wird vorgegaukelt, mit «Weiter» werde überprüft, ob Zoom installiert werden kann. Tatsächlich wird das Programm mit einem Klick direkt installiert.

Zoom hat nach dem öffentlichen Pranger auf Twitter rasch reagiert und am Donnerstag ein Update veröffentlicht, das diese fragwürdige Installationsmethode verhindert.

28. März: Elon Musk verbietet Zoom

Dass Zoom Sicherheitsprobleme hat, ist auch Elon Musk nicht verborgen geblieben. Sein Raumfahrtunternehmen SpaceX hat den Mitarbeitern die Verwendung der Videokonferenz-App Zoom untersagt. In einer E-Mail vom 28. März teilte SpaceX der Belegschaft mit, dass der Zugriff auf Zoom mit sofortiger Wirkung deaktiviert sei. Als Begründung gibt die Firma «erhebliche Datenschutz- und Sicherheitsbedenken» an.

Auch die NASA untersagt ihren Mitarbeitern die Zoom-Nutzung.

26. März: Zooms iOS-App sendet heimlich Daten an Facebook

Recherchen des Onlinemagazins Motherboard von letzter Woche zeigten, dass die iOS-App von Zoom bis Ende März heimlich Daten an Facebook weitergab, selbst wenn man kein Facebook-Konto hat.

Zoom hat den Facebook-Tracker inzwischen per App-Update entfernt und sich entschuldigt. Die Firma hat zudem ihre Datenschutzrichtlinien überarbeitet und schreibt, dass Inhalte von Chats und Konferenzen nicht zu Werbezwecken analysiert oder Daten über Zoom-Nutzer an Dritte weiterverkauft würden.

19. März: Datenschützer warnen vor Zooms Überwachungs-Funktionen

Zoom wurde insbesondere für seine Funktion «Aufmerksamkeitsverfolgung» kritisiert, die es einem Meeting-Leiter ermöglicht zu sehen, ob andere Teilnehmer das Video-Fenster nicht mehr im Vordergrund haben, sprich potenziell nicht aufmerksam sind. Konkret wird dem Konferenz-Leiter angezeigt, welche Teilnehmer das Video-Fenster länger als 30 Sekunden weggeklickt haben.

Dieses Aufmerksamkeits-Tracking ermöglichte auch Lehrern, die ihren Bildschirm teilen, zu kontrollieren, ob die Schüler zuhause wirklich einer Schulstunde folgen.

In den USA warnte die NGO Electronic Frontier Foundation (EEF) bereits am 19. März vor Zooms Überwachungsfunktionen. Anfang April, nach unzähligen Medienberichten, entfernte Zoom das kontroverse Feature.

28. Januar: Sicherheitsfirma warnt vor Zoombombing

Ende Januar machte die IT-Sicherheitsfirma Check Point bekannt, «dass ein Angreifer eine lange Liste von Zoom-Meeting-IDs (z.B. zoom.us/j/93XXX9XXX5) generieren und automatisiert schnell überprüfen kann, ob eine entsprechende Meeting-Adresse gültig ist oder nicht». Hacker können so Zugang zu Zoom-Meetings erhalten, die nicht passwortgeschützt sind. Laut Check Point hatte man Zoom bereits am 22. Juli 2019 über die Sicherheitsmängel informiert. Zwar führte Zoom danach zahlreiche Verbesserungen ein, aber Angreifer können nach wie vor gültige Meeting-IDs generieren.

Juli 2019: Zoom ermöglicht Hackern Zugriff auf die Webcam von Mac-Nutzern

Über eine Sicherheitslücke in Zoom konnten Angreifer auf Millionen Webcams von Mac-Nutzern zugreifen. Selbst nach der Deinstallation der Software war dies weiterhin möglich. Da die Lücke nach mehreren Monaten noch immer nicht geschlossen war, sah sich Apple schlussendlich gezwungen, mit einem stillen System-Update den ungewollten Zugriff auf die Webcam zu sperren.

Die Sicherheitspanne wurde möglich, da Zoom heimlich einen lokalen Webserver auf den Mac-Rechnern einrichtete, der selbst nach der Deinstallation von Zoom auf dem Computer verblieb. Das heisst: «Besucht der Nutzer eine präparierte Webseite, kann diese Befehle an den lokalen Server übergeben und den Nutzer ohne dessen Einwilligung zu einer Videokonferenz hinzufügen – inklusive des Livestreams von seiner Webcam», erklärt das deutsche Techportal golem.de.

