Sicherheit und Datenschutz bei Zoom

Sicherheit

Der Datenschutz und die Sicherheit von Zoom-Meetings sind momentan Gegenstand der medialen Aufmerksamkeit und die Berichte lesen sich teilweise sehr negativ. Es gibt jedoch auch Einschätzungen von Datenschutzexperten und Juristen, die einen Einsatz in Bildungseinrichtungen, im E-Learning, für unproblematisch halten, z.B. von Herrn Stephan Hansen-Oest (https://www.datenschutz-guru.de/zoom-ist-keine-datenschleuder/). Solchen Einschätzungen folgt die Ruhr-Universität Bochum, wie auch viele andere Universitäten in Deutschland.

Hinzu kommt, dass ein Teil der bekannt gewordenen Sicherheitslücken von Zoom sich durch eigene Einstellungen vermeiden lässt. Ein anderer Teil ist von Zoom behoben worden. Dies bedeutet nicht, dass es nicht immer noch einzelne Unzulänglichkeiten gibt. Diese werden jedoch nicht als so gravierend bewertet, als dass ein DSGVO-konformer Einsatz an der RUB nicht möglich ist.

 

Nutzerseitige Einstellungen

Die erstgenannten Möglichkeiten beziehen sich auf  Einstellungen, die Meetingveranstalter vornehmen können, wenn sie ein Meeting einrichten, um zu verhindern, dass Unberechtigte Zugriff auf das Meeting bekommen können (so genanntes „Zoom Bombing”). Hierbei ist grundsätzlich zu beachten, dass Zoom-Meeting-Zugangsdaten nicht weitergegeben werden sollten. Teilnehmende, die einen Zugang benötigen sollten sich immer direkt an den Meetingveranstalter wenden.

Hinweise zu den Einstellungen: https://www.rubel.rub.de/content/sicherheit-von-zoom-meetings

 

Maßnahmen von Zoom zur Behebung der aufgetretenen Sicherheitslücken

(https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/

Zoom hat im Grunde alle Sicherheitslücken, die in den Medien für Furore sorgten, behoben:

  • Entfernung der Facebook SDK in der iOS App
  • Aktualisierung der Datenschutzbestimmungen: Mehr Transparenz und Klarheit über die gesammelten Daten 
  • Klarstellung zur Verschlüsselung von Meetings: keine Ende-zu-Ende-Verschlüsselung, sondern nur Verschlüsselung vom Client zum Zoom-Server, d.h. Verschlüsselung analog der Verschlüsselung von Webseiten (s.a. Zoom Whitepaper zur Verschlüsselung von Meetings: https://zoom.us/docs/doc/Zoom%20Encryption%20Whitepaper.pdf)
  • Verbesserung der Verschlüsselungs-Technologie: Umstellung auf Verschlüsselung auf „AES 256bit GCM“, ab 30.5.2020 verpflichtend
  • Entfernung des Aufmerksamkeits-Trackers
  • Lücken bei MAC-Betriebssystemen (Installer und andere): aktualisierte Version des MAC-Clients: https://support.zoom.us/hc/en-us/articles/201361963-New-Updates-for-macOS 
  • Behebung der UNC-Link-Lücke
  • Entfernung der LinkedIn Sales Navigator App. Von dieser gingen Datenweitergaben aus.
  • Ausschluss chinesischer Datencenter per default.

Alternativen

Eine leistungsfähige zentrale interne Webkonferenzinfrastruktur aufzubauen ist zeit- und ressourcenaufwändig. Ggf. muss hierzu auch eine externe Cloudinfrastruktur in Anspruch genommen werden.

Jitsi ist eine reine Videokonferenzsoftware und bietet keine Virtual Classroom-Funktionen wie z.B. Umfragen, Breakout Sessions oder nonverbale Signale. Dies kann demgegenüber Big Blue Button leisten. Es ist möglich, Big Blue Button auch dezentral zu installieren. Dies haben bereits einige Einrichtungen getan. Ohne Vorlauf und ohne Erfahrungen mit den Open Source-Systemen zu sammeln, ist es jedoch fast nicht möglich, in sehr kurzer Zeit eine leistungsfähige und performante Infrastruktur als alleiniges zentrales Angebot aufzubauen. Hierbei ist zu beachten, dass eine rein interne Lösung mit einer ähnlichen Auslastung, wie wir sie derzeit mit Zoom erleben, auch zu Lasten des allgemeinen Netzwerktraffics der RUB gehen würde.

