Mit einer Ausnahme: Passive Teilnahme an einer Videokonferenz, z.B. in der Online-Lehre – sofern ein Pseudonym gewählt und sowohl Mikro als auch Kamera ausgeschaltet bleiben.

Auf der Webseite des Bundesdatenschutzbeauftragten findet man eine Übersicht von Messenger-Diensten mit Video-Funktion, die er vom niederländischen Datenschutzbeauftragte übernahm.

Währenddessen hat Zoom in einem White paper angekündigt, dass sie weiter an der Sicherheit arbeiten, u.a. auch Ende-zu-Ende-Verschlüsselung einführen wollen.

Zoom bietet immer eine TLS-basierte Transportverschlüsselung (sofern Sie nicht mit normalem Telefon teilnehmen), jedoch eine Ende-zu-Ende-Verschlüsselung (End-to-End Encryption, E2EE) für Video-Gruppenkonferenzen nur mit Endpunkten, die bei Zoom liegen. Entsprechend nutzte Zoom diesen Begriff anders, als er normalerweise benutzt wird, in dem die Endpunkte die Geräte der Videokonferenzteilnehmer sind. Mehr Infos

Für die Bereiche Chat und Dateitransfer haben wir Zoom an der HTW Berlin so konfiguriert, dass jeweils eine Verschlüsselung nach Advanced Encryption Standard (AES) 256-bit eingesetzt wird.

Eine in den USA eingereichten Klage soll klären, ob durch die unübliche Verwendung des Begriffes “End-to-End-Verschlüsselung” für Zoom ein unzulässiger Wettbewerbsvorteil erlangt wurde. Prinzipiell sind auch die Pexip-Konferenzen, die wir vom DFN einsetzten, nicht End-to-End verschlüsselt.

Zoom hat mittlerweile eine Stellungnahme bzgl. End-to-End-Verschlüsselung veröffentlicht, worin dargestellt wird: "To be clear, in a meeting where all of the participants are using  Zoom clients, and the meeting is not being recorded, we encrypt all  video, audio, screen sharing, and chat content at the sending client,  and do not decrypt it at any point before it reaches the receiving  clients."

Wenn der Zoom-Client eingesetzt wird und das Meeting nicht aufgezeichnet wird, werden demnach gemäß der Aussage von Zoom alle Inhalte verschlüsselt und nicht mitgeschnitten. Bislang wird bei einigen Kommunikationstools nur die Übertragung zwischen den Clients und der Zoom-Cloud verschlüsselt, so dass dort auf die Audio- und Video-Daten zugegriffen werden kann. Bei echter Ende-zu-Ende-Verschlüsselung kann niemand außer den Teilnehmern einer Videokonferenz auf die Audio- und Video-Daten zugreifen, d.h. weder bei der Übertragung noch die Software auf den Endgeräten (Browser oder Apps). Und dasist die eigentliche Herausforderung, es erscheint auf den ersten Blick technisch unmöglich: In jedem Fall wird eine Hardware- und/oder Software-Komponente auf dem Endgerät benötigt, die die Ver- und Entschlüsselung umsetzt – und dieser muss man vertrauen (können). Die Übertragung der Schlüssel dafür muss ebenfalls sicher sein.

Alle beteiligten Endgeräte müssen sicher sein. D.h. sie dürfen keine Sicherheitslücken aufweisen und es dürfen keine Überwachungs- oder andere Backdoor-Programme installiert sein, die ungefragt Daten an Dritte übertragen.

Und damit nicht genug: Das Schlüssel-Management ein weiteres zentrales Problem. Die zumeist eingesetzte asymmetrische Verschlüsselung nutzt einen privaten und einen öffentlichen Schlüssel, ideal für die Kommunikation zwischen zwei Teilnehmern, da bei dieser jeweils die Daten mit dem öffentlichen Schlüssel des Partners verschlüsselt, so dass die Dtaen und nur mit dem passenden privaten Schlüssel entschlüsselt werden können. Das Videokonferenz-Tool muss dafür sorgen, dass für jedes Meeting unterschiedliche Schlüssel generiert und nur den an einem Meeting zugelassenen Teilnehmern bekannt sind. Die Verteilung dieses Schlüssels könnte mittels  asymmetrischer Verschlüsselung sicher erfolgen.

Zudem besteht bei der Nutzung von Webbrowsern das Problem, dass es bislang noch keine Technologie gab, bei der die Daten dort durchgängig verschlüsselt sind. Auch aus diesem Grund setzen Anbieter wie Zoom auf eigene Apps, bei der sie die Implementierung vollständig unter Kontrolle haben. Die gute Nachricht ist: In Chromium und verwandten Browsern gibt es ein neues Feature, dass die Übertragung von verschlüsselten Streams mittels WebRTC ermöglicht. Bei Jitsi wird mit Hochdruck daran gearbeitet, echte Ende-zu-Ende-Verschlüsselung mittels WebRTC umzusetzen. Noch offen ist die konkrete Implementierung des Schlüsselmanagements.