Datenschutz und Sicherheit bei Zoom

Bedingt durch die Lockdowns im Rahmen der Corona-Krise erlebt Zoom als Plattform für Audio-/Videokonferenzen weltweit großen Zuspruch. Hierdurch steht Zoom nun auch innerhalb kurzer Zeit im Zentrum der genauen Beobachtung von Sicherheitsexpert_innen weltweit. Auch Zoom wurde von den Entwicklungen im Umfeld von Corona überrascht und nun gefordert ist, in kurzer Zeit auf die vielfältigen Anforderungen sowohl technisch, als auch organisatorisch zu reagieren.

Im Zuge dieser Prüfungen kommen nahezu täglich neue Fragestellungen und Kritiken zu Zoom auf, die wir an dieser Stelle soweit uns bekannt aufgreifen und kommentieren möchten. Wir konnten bisher feststellen, dass Zoom sehr schnell auf Anfragen reagiert und auch entsprechende technische Lösungen bereitgestellt hat.

In vielen Fällen sind wir als HTW Berlin in der günstigen Position, durch HTW-Zoom die Konfigurationen weitgehend anpassen zu können und aus unserer Sicht problematische Funktionen direkt abzuschalten bzw. so zu konfigurieren, dass sie unseren Anforderungen entsprechen. Hierdurch sind in HTW-Zoom ausgeführte Konferenzen bessergestellt, als bei der Nutzung der freien Version von Zoom.

Nach dem derzeitigen Stand sind wir zuversichtlich, dass alle bisher diskutierten Sicherheitsfragen für HTW-Zoom aufgelöst werden können. Für alle hier aufgeführten Diskussionen konnten bereits Fixes umgesetzt werden.

Wir haben die Diskussionen zu den wichtigsten Fragen hier für Sie aufbereitet.

Seiteninhalt

Privacy Policy

Die Privacy Policy von Zoom wurde im August 2020 aktualisiert, um einige Aussagen deutlicher herauszuarbeiten.

Stellungnahmen von Zoom

Zoom kommentiert mittlerweile regelmäßig neue Problembereiche unter blog.zoom.us.

Vorlesungsaufzeichnung

Wir haben Zoom für die HTW Berlin so konfiguriert, dass nur der Host eine Aufzeichnung starten kann und dazu auch die explizite Einwilligung der Teilnehmenden eingeholt wird.

Aufzeichnung von Vorlesungen und Einstellen in andere Dienste

HTW-Zoom ist so konfiguriert, dass die Ablage von Aufzeichnungen bei andern Anbietern wie YouTube oder Facebook nicht möglich ist. Aufzeichnungen können lokal auf dem System des Hosts erfolgen und im Anschluss über die Mediathek der HTW Berlin bereitgestellt werden.

Zoom und Data Mining

Zoom beschreibt zur Frage des Umgang mit Data Mining: "Importantly, Zoom does not mine user data or sell user data of any kind to anyone."

Senden von Daten an Facebook bei iOS-App

Auf die Datenschutzlücke vom 26.3.2020, bei der bekannt wurde, dass der Zoom-Client unter iOS auch ohne Facebook-Account Daten an Facebook schickt, hat Zoom innerhalb weniger Tage reagiert und diese Lücke geschlossen.

Sicherheitslücken im Mac-Zoom-Client

Am 30.3.2020 wurden Sicherheitsprobleme im Mac-Zoom-Client erkannt, die u.a. mittels Phishing ausnutzbar waren (Quelle 1, Quelle 2). Zoom gibt im Blog am 1.4.2020 an, diesen Fehler geschlossen zu haben: ”Released fixes for both Mac-related issues raised by Patrick Wardle.” Eine detaillierte, technische Beschreibung der Probleme gibt Patrick Wardle. Nachweislich nach eigenen Recherchen wurden beide beanstandeten Sicherheitsprobleme im aktuell herunterladbaren Mac-Zoom-Client behoben (Zeitstempel des Codesigning für den Installer: 2. Apr 2020 at 15:15:06).

Abwägung zum Einsatz von Zoom mit einem Browser oder mit dem Zoom-Client

Wenn Sie Zoom mit einem Browser einsetzen, sprechen wir uns, wie bei fast allen Videokonferenz-Systemen über das Web für die Verwendung von Google Chrome aus, da dieser Browser derzeit die beste Umsetzung der hierfür notwendigen WebRTC-Standards implementiert. Bei Verwendung des Browsers werden weniger Daten, z.B. in Bezug auf die für die Konferenz verwendeten Geräte, erhoben. Die Funktion “Virtueller Hintergrund”, mit der in Bezug auf die häusliche Umgebung im Home-Office ein erhöhter Schutz der Privatsphäre möglich ist, kann mit dem Browser nicht genutzt werden.

