Direkt zum InhaltDirekt zur SucheDirekt zur Navigation
▼ Zielgruppen ▼

Humboldt-Universität zu Berlin - Videokonferenzservice

Datenschutz und Sicherheit bei Zoom

Mit dem Umstieg auf die digitale Lehre sind massive  Herausforderungen an den Dienst DFNconf entstanden, über den die  Humboldt-Universität und andere deutsche Hochschulen bislang  Konferenzdienste angeboten haben. Die Plattform, die gegenwärtig weiter ausgebaut wird, war dem sprunghaften Anstieg nicht gewachsen. Es musste angesichts der Corona-Krise deshalb eine kurzfristige Alternative geschaffen werden, um die Kommunikation aufrecht zu  erhalten.

Wir haben im CMS schon seit drei Jahren Zoom als Ergänzung der  Videokonferenz-Angebote des DFN evaluiert und zu Testzwecken eingesetzt.  Dabei hat es sich als eine sehr verlässliche Lösung mit hoher  Konferenzqualität gezeigt. Darüber hinaus haben wir viele andere  Lösungen wie WebEx, Skype for Business oder Lifesize evaluiert und  getestet. Abwägungen wie Funktionalität, Stabilität, Sicherheit und  Datenschutz wurden bei der Entscheidung für Zoom berücksichtigt.

Bedingt durch die Lockdowns im Rahmen der Corona-Krise erlebt Zoom als Plattform für Audio-/Videokonferenzen weltweit großen Zuspruch. Hierdurch steht Zoom nun auch innerhalb kurzer Zeit im Zentrum der genauen Beobachtung von Sicherheitsexpert*innen weltweit. Auch Zoom wurde von den Entwicklungen im Umfeld von Corona überrascht und nun gefordert ist, in kurzer Zeit auf die vielfältigen Anforderungen sowohl technisch, als auch organisatorisch zu reagieren.

Im Zuge dieser Prüfungen kommen nahezu täglich neue Fragestellungen und Kritiken zu Zoom auf, die wir an dieser Stelle soweit uns bekannt aufgreifen und kommentieren möchten. Wir konnten bisher feststellen, dass Zoom sehr schnell auf Anfragen reagiert und auch entsprechende technische Lösungen bereitgestellt hat.

In vielen Fällen sind wir als HU in der günstigen Position, durch HU-Zoom (http://hu.berlin/hu-zoom) die Konfigurationen weitgehend anpassen zu können und aus unserer Sicht problematische Funktionen direkt abzuschalten bzw. so zu konfigurieren, dass sie unseren Anforderungen entsprechen. Hierdurch sind in HU-Zoom ausgeführte Konferenzen besser gestellt, als bei der Nutzung der freien Version von Zoom.

Nach dem derzeitigen Stand sind wir zuversichtlich, dass alle bisher diskutierten Sicherheitsfragen für HU-Zoom aufgelöst werden können. Für alle hier aufgeführten Diskussionen konnten bereits Fixes umgesetzt werden.

Wir haben die Diskussionen zu den wichtigsten Fragen hier für Sie aufbereitet.

Privacy Policy

Die Privacy-Policy von Zoom wurde am 29.3.2020 aktualisiert, um einige Aussagen deutlicher herauszuarbeiten.

https://zoom.us/privacy?zcid=1231

Stellungnahmen von Zoom

Zoom kommentiert mittlerweile regelmäßig neue Problembereiche unter

https://blog.zoom.us/

Vorlesungsaufzeichnung

Wir haben Zoom für die HU so konfiguriert, dass nur der Host eine Aufzeichnung starten kann und dazu auch die explizite Einwilligung der Teilnehmenden eingeholt wird.

Aufzeichnung von Vorlesungen und Einstellen bei Youtube u.a.

HU-Zoom ist so konfiguriert, dass die Ablage von Aufzeichnungen bei andern Anbietern, wie Youtube oder Facebook nicht möglich ist.

Zoom und Data-Mining

Zoom beschreibt zur Frage des Umgang mit Data-Mining:

"Importantly, Zoom does not mine user data or sell user data of any kind to anyone."

https://theintercept.com/2020/03/31/zoom-meeting-encryption/

Senden von Daten an Facebook bei iOS-App

Auf die Datenschutzlücke vom 26.3.2020, bei der bekannt wurde, dass der Zoom-Client unter iOS auch ohne Facebook-Account Daten an Facebook schickt (https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account),
hat Zoom innerhalb weniger Tage reagiert und diese Lücke geschlossen (https://blog.zoom.us/wordpress/2020/03/27/zoom-use-of-facebook-sdk-in-ios-client/)

Sicherheitslücken im Mac-Zoom-Client

Am 30.3.2020 wurden Sicherheitsprobleme im Mac-Zoom-Client erkannt, die u.a. mittels Phishing ausnutzbar waren (https://techcrunch.com/2020/04/01/zoom-doom/, https://heise.de/-4695129).

