Zoom unterstützt keine End-to-End-Verschlüsselung bei Online-Besprechungen
Am Dienstag veröffentlichte der britische Premierminister Boris Johnson einen Tweet, mit dem er seinen Anhängern zeigte, wie sein Kabinett während der durch das neuartige Coronavirus verursachten Krise funktioniert. Das Foto zeigte ein Online-Treffen zwischen Premierminister Johnson und seinen Kollegen, und sein Ziel war einfach - der Nation zu versichern, dass die britischen Politiker auch in diesen schrecklichen Zeiten weiterhin für das Wohl aller arbeiten. Für einige Leute hat es wahrscheinlich seinen Job als Moralverstärker gemacht. In der Sicherheitsgemeinschaft wurden jedoch einige Augenbrauen hochgezogen.
Der Screenshot zeigt, dass das britische Hauptorgan über Zoom kommuniziert, eine Videokonferenzplattform, die dank der Millionen von Menschen, die derzeit von zu Hause aus arbeiten, einen massiven Nutzungsanstieg verzeichnet hat. Als Videokonferenzlösung ist Zoom ziemlich solide, aber Sicherheitsspezialisten waren der Meinung, dass eine Organisation, die so wichtig ist wie die britische Regierung, wahrscheinlich etwas Benutzerdefiniertes und auf ihre Bedürfnisse zugeschnittenes verwenden würde. Das zweite, was Informationssicherheitsspezialisten bemerkten, war, dass die Zoom-Meeting-ID in Boris Johnsons Tweet deutlich sichtbar war, was keine wirklich gute Idee ist, insbesondere wenn die während des Meetings diskutierten Themen so heikel sind. Dann stöberten die Leute in Zooms Marketingmaterialien und es wurde schlimmer.
Zoom-Meetings können derzeit nicht durchgehend verschlüsselt werden
Ebenfalls am Dienstag veröffentlichte The Intercept einen Bericht über eine der Optionen, die Zoom seinen Benutzern bietet, und Politiker und Verantwortliche großer Organisationen sollten ihn wahrscheinlich sorgfältig durchlesen.
Beim Erstellen eines Zoom-Meetings kann ein Benutzer "Verschlüsselung für Endpunkte von Drittanbietern" aktivieren. In diesem Fall wird den Teilnehmern mitgeteilt, dass das Meeting durchgehend verschlüsselt ist. Das Sicherheitsweißbuch, das Zoom auf seiner Website veröffentlicht hat, legt ebenfalls nahe, dass diese Art der Verschlüsselung für Besprechungen möglich ist. Die Untersuchung von The Intercept ergab jedoch, dass dies einfach nicht der Fall ist.
Zoom-Videokonferenzen werden verschlüsselt, die Verschlüsselung erfolgt jedoch nicht durchgehend. Stattdessen werden Video und Audio über eine normale TLS- oder Transport Layer Security-Verbindung übertragen. Es ist dieselbe Technologie, die Websites und Anwendungen verwenden, wenn sie Inhalte über HTTPS bereitstellen. The Intercept wandte sich an Zoom, um einen Kommentar zu erhalten, und ein Sprecher gab zu, dass aufgrund technologischer Einschränkungen eine echte End-to-End-Verschlüsselung nur für Chats über die Plattform verfügbar ist. Aber was bedeutet das eigentlich für die Menschen, die den Service nutzen?
Wie wirkt sich das Fehlen einer End-to-End-Verschlüsselung auf die Benutzer aus?
Messaging-Anwendungen wie WhatsApp und Telegram scheuen nicht, die Verwendung der End-to-End-Verschlüsselung und ihre Datenschutzvorteile anzukündigen. Der Hauptvorteil der Ende-zu-Ende-verschlüsselten Kommunikation besteht darin, dass die Informationen zwar über die Server des Dienstanbieters übertragen werden, der Dienstanbieter selbst jedoch nicht über die Mittel zum Entschlüsseln verfügt.
Im Fall von Zoom sind die Besprechungen dank TLS vor Personen geschützt, die während der Übertragung zwischen den Geräten der Benutzer und den Servern von Zoom durch die Audio- und Videoübertragung schnüffeln. Wenn es sich jedoch auf den Servern befindet, können Zoom-Mitarbeiter es theoretisch entschlüsseln. Werden sie es tun?
Strafverfolgungsbehörden fordern die Online-Konferenzplattform möglicherweise auf, Daten zu bestimmten Personen offenzulegen, aber die Wahrscheinlichkeit, dass Sie davon betroffen sind, ist nicht so groß. Das Fehlen einer End-to-End-Verschlüsselung ist sicherlich ein Problem für Politiker wie Boris Johnson, aber für die meisten Menschen, die derzeit von zu Hause aus arbeiten, sollte es keine so große Sache sein. Was jedoch ein Problem ist, ist Zooms erster Versuch, den Fehler herunterzuspielen.
Auf die Frage, was diese Verwirrung verursacht habe, erklärte ein Zoom-Sprecher gegenüber The Intercept, dass mit "End-to-End-Verschlüsselung" gemeint sei, dass die Daten auf allen verschiedenen "Zoom-Endpunkten" und mit "Endpunkten" verschlüsselt würden bedeutete Benutzergeräte. Diese Art der liberalen Interpretation klar definierter Konzepte ist nicht wirklich akzeptabel, insbesondere wenn man bedenkt, dass die Plattform, über die wir sprechen, von den Regierungen einiger Supermächte der Welt genutzt wird. Schließlich stellte Zoom fest, dass es sich selbst keinen Gefallen tut, und veröffentlichte gestern einen Blog-Beitrag, mit dem es zugab, dass es sein Marketing-Team ein wenig mitreißen ließ. Die Entwickler der Plattform entschuldigten sich für die Verwirrung und es liegt nun an Boris Johnson und Millionen anderer Zoom-Benutzer, zu entscheiden, ob sie die Entschuldigung akzeptieren. Während er dabei ist, könnte Herr Johnson auch über die Vorsichtsmaßnahmen für die Cybersicherheit nachdenken, die sein Kabinett bei der Organisation seiner Online-Meetings trifft.
