Zoom ist ein echtes Datenschutz-Debakel
Manche Leute meinen ja derzeit, dass der Datenschutz in Zeiten der Corona-Krise überdacht werden muss. Vielleicht nochmal drüber nachdenken. Denn der Fall der boomenden Video-Conferencing-Software Zoom führt derzeit vor, wie mit sensiblen Nutzerdaten besser nicht umgegangen werden sollte – schon gar nicht von einem Unternehmen, dessen Börsenwert derzeit durch die starke Nachfrage geradezu explodiert.
Weil die Nutzung von Zoom durch die Corona-Krise derzeit durch die Decke geht und zum Quasi-Standard für virtuelle Meetings wurde, haben sich auch Sicherheitsforscher die Software genauer angesehen. Und derzeit gibt es fast im Stundenrhythmus neue Meldungen über Security-Lücken, fragwürdige Datentransfers und Tracking-Praktiken. Hier ein Überblick, damit man sich mal ein Bild machen kann:
- Zoom-Calls bieten keine Ende-zu-Ende-Verschlüsselung, obwohl die Software so vermarktet wird. Andere Video-Call-Tools bieten solche Sicherheitstechnologien sehr wohl, um etwa den Inhalt eines Gesprächs vor Lauschangriffen zu schützen (mehr dazu hier)
- Die iOS-App von Zoom hat Daten wie Zeitzone, Informationen zum Gerät oder Aufenthaltsort an Facebook gesendet, auch wenn der Nutzer gar keinen Facebook-Account hat. Zoom hat den verbauten Facebook-Code bereits entfernt. Allerdings hat dieses Weiterleiten von Daten an Facebook bereits eine Sammelklage und eine Untersuchung des New Yorker Staatsanwalts nach sich gezogen (mehr dazu hier)
- Zoom hat mit einem Trick einen versteckten Web-Server auf Mac-Computern installiert, der verhindert hat, dass die Software wieder deinstalliert werden konnte. Apple musste deswegen bereits einschreiten und ein Sicherheits-Update pushen, um die Praxis zu verhindern (mehr dazu hier)
- Zoom verwendet laut einem Sicherheitsforscher eine Technik, die es der Software erlaubt, sich ohne Bestätigung des Nutzers auf einem Mac-Computer zu installieren. Der selbe Trick würde von Malware verwendet werden, um sich auf Computer zu schummeln (mehr dazu hier)
- Eine Schwachstelle des Windows-Clients ermöglicht es potenziellen Angreifern, Login-Daten abzusaugen (mehr dazu hier)
- Zoom erlaubt es den Hosts von Calls (z.B. dem Chef) per so genanntem „Attention Tracking„, dass er sieht, ob ein Teilnehmer dem Call gerade aufmerksam folgt. Außerdem gibt es für Administratoren detaillierte Auswertungen, wie andere Nutzer (z.B. Mitarbeiter) Zoom verwenden (mehr dazu hier)
- Zoom verrät die E-Mail-Adressen und Fotos von einigen tausend Nutzern an Fremde, weil ihre Accounts so behandelt würden, als wären sie bei der gleichen Firma (mehr dazu hier)
Zoom hat vor einigen Tagen bereits seine Privacy Policy aktualisiert und beteuert, dass man keine Daten an Dritte verkaufen und auch nicht die Inhalte der Calls überwachen würde. Dem Vertrauen in die Software dürften die ständigen neuen Enthüllungen jedoch nicht sein. Nutzer, die sich um den Schutz ihrer eigenen Daten kümmern, sollten auf Alternativen zu Zoom ausweichen.
Zoom will bei Datenschutz für seine 200 Millionen Nutzer (!) nachbessern