Unternehmen, die Webkonferenz-Software betreiben und die in der Regel ihren Hauptfirmensitz in den USA haben, nutzen im Allgemeinen eine internationale Cloudinfrastruktur. Es ist aber möglich, um den Anforderungen der DSGVO gerecht zu werden, die Serverstandorte auf Länder zu begrenzen, die das erforderliche Datenschutzniveau haben. Dies ermöglichen in der Regel alle Anbieter, die ihr Produkt in Europa verkaufen, so auch Zoom oder LogMeIn (die Firma hinter GoToMeeting) und Webex. Zumeist haben diese Firmen auch eine Zertifizierung zur Datenübertragung von der EU in die USA (Datenschutzschild). In jedem Fall muss immer ein Auftragsdatenverarbeitungsvertrag abgeschlossen werden. Insofern sind die Grundvoraussetzungen bei anderen kommerziellen Anbietern dieselben wie bei Zoom.

 

Daten von Studierenden, die bei Zoom-Meetings verarbeitet werden

Studierende sind in der Regel Teilnehmende von Meetings. Im Allgemeinen ist die Teilnahme an einem Zoom-Meeting ohne Registrierung möglich. Hierbei werden folgende Daten gespeichert:

  • IP-Adresse + weitere Verkehrsdaten 
  • Name (Man muss aber nicht seinen Klarnamen eingeben).
  • Beiträge (Chat, Wortbeiträge, Videobild, oder Bildschirmfreigaben bzw. Whiteboardeingaben u.ä.)

Maximal werden die IP-Adresse und weitere Verkehrsdaten für eine bestimmte Zeit gespeichert.  Alle Beiträge, die man während eines Meetings macht, werden nicht dauerhaft auf den Zoom-Servern gespeichert.

Empfehlenswert kann es sein, wenn jemand aus unterschiedlichen Gründen nicht in der Lage ist an einer Zoom-Sitzung teilzunehmen, relevante Inhalte alternativ bereitzustellen, z.B. in Form von

  • Unterlagen im allg. Sinne
  • Ergebnisprotokollen
  • Aufzeichnungen der Sitzungen
  • voraufgezeichnete Inhalte.

Alternativ steht an der RUB weiterhin der momentan überlastete Dienst des DFN zur Verfügung; eine in Bezug auf die Performanz akzeptable Nutzung ist zu den Randzeiten möglich (https://www.conf.dfn.de/dfnconf-und-covid-19/).

 

Hilfe, Ressourcen

Derzeit werden für Lehrende von zentraler Seite Kurzeinführungen angeboten. Informationen für Studierende sind ebenfalls in Arbeit. Weitere Hinweise zur Nutzung finden sich auf den Seiten von IT.Services und des RUBeL-Teams im Zentrum für Wissenschaftsdidaktik:

IT.Services: https://www.it-services.ruhr-uni-bochum.de/bk/zoom.html.de

RUBeL: https://www.rubel.rub.de/content/webkonferenzen-mit-zoom

 

Nutzung der Desktop-App

Die Nutzung der Desktop-App wird empfohlen, da die Browserversion nicht alle Funktionen bereitstellt. Hierbei ist darauf zu achten, diese regelmäßig zu aktualisieren.

 

Weitere Informationen zur Sicherheit und zum Datenschutz bei Zoom:

Herr Stephan Hansen-Oest geht sehr detailliert auf alle Kritikpunkte an Zoom ein:

https://www.datenschutz-guru.de/zoom-ist-keine-datenschleuder/

Amit Serper, Zoom isn’t malware

https://medium.com/@0xamit/zoom-isnt-malware-ae01618e2046

Stellungnahme der E-Learning Strategiegruppe der österreichischen Pädagogischen Hochschulen (PHeLS) zur Empfehlung des Bundesministeriums für Bildung, Wissenschaft und Forschung zur Verwendung von Zoom an Pädagogischen Hochschulen:

https://www.phels.at/stellungnahme-zoom/ 

Zoom oder nicht Zoom

https://www.saferinternet.at/news-detail/zoom-oder-nicht-zoom/