Zoom gibt im Blog unter https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/ am 1.4.2020 an, diesen Fehler geschlossen zu haben: ”Released fixes for both Mac-related issues raised by Patrick Wardle.”

Eine detaillierte, technische Beschreibung der Probleme gibt Patrick Wardle unter der Primärquelle https://objective-see.com/blog/blog_0x56.html.

Nachweislich nach eigenen Recherchen wurden beide beanstandeten Sicherheitsprobleme im aktuell herunterladbaren Mac-Zoom-Client behoben (Zeitstempel des Codesigning für den Installer: 2. Apr 2020 at  15:15:06).

Wurden Accounts und Passwörter von Zoom angegriffen?

Es wurden ca. 500.000 Accounts mit Klartextpasswörtern publiziert, die anscheinend auch bei Zoom funktionieren
https://www.bleepingcomputer.com/news/security/over-500-000-zoom-accounts-sold-on-hacker-forums-the-dark-web/
Es wird vermutet, dass diese Accounts aus früheren Hacks anderer Webseiten stammen.
Die HU ist von diesem Vorgang nicht direkt betroffen, da HU-Zoom an das Identity-Management der HU angebunden ist und Zoom somit niemals in Kontakt mit den Passwörtern kommt.
Wir empfehlen eindringlich, ihr HU-Passwort nicht für andere Webseiten zu nutzen, um von solchen Vorfällen nicht betroffen zu sein.

Ende-zu-Ende Verschlüsselung

Zoom bietet immer eine TLS-basierte Transportverschlüsselung (sofern Sie nicht mit normalem Telefon teilnehmen), jedoch eine Ende-zu-Ende-Verschlüsselung (End-to-End Encryption, E2EE) für Video-Gruppenkonferenzen nur mit Endpunkten, die bei Zoom liegen. Entsprechend nutzte Zoom diesen Begriff anders, als er normalerweise benutzt wird, in dem die Endpunkte die Geräte der Videokonferenzteilnehmer sind (https://theintercept.com/2020/03/31/zoom-meeting-encryption/).

Für die Bereiche Chat und Dateitransfer haben wir Zoom an der HU so konfiguriert, dass jeweils eine Verschlüsselung nach Advanced Encryption Standard (AES) 256-bit eingesetzt wird.

Eine in den USA eingereichten Klage soll klären, ob durch die unübliche Verwendung des Begriffes “End-to-End-Verschlüsselung” für Zoom ein unzulässiger Wettbewerbsvorteil erlangt wurde. Prinzipiell sind auch die Pexip-Konferenzen, die wir vom DFN einsetzten, nicht End-to-End verschlüsselt.

Zoom hat mittlerweile eine Stellungnahme bzgl. End-to-End-Verschlüsselung veröffentlicht (https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/), worin dargestellt wird:

“To be clear, in a meeting where all of the participants are using  Zoom clients, and the meeting is not being recorded, we encrypt all  video, audio, screen sharing, and chat content at the sending client,  and do not decrypt it at any point before it reaches the receiving  clients.”

Wenn der Zoom-Client eingesetzt wird und das Meeting nicht aufgezeichnet wird, werden demnach gemäß der Aussage von Zoom alle Inhalte verschlüsselt und nicht mitgeschnitten.

Abwägung zum Einsatz von Zoom mit einem Browser oder mit dem Zoom-Client

Wenn Sie Zoom mit einem Browser einsetzen, sprechen wir uns, wie bei fast allen Videokonferenz-Systemen über das Web für die Verwendung von Google Chrome aus, da dieser Browser derzeit die beste Umsetzung der hierfür notwendigen WebRTC-Standards implementiert. Bei Verwendung des Browsers werden weniger Daten, z.B. in Bezug auf die für die Konferenz verwendeten Geräte, erhoben. Die Funktion “Virtueller Hintergrund”, mit der in Bezug auf die häusliche Umgebung im Home-Office ein erhöhter Schutz der Privatsphäre möglich ist, kann mit dem Browser nicht genutzt werden.