Der Zoom-Client bietet in der Regel ein besseres Konferenzerlebnis und funktioniert häufig problemfreier. Im Gegenzug werden mehr Daten über die eingesetzten Geräte, wie den eigenen Rechner und die Audio- /Videogeräte erhoben. Die Nutzung der Funktion “Virtueller Hintergrund” ermöglicht einen eingeschränkten Schutz der heimischen Privatsphäre.

Maschinelles Aufmerksamkeits-Tracking

Dieses häufig in den Medien erwähnte Feature ist für HTW-Zoom abgeschaltet und kann nicht genutzt werden. Zoom hat diese Funktion am 1.4.2020 allgemein abgeschaltet.

Maschinelles Zählen von Teilnehmenden bei Zoom-Rooms

Die HTW Berlin setzt keine Zoom-Rooms ein und das Features ist bei uns abgeschaltet.

Marketplace-Apps brauchen Zugriff auf Daten der Anwendenden

Um den Abfluss von Daten von HTW-Zoom auf diese Weise zu verhindern, werden keine Third-Party-Apps zugelassen.

Hinweis-Mail zum Umzug auf die Campus-Lizenz

Um die Nutzenden zu benachrichtigen, die bisher noch die freie Version von Zoom nutzen, wird die HTW Berlin die entsprechenden Personen bald benachrichtigen, um auf die Nutzung von HTW-Zoom zu verweisen.

Was ist Zoombombing?

Wer Videokonferenzen ohne weiteren Zutrittsschutz erstellt (z.B. ein Passwort) und die URL dann öffentlich verfügbar macht, setzt sich dem Risiko aus, das ungewollte Konferenzteilnehmer eintreten und unerwünschtes Verhalten zeigen. Diese Probleme sind dem Bereich Spam, Trolling oder ggf. auch Phishing zuzurechnen, bei dem laufende Kommunikation, die frei im Netz erreichbar ist, gestört wird. Es kann durch den Einsatz von Passwörtern für Konferenzen eingeschränkt werden. Auf jeden Fall sollten Sie nicht ungeprüft auf jeden Link klicken, der in den Chat eingefügt wird sondern immer zunächst auf Plausibilität prüfen, wie bei E-Mails auch. Der Begriff Zoombombing geht einerseits auf die aktuelle Beliebtheit der Plattform Zoom zurück und andererseits war es möglich, die URLs für eine Zoom-Videokonferenz zu erraten. Wir haben das Problem derzeit so aufgegriffen, dass neu angelegte Konferenzen standardmäßig mit Passwort angelegt werden.

Chat-Nachrichten mit Funktionslinks (UNC-Hyperlinks )

Das Problem mit den UNC-Links wurde von Zoom am 2.4.2020 behoben und UNC-Links werden nun nicht mehr ausgeführt.

Personal Meeting ID nicht veröffentlichen

Die Personal Meeting ID kann nicht ohne Weiteres verändert werden. Es ist deshalb darauf zu achten, diese ID nicht auf frei einsehbaren Webseiten zu veröffentlichen.

Zugriff auf andere Kontaktdaten innerhalb der HTW Berlin durch Zoom

Zoom ermöglicht ein unternehmensweites Verzeichnis der Personen, um z.B. per Chat miteinander in Kontakt zu treten. Diese Funktion ist bei HTW-Zoom deaktiviert.

Zertifizierungen bezüglich Datenschutz und Sicherheit

  • SOC2
  • TRUSTe
  • FedRAMP
  • GDPR (mit Privacy Shield)

Quelle

Verschlüsselung von Chats und Dateien

Chats und Dateitransfers werden in HTW-Zoom nach Advanced Encryption Standard (AES) 256-bit verschlüsselt.

Datenverarbeitung durch Zoom

Es werden Metadaten wie Konferenznamen und Zeiten, IP und Name, Stadt, aber auch zu den eingesetzten Geräten (z.B. Webcams, Headsets,  Lautsprecher) und Betriebssystemen erhoben. Dazu kommen detaillierte Daten zu der Qualität der Netzwerkverbindung von den Teilnehmenden. Zusätzlich wird die Anzahl von Chats, gesendeten/empfangenen Nachrichten, Anrufen, Dateitransfers, verschickten Bildern, Sprachnachrichten, Videos und Emojis für jede Person gespeichert. Data Mining findet nach Aussage von Zoom nicht statt und es werden keine Daten an Dritte verkauft.

