Darum will Zoom Videokonferenzen nicht abhörsicher verschlüsseln (Spoiler: wegen des FBI)
Der rasant wachsende Videokonferenz-Anbieter Zoom profitiert wie kaum ein anderes Unternehmen vom Trend zum Homeoffice in der Coronavirus-Krise. Die Geschäfte boomen:
- Zoom rechnet für das Gesamtjahr mit einer Umsatzverdopplung auf rund 1.80 Milliarden Dollar
- Die Zahl der Firmenkunden mit mehr als zehn Mitarbeitern stieg um 354 Prozent auf 265'400.
- Im ersten Geschäftsquartal bis Ende April sprangen die Erlöse um 169 Prozent auf rund 328 Millionen Dollar
Zoom punktet in der Krise mit seinem Videokonferenz-Angebot auch bei Privatnutzern, weil aufgrund von Reisebeschränkungen und Abstandsregeln Menschen viel häufiger virtuell miteinander in Kontakt treten. Zuvor war der Dienst lange auf Unternehmen fokussiert und bei Privaten wenig bekannt.
Allerdings traten durch die rasant steigenden Nutzerzahlen auch diverse Sicherheitslücken zu Tage. Probleme durch das sogenannte Zoombombing, bei dem sich Unberechtigte in ein Online-Meeting einwählen, machten weltweit Schlagzeilen. Das Unternehmen kündigte zudem an, die mangelhafte Verschlüsselung zu überarbeiten. Nutzer hatten sich immer wieder darüber beschwert, dass der Video-Dienst nicht komplett verschlüsselt ist. Diesbezüglich läuft auch eine Sammelklage gegen den Konzern in den USA.
Bessere Verschlüsselung, aber nicht für alle
Zoom hatte seinen Dienst mit irreführenden Verschlüsselungsversprechen beworben. Nun sagt Zoom-Gründer Eric S. Yuan, dass Firmenkunden künftig eine besonders sichere Ende-zu-Ende-Verschlüsselung erhalten, die derzeit entwickelt werde. Millionen Nutzer, welche die beliebte Gratis-Version von Zoom nutzen, werden diese zusätzliche Privatsphäre aber nicht geniessen können. Yuan stellte klar, dass die kostenlosen Zoom-Konferenzen nicht durchgängig verschlüsselt werden, weil man weiter mit Strafverfolgungsbehörden zusammenarbeiten wolle.
In einer Telefonkonferenz mit Analysten sagte
Yuan:
Eine Ende-zu-Ende-Verschlüsselung, die direkt auf den Geräten der Nutzer erfolgt, würde es Zoom verunmöglichen, Daten an die Ermittler herauszugeben. Threema setzt beispielsweise auf diese für die User besonders sichere Methode, was den Schweizer Strafverfolgungsbehörden schon länger missfällt.
Bei einer reinen Transportverschlüsselung hingegen, die Zoom bereits heute implementiert hat, kann der Betreiber auf die Daten zugreifen und sie Dritten aushändigen. Kostenlose Zoom-Gespräche sind somit auch künftig nur unterwegs im Netz gegen Lauschangriffe geschützt. Auf dem Server selbst sind die Daten einsehbar.
Zoom dominiert, aber die Konkurrenz wächst
Zoom ist zudem Closed-Source, sprich der Quellcode ist geheim. Firmenkunden müssen also auch mit der künftigen Verschlüsselung darauf vertrauen, dass keine Hintertüren eingebaut sind. Dieses Problem trifft indes auch auf andere kommerzielle Videokonferenz-Lösungen zu, die auf Servern von Microsoft, Google etc. laufen. Als Open-Source-Alternativen sind daher BigBlueButton und insbesondere Jitsi Meet beliebt. Wie Zoom arbeiten auch die Entwickler hinter dem Open-Source-Projekt Jitsi an einer durchgängigen Verschlüsselung. Beide Open-Source-Alternativen können zudem auf eigenen Servern betrieben werden.
Die grösste Konkurrenz erwächst Zoom seitens der etablierten Techriesen: Erst kürzlich brachten etwa Facebook (Rooms) und Google (Meet) eigene bzw. überarbeitete Videokonferenz-Angebote auf den Markt. Die wichtigsten Rivalen im Geschäftsbereich sind allerdings Microsoft Teams und Cisco Webex. Webex ist eine der ganz wenigen Lösungen, die bereits heute für Firmenkunden optional eine Ende-zu-Ende-Verschlüsselung ermöglicht, wie die folgende Tabelle zeigt.
Zoom ist also mit dem Verzicht auf die Ende-zu-Ende-Verschlüsselung für Gratis-Nutzer unter den Videokonferenz-Diensten keine Ausnahme, sondern eher die Regel. Auch Google Meet, Microsoft Teams, Skype oder Slack bieten dies nicht. Die Kooperation von US-Techriesen mit den Strafverfolgungsbehörden ist seit langem bekannt: Beispielsweise sind User-Daten auf dem iPhone dank Verschlüsselung vor fremdem Zugriff geschützt, aber beim iCloud-Backup kann Apple Dritten dennoch Zugriff verschaffen. Die Techriesen versprechen ihren Nutzern Privatsphäre, lassen die Tür für FBI und Co. aber einen Spalt offen.
Übrigens: Diese Woche wurden zwei weitere kritische Sicherheitslücken in der Zoom-App für Windows, Mac und Linux bekannt, die Zoom letzten Monat per Update geschlossen hat. Angreifer konnten allein durch das Senden manipulierter Chat-Nachrichten die Geräte von Zoom-Nutzern hacken. Wie immer gilt: Nutzer sollten Updates zeitnah installieren und die Software auf dem aktuellen Stand halten.
Mit Material der Nachrichtenagenturen SDA und Reuters.
