Aufgrund der Corona-Krise erfreuen sich die Dienste für Videokonferenzen großer Beliebtheit. Das US-Unternehmen Zoom bietet einen entsprechenden Service, der nun in den Fokus der Kritik gerät. Dass das Angebot gefährliche Sicherheitslücken enthält, offenbarte sich schließlich in den vergangenen Tagen.
Einbrüche in Videochats

Die Nutzer der Videokonferenz-Anwendung Zoom erhielten bei manchen Zusammenkünften plötzlich ungebetenen Besuch von Fremden. In den Videochats erschienen Dritte, um Videokonferenzen und ähnliche Zusammenkünfte mit störenden Inhalten zu fluten. Als Name für die Störung etablierte sich der Begriff “Zoombombing”.

Der Angriff ist möglich, wenn der Chat-Organisator seine Videokonferenz mittels öffentlichem Link plant. Auf diese Weise konnten Cyberkriminelle in den USA mehrere Schulstunden und einige Gottesdienste attackieren. Sie drangen in die jeweiligen Zoom-Konferenzen ein, um den Ablauf mittels grober Beschimpfungen oder durch Nazi-Symbole zu stören.
Zoom müsste in den vergangenen Tagen nicht nur mit diesem Sicherheitsproblem umgehen. Schließlich wurde bekannt, dass der Dienst die Daten der Videokonferenzen nicht in Form einer kompletten End-zu-End-Verschlüsselung (E2E) überträgt. So berichtet die investigative IT-Seite “The Intercept”, dass die Video-Chats von Zoom keine E2E-Verschlüsselung aufweisen würden.

Unverschlüsselte Daten für Dritte

Die E2E-Verschlüsselung gilt bislang nur für den Textchat, nicht aber für Video- und Audio-Inhalte. Erst nach anhaltender Kritik gab Zoom bekannt, dass es für die Audio- und Videoinhalte nur eine sogenannte Transportverschlüsselung verwendet. Damit haben zwar externe Angreifer keinen Zugriff auf diese Inhalte. Allerdings konnten Zoom-Mitarbeiter auf den gesamten Datenstrom zugreifen.

Auf Nachfrage von “The Intercept” gab ein Zoom-Sprecher an, den zukünftigen Zugriff durch Mitarbeiter des Unternehmens zu unterbinden. Außerdem würde Zoom diese Video- und Audiodaten nicht an Dritte verkaufen. Allerdings wurde fast zeitgleich bekannt, dass die Zoom-Anwendung auf iOS-Geräten offenbar Daten an Facebook sendete. Dabei flossen sogar Daten von Nutzern, die Facebook nicht verwenden.

Aus dem Unternehmen wurde zunächst nur auf die fehlende E2E-Verschlüsselung eingegangen. Es hieß, dass eine verlässliche Verwendung von Zoom nur möglich sei, wenn alle Teilnehmer den firmeneigenen Clienten zur Konferenz benutzen. Falls eine Person per Telefonanruf teilnimmt, sei die Verschlüsselung des Dienstes nicht garantiert. Weitere Sicherheitslücken offenbarten sich aber in den vergangenen Tagen.
So betonte das US-Unternehmen, dass Zoom keine Verschlüsselungstechnologie beinhaltet, die verlässlich vor dem Zugriff von Behörden schützt. IT-Spezialisten wiesen unterdessen darauf hin, dass die Mac-Variante der Software an Root-Rechte gelangt. Das soll die Nutzung vereinfachen, beeinträchtigt aber die Sicherheit der Betriebssysteme.

Zugriff für Mitarbeiter deaktiviert

Das Raumfahrtunternehmen SpaceX reagierte wie andere Firmen auf die bestehenden Sicherheitslücken. So gab Elon Musks Firma bekannt, dass es seinen Mitarbeitern die Nutzung von Zoom verbietet. Der Zugriff wurde schon zum vergangenen Wochenende deaktiviert. In diesem Rahmen verwies SpaceX auf “erhebliche Datenschutz- und Sicherheitsbedenken”.

Die US-Weltraumorganisation NASA, welche zugleich einer der größten Kunden von SpaceX ist, reagierte ebenfalls. Deren Sprecherin, Stephanie Schierholz, wies darauf hin, dass den Mitarbeitern der Behörde die Nutzung der Plattform nicht mehr gestattet ist. Das FBI-Büro in Boston veröffentlichte unterdessen sogar eine Warnung vor dem Dienst.

Absturz für den Aktienkurs

Eigentlich entstand Zoom vor allem für den Einsatz in Unternehmen. Während der Corona-Krise wurden aber auch andere Institutionen auf den Dienst aufmerksam. So nutzten Schulen, Kirchen und private Verbraucher den Videochat im großen Stil. Die Zahl der Benutzer stieg im März zunächst rasant an. Ein Zoom-Mitarbeiter schreibt von bis zu 200 Millionen Usern, die an einem einzigen Märztag den Videochat benutzten.

Durch diese neue Nutzung seien “unvorhergesehene Probleme mit unserer Plattform” aufgetreten, schreibt Zoom-Chef Eric Yuan in einem Blogeintrag, der auf der Website des Unternehmens veröffentlicht wurde. Diese Schwierigkeiten wirkten sich auch auf den Aktienkurs des Unternehmens aus. Der Aktienkurs sackte vom 23. März, als er 164,50 US-Dollar lag, deutlich ab.

Derzeit kostet eine Zoom-Aktie nur noch 137 Dollar. Dennoch legte das Papier seit Beginn der Corona-Krise deutlich zu. Zeitweise steigerte sich der Aktienwert um mehr als 100 Prozent. Nach dem Absturz der vergangenen Tage bleibt der US-Firma immer noch ein Plus von rund 75 Prozent innerhalb der letzten zwei Monate.

Rasche Verbesserungen versprochen

Die größten Sicherheitslücken sollen mittlerweile beseitigt sein, versprach der Unternehmenschef Young in einem weiteren Blogeintrag. So entfernte Zoom mehrere Funktionen, die in der Kritik standen. Organisatoren von Videokonferenzen können zum Beispiel nicht mehr kontrollieren, ob Teilnehmer die Anwendung im Vordergrund betreiben oder ob sie sich mit anderen Dingen befassen.
Für Schulen und andere Bildungseinrichtungen gibt es weitere Verbesserungen, welche die unerlaubte Störung durch Dritte unterbinden sollen. Teilnehmer gelangen nun standardmäßig in einen Warteraum. Erst wenn die Organisatorinnen ihre Zustimmung geben, beginnt der eigentliche Videochat. Ob die Sicherheitslücken bei der End-zu-End-Verschlüsselung noch behoben werden, bleibt allerdings abzuwarten.