SSO-Datenübermittlung durch die HTW Berlin

Zoom verlangt, dass folgende Daten nach dem Login und der Bestätigung durch die nutzende Person übertragen werden:

  • eine dienstbezogene persönliche ID,
  • der vollständige Name (Anzeigename), Vorname(n) und Nachnamen noch einmal als getrennte Felder;
  • die OKZ als „Abteilung“;
  • die dienstliche E-Mail-Adresse der Person;
  • ein Teil der HTW-IAM-Rollen, die zur Bestimmung der Nutzergruppe und -rolle in Zoom dienen;
  • der Name der Einrichtung “HTW Berlin”;
  • als föderative Zugehörigkeit wird „member@htw-berlin.de“ übertragen, wobei die Übertragung freiwillig und durch die nutzende Person abwählbar ist.

Datenkategorien und Verarbeitung

Kategorien der personenbezogenen Daten

  1. Benutzerprofil: siehe Daten, die durch SSO übermittelt werden
  2. Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen
  3. Meeting-Aufzeichnungen: Mp4 aller Video- und Audioaufnahmen und Präsentationen, M4A aller Audioaufnahmen, Textdatei aller in der Besprechung, Chats, Audio-Protokolldatei
  4. IM-Chat-Protokolle (bei HTW-Zoom deaktiviert)
  5. Telefonie-Nutzungsdaten (optional): ggf. Rufnummer der anrufenden Person, Name des Landes, IP-Adresse, 911-Adresse (registriert Dienstadresse der HTW Berlin), Start- und Endzeit, Hostname, Host-E-Mail, MAC-Adresse des verwendeten Geräts
  6. Rechnungs- und Beschaffungsdaten (nur für Administrator_innen einsehbar)

Kategorien der betroffenen Personen

  • 1-5: Nutzende
  • 3-4: in der Kommunikation erwähnte weitere Personen
  • 6: Beschaffende, Anfordernde

Kategorien der Empfänger_innen, denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen

  • Zoom Video Communications, Inc.
    • Datenkategorien: 1-5
    • Zweck: Auftragsverarbeitung, Unterauftragsverarbeiter
    • Speicherort: Vereinigte Staaten von Amerika und Unterauftragsverarbeiter
  • People.ai
    • Datenkategorien: 6
    • Zweck: Vertrieb, CRM
    • Speicherort: Vereinigte Staaten von Amerika
  • Zendesk
    • Datenkategorien: 1-6
    • Zweck: Support
    • Speicherort: Vereinigte Staaten von Amerika
  • Wootric
    • Datenkategorien: 1, 6
    • Zweck: Kundenumfragen
    • Speicherort: Vereinigte Staaten von Amerika
  • Totango
    • Datenkategorien: 6
    • Zweck: Onboarding, Kundenerfahrung
    • Speicherort: Vereinigte Staaten von Amerika
  • Answerforce
    • Datenkategorien: 1, 6
    • Zweck: Kundensupport
    • Speicherort: Vereinigte Staaten von Amerika
  • Rocket Science Group, LLC
    • Datenkategorien: 1
    • Zweck: E-Mail-Benachrichtungen
    • Speicherort: Vereinigte Staaten von Amerika
  • Five9
    • Datenkategorien: 1, 6
    • Zweck: Callcenter
    • Speicherort: Vereinigte Staaten von Amerika
  • EPS Ventures, WKJ Consultancy
    • Datenkategorien: 1-6
    • Zweck: Support
    • Speicherort: Malaysia
  • Salesforce
    • Datenkategorie: 6
    • Zweck: Kundenmanagement
    • Speicherort: Vereinigte Staaten von Amerika
  • CyberSource
    • Datenkategorien: 1-6
    • Zweck: Bezahlung und Betrugsprävention
    • Speicherort: Vereinigte Staaten von Amerika
  • Adyen
    • Datenkategorien: 1, 6
    • Zweck: Bezahlung und Betrugsprävention
    • Speicherort: Europa
  • Zuora
    • Datenkategorie: 6
    • Zweck: Abomanagement
    • Speicherort: Vereinigte Staaten von Amerika
  • Amazon Web Services
    • Datenkategorien: 1-6
    • Zweck: Infrastruktur (IT)
    • Speicherorte: Vereinigte Staaten von Amerika, EU, Kanada, Australien
  • Bandwidth
    • Datenkategorien: 1-6
    • Zweck: Infrastruktur (Telefonie)
    • Speicherort: Vereinigte Staaten von Amerika

Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
Nummer nach Datenkategorien