Der Zoom-Client bietet in der Regel ein besseres Konferenzerlebnis und funktioniert häufig problemfreier. Im Gegenzug werden mehr Daten über die eingesetzten Geräte, wie den eigenen Rechner und die Audio- /Videogeräte erhoben. Die Nutzung der Funktion “Virtueller Hintergrund” ermöglicht einen eingeschränkten Schutz der heimischen Privatsphäre.

Maschinelles Aufmerksamkeits-Tracking

Dieses häufig in den Medien erwähnte Feature ist für HU-Zoom abgeschaltet und kann nicht genutzt werden. Zoom hat diese Funktion am 1.4.2020 allgemein abgeschaltet.

https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/

Maschinelles Zählen von Teilnehmenden bei Zoom-Rooms

Die HU setzt keine Zoom-Rooms ein und das Features ist bei uns abgeschaltet.

Marketplace-Apps brauchen Zugriff auf Daten der Anwendenden

Um den Abfluss von Daten von HU-Zoom auf diese Weise zu verhindern, werden keine Third-Party-Apps zugelassen.

Hinweis-Mail zum Umzug auf die Campus-Lizenz

Um die Nutzenden zu benachrichtigen, die bisher noch die freie Version von Zoom nutzen, wird die HU die entsprechenden Personen bald benachrichtigen, um auf die Nutzung von HU-Zoom zu verweisen.

Was ist Zoombombing?

Wer Videokonferenzen ohne weiteren Zutrittsschutz erstellt (z.B. ein Passwort) und die URL dann öffentlich verfügbar macht, setzt sich dem Risiko aus, das ungewollte Konferenzteilnehmer eintreten und unerwünschtes Verhalten zeigen. Diese Probleme sind dem Bereich Spam, Trolling oder ggf. auch Phishing zuzurechnen, bei dem laufende Kommunikation, die frei im Netz erreichbar ist, gestört wird. Es kann durch den Einsatz von Passwörtern für Konferenzen eingeschränkt werden. Auf jeden Fall sollten Sie nicht ungeprüft auf jeden Link klicken, der in den Chat eingefügt wird sondern immer zunächst auf Plausibilität prüfen, wie bei E-Mails auch. Der Begriff Zoombombing geht einerseits auf die aktuelle Beliebtheit der Plattform Zoom zurück und andererseits war es möglich, die URLs für eine Zoom-Videokonferenz zu erraten. Wir haben das Problem derzeit so aufgegriffen, dass neu angelegte Konferenzen standardmäßig mit Passwort angelegt werden (https://www.golem.de/news/zoombombing-trolle-uebernehmen-zoom-konferenzen-2003-147606.html).

Was ist mit dem Problem von Chat-Nachrichten mit Funktionslinks (UNC-Hyperlinks )?

https://www.tomsguide.com/news/zoom-password-malware-flaw

Das Problem mit den UNC-Links wurde von Zoom am 2.4.2020 behoben und UNC-Links werden nun nicht mehr ausgeführt.

Personal Meeting ID nicht veröffentlichen

Die Personal Meeting ID kann nicht ohne Weiteres verändert werden. Es ist deshalb darauf zu achten, diese ID nicht auf frei einsehbaren Webseiten zu veröffentlichen.

Zugriff auf andere Kontaktdaten innerhalb der HU durch Zoom

Zoom ermöglicht ein unternehmensweites Verzeichnis der Personen, um z.B. per Chat miteinander in Kontakt zu treten (https://www.vice.com/en_us/article/k7e95m/zoom-leaking-email-addresses-photos). Diese Funktion ist bei HU-Zoom deaktiviert.

Welche Zertifizierungen erfüllt Zoom bzgl. Datenschutz und Sicherheit?

(Quelle: https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf)

  • SOC2
  • TRUSTe
  • FedRAMP
  • GDPR (mit Privacy Shield)

Verschlüsselung von Chats und Dateien

Chats und Dateitransfers werden in HU-Zoom nach Advanced Encryption Standard (AES) 256-bit verschlüsselt.

Welche Daten werden von Zoom verarbeitet?

Es werden Metadaten wie Konferenznamen und Zeiten, IP und Name, Stadt, aber auch zu den eingesetzten Geräten (z.B. Webcams, Headsets,  Lautsprecher) und Betriebssystemen erhoben.

Dazu kommen detaillierte Daten zu der Qualität der Netzwerkverbindung  von den Teilnehmenden.