Auch dieses Beispiel zeigt: Zoom legt das typische Verhalten von Schadsoftware an den Tag, die um jeden Preis auf einem «befallenen» Gerät verbleiben will.

Zoom wollte übrigens, dass der IT-Experte, der die Lücke gemeldet hatte, eine Geheimhaltungsvereinbarung unterschreibt, die ihn daran gehindert hätte, Einzelheiten der Schwachstelle preiszugeben. Er weigerte sich.

Kommentar: Vielleicht sollten wir uns einfach abmelden

Bild

Zoom wird ein Opfer seines eigenen Erfolgs. Mit Millionen neuen Nutzern kommen auch die Probleme, respektive sie werden einfach sichtbar: Zoom steht nun im Fokus der Sicherheitsforscher und Medien. Dadurch steigt auch der Druck, Datenschutz und Sicherheit endlich ernst zu nehmen.

Die neue Popularität habe «unvorhergesehene Probleme mit unserer Plattform» zu Tage gefördert, räumte Zoom-Chef Eric Yuan in einem Blogeintrag am Donnerstag ein. Gemeint ist etwa das Zoombombing-Phänomen. Man habe daher Richtlinien veröffentlicht, wie unerwünschte Gäste daran gehindert werden können, in Videokonferenzen reinzuplatzen.

Man werde zudem alle Arbeiten an neuen Funktionen pausieren und sich auf die Ausmerzung der Sicherheitsprobleme konzentrieren, die in den letzten Tagen und Wochen von IT-Sicherheitsexperten aufgedeckt wurden. Dem Unternehmen dürfte die Arbeit nicht so rasch ausgehen.

Zoom hat aktuell die stabilste und benutzerfreundlichste Videokonferenz-Software und so die Konkurrenz abgehängt. Nun muss es auch in die Sicherheit investieren. Die Reaktion von Yuan lässt hoffen, dass er dies verstanden hat.

Und falls nicht, sollten wir uns vielleicht einfach abmelden.

Schauen du nun musst: 12 Dinge, die du während eines Video-Chats nicht machen solltest

Video: watson/Knackeboul, Madeleine Sigrist, Emily Engkent
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
24 Kinder, die Anweisungen ihrer Eltern zu wörtlich nehmen
1 / 26
24 Kinder, die Anweisungen ihrer Eltern zu wörtlich nehmen
«Kannst du die Flaschen schnell ins Badezimmer stellen?»
bild: imgur

Auf Facebook teilenAuf X teilen
12 Dinge, die du während eines Video-Chats nicht machen solltest
Video: watson
Das könnte dich auch noch interessieren:
57 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Lustiger Baum
04.04.2020 13:50registriert April 2019
Wenn es nichts kostet bist du das Produkt. Ganz einfach und trotzdem für die meisten unverständlich.
Zoom hat jeden Monat Millionenkosten für: Personal, Hosting, Miete usw.
Irgendwie muss Geld reinkommen...
34522
Melden
Zum Kommentar
avatar
Hardy18
04.04.2020 14:03registriert Oktober 2015
Am Ende des Textes klinkt es fast so, als ob Zoom nichts dafür kann und diese Probleme erst seit kurzen existieren.

Hey! Das sind Programmierer die diese App aufgebaut haben. Solche Leute haben Ahnung in dem was sie da machen. Wenn das Programm so programmiert worden ist wie oben beschrieben, dann ist es reine Absicht!!! Und kein ein Fehler. Diese App verdient damit Geld. Was aus euren Augen wie ein Fehler aussieht, ist bei Zoom so gewollt.
29119
Melden
Zum Kommentar
avatar
Toerpe Zwerg
04.04.2020 14:00registriert Februar 2014
Die wahre Profiteurin dürfte am Ende Microsoft mit Teams und dem integrierten Office 365 und One Drive sein. Adieu Fileserver.
17920
Melden
Zum Kommentar
57
Platz da, Mario! Princess Peach lässt es in ihrem Solo-Abenteuer ordentlich krachen
Princess Peach muss in ihrem Solo-Abenteuer für die Nintendo Switch in zahlreiche Rollen schlüpfen, um diverse Showbühnen vor bösen Wesen zu befreien. Auch wenn das Game viel zu schnell durch ist, wartet eine innige Spielspass-Explosion auf euch.

Princess Peach hat es nicht einfach: Immer wieder wird sie von Superschurke Bowser entführt und muss darauf warten, dass Super Mario sie befreit und zurück in ihr Schloss geleitet.

Zur Story