Kommentar: "Warum prügelt ihr alle auf Zoom ein?"
Jürgen Schmidt, Leiter von heise Security, plädiert für eine Schonfrist für Zoom.
(Bild: Shunevych Serhii / Shutterstock.com)
Zoom-Bashing ist voll im Trend, da mag auch der Bundesdatenschutzbeauftragte nicht zurückstehen und warnt vor der fehlenden Ende-zu-Ende-Verschlüsselung. Die hat auch keiner der Konkurrenten – im Gegenteil: Der Newcomer auf der großen IT-Bühne ist unsere beste und vielleicht einzige Chance, in absehbarer Zeit diese geforderte echte Ende-zu-Ende-Verschlüsselung für Videokonferenzen zu bekommen. Denn keiner der Konkurrenten zeigt auch nur ansatzweise Interesse daran, seine Angebote mit diesem essenziellen Schutz auszustatten.
Gegen die allgegenwärtige Überwachung
Man kann die Bedeutung von echter Ende-zu-Ende-Verschlüsselung (E2E) gar nicht stark genug betonen. Es ist keine Vermutung, sondern eine bewiesene Tatsache, dass ungeschützte Kommunikationsinhalte von allen möglichen Akteuren als frei verfügbarer Datenschatz gesehen und auch genutzt werden. Vor allem Strafverfolger, Geheimdienste und Werbe-Industrie sind regelrecht scharf darauf, sich da möglichst ungehindert bedienen zu können.
Wenn wir in absehbarer Zukunft immer mehr unserer Kommunikation übers Internet abwickeln werden, müssen wir diesen Begehrlichkeiten einen Riegel vorschieben. Und der einzig funktionierende Riegel ist eine echte Ende-zu-Ende-Verschlüsselung mit den relevanten Schlüsseln unter Kontrolle der Benutzer.
Umdenken bei Security
Ich weiß, ich weiß: Zoom hat eine beeindruckende Serie von richtig heftigen Security- und Privacy-Fails hingelegt. Da gibt es nichts schönzureden. Die beiden Themen standen definitiv nicht weit genug oben auf der Agenda des Startups. Stattdessen hat man sich fast ausschließlich auf Funktion und Benutzerfreundlichkeit konzentriert.
Man muss zugeben, dass sie da wirklich Beeindruckendes vollbracht haben. Ich habe in den letzten Monaten so ziemlich alle Videokonferenz-Plattformen ausprobieren dürfen. Und das Gesamterlebnis war aus meiner Sicht bei Zoom das Beste. Aber das ist nicht der Grund für dieses Plädoyer. Denn ohne Security und vernünftigen Datenschutz ist das alles tatsächlich nicht viel wert.
Doch Zoom hat in diesen Bereichen deutliche Signale für ein grundsätzliches Umdenken gezeigt. Das wichtigste: Sie haben eine ganze Reihe von Krypto- und Privacy-Experten der obersten Liga angeheuert. Also Leute, die erwiesenermaßen das Zeug dazu haben, wirkungsvolle Konzepte zu erarbeiten und auch umzusetzen. Und die haben jetzt eine recht konkrete und durchaus überzeugende Roadmap vorgelegt, wie sie Zooms Videoconferencing mit echter Ende-zu-Ende-Verschlüsselung ausstatten werden.
Give 'em a break
Das könnte tatsächlich funktionieren. Klar ist das keine Garantie, dass sie das auch tatsächlich umsetzen dürfen und die Firmenleitung nicht doch noch einknickt. Etwa wenn Politiker und Strafverfolger das bekannte Going-Dark-Gejammer anstimmen und nachdrücklich den staatlichen Zugriff auf alle Kommunikationsinhalte einfordern, weil sie sonst angeblich keine Kinderschänder und Terroristen dingfest machen können. Da muss Zoom dann Rückgrat beweisen. Denn mit Versprechen ist es nicht getan – Zoom muss bei Security und Privacy auch tatsächlich liefern.
Microsoft, Google & Co werden Ende-zu-Ende-Verschlüsselung jedenfalls garantiert nicht einführen. Zoom hingegen könnte sich damit sehr wirkungsvoll von den Datenkraken abheben. Das ist, soweit ich das sehe, aktuell unsere einzige Chance auf massentaugliche Ende-zu-Ende-Verschlüsselung für Videokonferenzen. Also bitte: Gebt ihnen ein wenig Zeit, uns zu beweisen, dass sie es ernst meinen – oder sich endgültig zu disqualifizieren.
^1 Nachtrag: Mir ist bewusst, dass Jitsi ebenfalls an E2E arbeitet und als Open-Source-Lösung eine ganze Reihe von Vorzügen gegenüber Zoom hat. Das ist sehr wichtig und begrüßenswert; wer das nutzen kann, sollte es tun. Schon weil die Metadaten, wer wann mit wem spricht, nicht bei einem großen Monopol-Anbieter auflaufen. Aber erstens ist noch nicht absehbar, wann Jitsi E2E ausreichend solide umsetzen kann. Und zweitens ist Jitsi in vielen Szenarien noch keine praktikable Alternative. Die Entscheidung fällt da eher zwischen Angeboten wie Zoom, Skype, Teams, Meet und Goto.
Update 3.6.2020: Ciscos WebEx unterstützt bereits E2E für Business-Kunden. Immerhin rund 15 Prozent alle WebEx-Videokonferenzen würden diesen Schutz bereits nutzen, erklärte Ilja Freund von Cisco gegenüber heise online. Meiner persönlichen Erfahrung entspricht das nicht. Von meinen zahlreichen WebEx-Meetings waren exakt 0 mit E2E-Verschlüsselung gesichert, weshalb ich es nicht aufgeführt hatte. Aber vielleicht irre ich mich da ja. Wie sieht das bei Ihnen aus? Nutzen Sie E2E in WebEx aktiv?
(ju)