Zusätzlich wird die Anzahl von Chats, gesendeten/empfangen Nachrichten, Anrufen, Dateitransfers, verschickten Bildern, Sprachnachrichten, Videos und Emojis für jede Person gespeichert.

Data Mining findet nach Aussage von Zoom nicht statt und es werden keine Daten an Dritte verkauft.

Welche Daten werden für SSO von der HU übermittelt?

Zoom verlangt, dass folgende Daten nach dem Login und der Bestätigung durch den Nutzer übertragen werden:

  • Eine dienstbezogene persönliche ID,
  • der vollständige Name (Anzeigename), Vorname(n) und Nachnamen noch einmal als getrennte Felder;
  • die OKZ als „Abteilung“;
  • die dienstliche E-Mail-Adresse der Person;
  • ein Teil der HU-IAM-Rollen, die zur Bestimmung der Nutzergruppe und -rolle in Zoom dienen;
  • der Name der Einrichtung „Humboldt-Universität zu Berlin“;
  • als föderative Zugehörigkeit wird „member@hu-berlin.de“ übertragen, wobei die Übertragung freiwillig und durch den Nutzer abwählbar ist.

Datenkategorien und Verarbeitung

Kategorien der personenbezogenen Daten

Nummer

Bezeichnung der Daten

1

Benutzerprofil: siehe Daten, die durch SSO übermittelt werden

2

Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen

3

Meeting-Aufzeichnungen: Mp4 aller Video- und Audioaufnahmen und Präsentationen, M4A aller Audioaufnahmen, Textdatei aller in der Besprechung, Chats, Audio-Protokolldatei

4

IM-Chat-Protokolle (bei HU-Zoom deaktiviert)

5

Telefonie-Nutzungsdaten (optional): Ggf. Rufnummer des Anrufers, Name des Landes, IP-Adresse, 911-Adresse (registriert Dienstadresse der Humboldt-Universität), Start- und Endzeit, Hostname, Host-E-Mail, MAC-Adresse des verwendeten Geräts

6

Rechnungs- und Beschaffungsdaten (nur für Administrator*innen einsehbar)

Kategorien der betroffenen Personen

Nummer nach Datenkategorien

Bezeichnung der Daten

1-5

Nutzende

3-4

In der Kommunikation erwähnte weitere Personen

6

Beschaffer, Anforderer

Kategorien der Empfänger, denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen

(https://zoom.us/de-de/subprocessors.html)

Nr.

Empfänger

Anlass der Offenlegung

Speicherort

1-5

Zoom Video Communications, Inc.

Auftragsverarbeitung

Vereinigte Staaten von Amerika und Unterauftragsverarbeiter

 

 

Unterauftragsverarbeiter

 

6

People.ai

Vertrieb, CRM

Vereinigte Staaten von Amerika

1-6

Zendesk

Support

Vereinigte Staaten von Amerika

1, 6

Wootric

Kundenumfragen

Vereinigte Staaten von Amerika

6

Totango

Onboarding, Kundenerfahrung

Vereinigte Staaten von Amerika

1, 6

Answerforce

Kundensupport

Vereinigte Staaten von Amerika

1

Rocket Science Group, LLC

E-Mail-Benachrichtungen

Vereinigte Staaten von Amerika

1, 6

Five9

Callcenter

Vereinigte Staaten von Amerika

1 – 6

EPS Ventures

Support

Malaysia

1- 6

WKJ Consultancy

Support

Malaysia

6

Salesforce

Kundenmanagement

Vereinigte Staaten von Amerika

1, 6

CyberSource

Bezahlung und Betrugsprävention

Vereinigte Staaten von Amerika

1, 6

Adyen

Bezahlung und Betrugsprävention

Europa

6

Zuora

Abomanagement

Vereinigte Staaten von Amerika

1-6

Amazon Web Services

Infrastruktur (IT)

Vereinigte Staaten von Amerika, EU, Kanada, Australien

1-6

Bandwidth

Infrastruktur (Telefonie)

Vereinigte Staaten von Amerika

Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

Nummer nach Datenkategorien

Drittland oder internationale Organisation

Geeignete Garantien im Falle einer Übermittlung nach Art. 49 Abs. 1 Unterabsatz 2 DSGVO

1-6

Vereinigte Staaten von Amerika

1-6

Vereinigte Staaten von Amerika, Malaysia, Kanada, Australien

Unterauftragsverarbeiter Garantie durch Standarddatenschutzklauseln