Profiteur des Lockdown

Weltweit wird per Zoom konferiert, debattiert, geplaudert. Aber wie sicher sind die Daten?

  • Susanne Lang
  • Lesedauer: 5 Min.

Die Kontaktbeschränkungen im Zuge der Corona-Pandemie haben einen großen Teil des öffentlichen Lebens lahmgelegt. Ein anderer Teil wanderte ins Internet ab: Konferenzen, Gespräche, sogar Geburtstagsfeiern finden vermehrt online statt, wovon vor allem einer profitiert: Das US-Software-Unternehmen Zoom hat alle anderen Anbieter von Videokonferenzen abgehängt. Seit März laden sich täglich 300 000 Menschen weltweit die Zoom-App auf ihre Geräte - dreimal so viele wie noch im Januar. Große Teile der Kommunikation finden weltweit nun über Zoom statt, gleichzeitig ist es umstritten. An ihm scheiden sich die Datenschutzgeister. Die große Frage ist: Wie sicher sind unsere Daten bei Zoom und was tut es damit?

Der rasante Erfolg von Zoom ist kein Rätsel: Die Handhabung seiner Dienste ist einfach, Videokonferenzen mit bis zu 100 Teilnehmern sind kostenlos, wenn die Gespräche nicht länger als 40 Minuten dauern. Auch für viele lange Veranstaltungen ist der Preis noch überschaubar: knapp 17 Euro monatlich, und den Gesprächen ist kein Ende gesetzt.

Die Daten der europäischen Nutzer müssen seit Mai 2018 der europäischen Datenschutz-Grundverordnung entsprechen, wenn die Dienste von Zoom in Europa angeboten werden sollen. Sie verpflichtet den Dienstleister zu sorgsamem Umgang mit den Daten, über die Grenzen Europas hinaus: Befindet sich der Dienstleister in einem Land, in dem die europäische Datenschutz-Grundverordnung keine Gültigkeit besitzt, muss trotzdem sichergestellt sein, dass auch in diesem Land ein vergleichbares Datenschutzniveau eingehalten wird. Mit der US-Handelskammer hat die EU-Kommission eine Vereinbarung getroffen, die die Einhaltung des EU-Datenschutzniveaus zusichert.

Diese Vereinbarung mit dem Namen Privacy Shield wird von den europäischen Behörden allerdings als unzureichend kritisiert. Denn es handelt sich um eine zahnlose Selbstverpflichtung. Und was von Selbstverpflichtungen der US-Handelskammer zu halten ist, weiß man spätestens seit den durch Edward Snowden initiierten Veröffentlichungen im Jahr 2013. Durch diese wurde nachweisbar, dass es für US-Dienstanbieter nicht nur eine gesetzliche Pflicht zur Zusammenarbeit mit US-amerikanischen Geheimdiensten gibt, sondern auch, dass diese systematisch und verdachtsunabhängig sämtliche weltweite Kommunikation erfassen, speichern und auswerten.

Die massivste Kritik an Zoom bezieht sich jedoch auf Lücken, die das Unternehmen unter Sicherheitsforschern regelrecht berühmt gemacht hat: Es wurden Verschlüsselungsstandards bei der Datenübertragung nicht eingehalten. Gleichzeitig wurde fälschlicherweise damit geworben, dass die Videokonferenzen von Teilnehmer zu Teilnehmer verschlüsselt seien. Die Software oder App, die zur Benutzung der Zoom-Konferenzen genutzt werden soll, war stellenweise so fehlerhaft, dass der ganze Computer von Fremden übernommen werden konnte. Bei der Installation auf Mac-Computern lassen sich Root-Rechte erschleichen, mit denen tiefe Systemeingriffe möglich sind.

Auch die Zoom-Konferenzen selbst sind schlecht abgesichert. Jeder Konferenzorganisator hat eine ID, also eine feststehende zehnstellige Nummer, mit der zu Konferenzen eingeladen werden kann. Doch wer diese ID errät oder sich anderweitig beschafft, kann diesen Konferenzen beitreten. So machte sich der Premierminister Großbritanniens Boris Johnson am 31. März zum Gespött des Internets, als er stolz ein Foto seiner Video-Kabinettssitzung twitterte und dabei die Zoom-ID gleich mit abfotografiert hatte. Zwar lassen sich die Videokonferenzen zusätzlich über ein Passwort absichern. Doch vielen Konferenzorganisatoren war das zu aufwendig. Die Folge waren Zoom-Bombings: Spaßvögel, Nervtöter und böswillige Saboteure schalteten sich in ungesicherte Zoom-Konferenzen ein und störten.

