Gegen 'Zoombombing': Meeting-Tool Zoom aktiviert Passwörter und Warteräume
Die Videokonferenz-Software Zoom erhält ab sofort Passwortschutz für Meetings. Teilnehmer müssen außerdem im virtuellen Warteraum Platz nehmen.
Die Videokonferenzsoftware Zoom erfreut sich wegen des derzeit massenhaft praktizierten Arbeitens von Zuhause aus enormer Beliebtheit. Leider kamen nicht nur bei näherer Betrachtung des Tools Bedenken wegen fragwürdiger Sicherheit auf, sondern die Ziffernfolge einer Zoom-Konferenz (Meeting-ID) lässt sich relativ leicht erraten. Letzteres nutzen Unbeteiligte, um sich in Meetings anderer Leute einzuschalten und teils unerwünschte oder abstoßende Inhalte beizusteuern – das Phänomen erhielt die Bezeichnung "Zoombombing". Dagegen will der Hersteller der Software, Zoom Video, nun Maßnahmen ergreifen.
Passwörter obligatorisch, Warteraum eingeschaltet
Ab Sonntag, den 5. April, kann ein Benutzer einer Konferenz mit bekannter Meeting-ID nur noch beitreten, wenn er ein Passwort eingibt. Das teilt das Unternehmen den Zoom-Benutzern in einer E-Mail mit, berichtet Techcrunch. Damit dürften unerwünschte Teilnehmer außen vor bleiben, die die Meeting-ID geraten haben. Das Passwort soll bei im Voraus geplanten Meetings in der Einladung mitgeteilt werden, bei spontan angesetzten Konferenzen soll es im Zoom-Client angezeigt werden. Außerdem soll im gleichen Schritt auch der virtuelle Warteraum (Waiting room) standardmäßig aktiviert werden. Der Moderator eines Meetings fügt darüber Teilnehmer manuell hinzu.
Zoom war jüngst wegen fragwürdiger Sicherheitsfeatures in die Kritik geraten. Unter anderem ging es dabei um eine ungewöhnliche Auslegung des Begriffs Ende-zu-Ende-Verschlüsselung: Diese ist offenbar lediglich bei Text-Chats zwischen den Endpunkten der Teilnehmer aktiv, in anderen Fällen (also bei den zumeist genutzten Audio- und Videokonferenzen) ist die Kommunikation nicht zwischen den Endpunkten verschlüsselt, sondern nur jeweils zwischen einem Endpunkt und dem Zoom-Server sowie zwischen dem Zoom-Server und dem zweiten Endpunkt. Außerdem soll bei Audio- und Videokonferenzen lediglich Transportverschlüsselung per TLS aktiv sein.
Routing zeitweise über China
Diese Situation öffnet theoretisch dem Mitschneiden der Datenströme durch Fremde Tür und Tor. In diesem Zusammenhang ist ein Geständnis von Zoom Video pikant: Wie das Unternehmen in einem Blogbeitrag mitteilt, wurden ab Februar in einigen Fällen Zoom-Konferenzen ungewollt über Server in China geleitet. Im Zuge der steigenden Nachfrage nach der Software nahm der Hersteller zahlreiche neue Server in Betrieb, um genügend Kapazität bereitstellen zu können, etliche davon in China.
Dabei wurde bei einer Konfigurationsänderung irrtümlich das Geofencing umgangen, das sicherstellen soll, dass nur Zoom-Server in der Region des Teilnehmers verwendet werden. Mehrere Server in China wurden jedoch als Fall-back für Konferenzen genutzt, die gar nicht in China stattfanden. Am 3. April änderte das Unternehmen das Routing wieder. Die Variante von Zoom für politische Institutionen (Zoom for Government) soll hiervon nicht betroffen gewesen sein. Das Unternehmen verweist in dem Blogbeitrag vorsorglich darauf, dass "mehrstufige Sicherungen, widerstandsfähiger Cybersecurity-Schutz und interne Kontrollen" unabhängig vom Routing einen unautorisierten Datenzugriff verhindern würden.
Videoaufzeichnungen durch Nutzer offen im Netz
Wie sich außerdem herausgestellt hat, sind nicht nur die Meeting-IDs so gleichförmig, dass sie sich erraten lassen: Das Gleiche gilt auch für die Benennung von Videoaufzeichnungen der Konferenzen. Wie die Washington Post ermittelt hat, stellen offenbar zahlreiche Zoom-Nutzer die Aufzeichnungen ihrer Konferenzen offen ins Internet, meistens in eine Cloud – in der Annahme, dass sie sich dort nicht auffinden lassen. Die Washington Post hat jedoch das Namensschema untersucht und konnte über eine auf Online-Cloud-Speicher spezialisierte Suchmaschine durch Erraten des Namens auf tausende solcher Videos zugreifen. Darin finden sich teils höchst vertrauliche Inhalte und private Daten, etwa aufgezeichnete Therapiesitzungen oder Namen und Telefonnummern von Beteiligten.
Videoaufzeichnungen in Zoom müssen von den Nutzern manuell aktiviert werden. Die geschilderten Fundstücke betreffen auch nicht die Aufzeichnungen, die auf den Zoom-Servern abgelegt werden, sondern nur die Fälle, in denen Nutzer eine Aufzeichnung selbst ins Netz gestellt und dabei auf Passwortschutz und andere Sicherungsmaßnahmen verzichtetet haben; der Software Zoom kann man dieses Nutzerverhalten nicht vorwerfen. (tiw)