Um die Daten zu schützen, rieten Sicherheitsexperten den Nutzern zwar dazu, den Videokonferenzen über den Webbrowser beizutreten und nicht die App herunterzuladen. Zudem sollten die Organisatoren ihre Videokonferenzen unbedingt mit einem Passwort absichern. Das war für viele Nutzer in der Realität allerdings nicht möglich. Denn die Teilnahme über den Browser zu erlauben, ist tief im Zoom-Einstellungsmenü der Organisatoren versteckt. Passwörter können beim Anlegen der Konferenz zwar vergeben werden, sind aber standardmäßig nicht vorgesehen. Der Druck auf Zoom wuchs.

Am 1. April reagierte das Unternehmen auf die wachsende Kritik. Gründer und Geschäftsführer Eric S. Yuan teilte mit, man habe die gravierendsten, zu diesem Zeitpunkt bekannten Sicherheitslücken geschlossen. Es wurde eine neue Datenschutzerklärung veröffentlicht, die als vorbildlich bezeichnet werden kann. Das Unternehmen wolle zudem in einem 90-Tage-Programm alle Sicherheitsprobleme strukturiert angehen.

Am 29. April folgten dann die ersten Ergebnisse: Die Version Zoom 5.0 wurde veröffentlicht; sie behebt viele Probleme: Die Verschlüsselung ist jetzt auf einen aktuellen Standard umgestellt, Videokonferenzen können bei Anwesenheit aller Teilnehmer verschlossen werden, um sich gegen unerwünschte Gäste zu schützen, und Teilnehmer können schnell entfernt, blockiert und dem Unternehmen gemeldet werden. Zoom scheint sein Vorhaben, zum sichersten Videokonferenzanbieter der Welt zu werden, ernst zu nehmen.

Da viele Unternehmen jedoch bereits im April Konsequenzen gezogen und die Nutzung von Zoom untersagt hatten, legt Zoom noch eins drauf: Wer einen kostenpflichtigen Zugang hat, kann ab sofort auch auswählen, in welche Region der Welt die Daten der eigenen Videokonferenz geleitet werden sollen. Wer eine Videokonferenz in Deutschland organisiert, kann die Daten der Konferenz über Datenzentren in Europa verarbeiten lassen. Damit hat ausgerechnet Zoom für die Ebene der Endkunden das umgesetzt, was Datenschützer seit Langem fordern. Sollten Google und andere US-amerikanische Dienstanbieter sich auf diesen Datenschutz-Wettstreit einlassen, könnte dadurch das Internet am Ende für alle wirklich sicherer werden.

Doch es bleibt die Frage, wie sicher Daten bei Unternehmen sind, die auf schnelles Wachstum und Gewinn aus sind. Die Auseinandersetzung um Zoom zeigt vor allem, wie wichtig und kostbar unser gesprochenes Wort und unser Bild sind. In Zeiten, in denen das Orwell’sche Szenario flächendeckender Gesichtserkennungssoftware technisch machbar ist und sich auf die Frage reduzieren lässt, wer zuerst die meisten Bilddaten besitzt und den rechtlichen Rahmen dafür setzt, sollte niemand sorglos mit seinen Bilddaten umgehen. Zoom mag nun zwar sicherer sein. Doch das Ziel muss letztlich der Aufbau von solidarischen, sicheren Infrastrukturen für das Onlineleben sein. Jede Organisation ist aufgefordert, eigene Kapazitäten von Videokonferenz-Servern aufzubauen und mit ihren Partnern zu teilen. Es gibt etliche Beispiele auch von linken Gruppen, Technikkollektiven und Parteigliederungen, die das bereits tun. Wenn alle zusammen es schaffen, flächendeckende Infrastrukturen aufzubauen, können wir aus der Coronakrise gestärkt hervorgehen.

Abonniere das »nd«
Linkssein ist kompliziert.
Wir behalten den Überblick!

Mit unserem Digital-Aktionsabo kannst Du alle Ausgaben von »nd« digital (nd.App oder nd.Epaper) für wenig Geld zu Hause oder unterwegs lesen.
Jetzt abonnieren!

Linken, unabhängigen Journalismus stärken!

Mehr und mehr Menschen lesen digital und sehr gern kostenfrei. Wir stehen mit unserem freiwilligen Bezahlmodell dafür ein, dass uns auch diejenigen lesen können, deren Einkommen für ein Abonnement nicht ausreicht. Damit wir weiterhin Journalismus mit dem Anspruch machen können, marginalisierte Stimmen zu Wort kommen zu lassen, Themen zu recherchieren, die in den großen bürgerlichen Medien nicht vor- oder zu kurz kommen, und aktuelle Themen aus linker Perspektive zu beleuchten, brauchen wir eure Unterstützung.

Hilf mit bei einer solidarischen Finanzierung und unterstütze das »nd« mit einem Beitrag deiner Wahl.

Unterstützen über:
  • PayPal