Bitte benutzt kein Zoom!

Empfehlungen 1. April 2020

Update 03.05.2020: Dieser Artikel wurde am 01.04.2020 verfasst. Einige der beschriebenen Punkte wurden mittlerweile von Zoom Video Communications durch Updates korrigiert. Warum ich finde, dass man trotzdem kein Zoom verwenden sollte, habe ich hier beschrieben: Zoom - das Facebook der Videotelefonie

Durch die momentan anhaltende Pandemie und die dadurch verursachte Ausgangssperre sind so viele Menschen im Homeoffice wie noch nie zuvor. Zoom ist für viele Menschen momentan die Software der Wahl um Videokonferenzen für Meetings, Online-Workshops zum Nähen oder Gruppen Videoanrufe mit Freunden zu machen. Und dies zu Recht, denn es macht Spaß die Software benutzen: Zoom ist leicht zu bedienen, auf Mobilgeräten sowie Desktop-Betriebssystem verfügbar, kann Bildschirminhalte übertragen und erlaubt es kostenlos Konferenzen zu erstellen, die bis zu 40 Minuten dauern können. Außerdem gibt es einen Browser-Client und die Qualität des Videos und der Tonübertragung war meiner Erfahrung nach bisher immer gut bis sehr gut. All dies geht sogar ohne, dass man einen Zoom-Account erstellen muss.

Ist Zoom also etwa gute Software, die kostenlos einen hilfreichen Dienst anbietet?
Leider nicht, denn du bezahlst mit deinen Daten.

Die Firma Zoom Video Communications aus Kalifornien war schon einige Male mit negativen Schlagzeilen in den Nachrichten. Nachfolgend liste ich die mir zurzeit bekannten Probleme auf und erkläre diese jeweils kurz.

Letztes Jahr hörte ich zum ersten Mal von Zoom, als auf The Verge davon berichtet wurde, dass der macOS Client von Zoom ungefragt und ohne Hinweis einen Webserver installiert, welcher auch nach der Deinstallation von Zoom bestehen blieb. Dieser versteckte Webserver könne dann, so rechtfertige sich Zoom später, wenn man nach der Deinstallation von Zoom nochmal einen Zoom Link zugeschickt kriegt, die Zoom Anwendung ohne den Nutzer zu fragen reinstallieren. Dies berichtete Nicole Nguyen von BuzzFeed im Juli 2019 (Quelle).

Abgesehen davon, dass diese „Funktion“ nirgends wo dokumentiert wurde, ermöglichte sie noch eine viel schlimmere Sicherheitslücke:
Der versteckte Webserver konnte von Hackern genutzt werden, um im Hintergrund die Übertragung der Webcam anzuschalten. Da Zoom dazu die Stellung einnahm „It’s a feature, not a bug“ löste Apple das Problem mit einem Sicherheitsupdate für alle Macs, welches ohne die Nutzer zu fragen im Hintergrund installiert wurde. (Quelle)

Ein weiterer Kritikpunkt am macOS Client von Zoom ist die Art und Weise, wie die Software installiert wird. Dazu zuerst eine kurze Erklärung zu dem Aufbau von .pkg Dateien unter macOS: Eine .pkg Datei ist ein Installationspaket, welches einfach ausgedrückt aus drei Teilen besteht: einem preinstall, install und postinstall Skript. Nachdem man während des Installationsprozesses das erste Mal auf Fortfahren drückt, wird das preinstall Skript ausgeführt. Dieses wird oft dazu genutzt um zu bestimmen, ob die gewünschte Software auf dem aktuellen System installiert werden kann. Auf der nächsten Seite sieht man dann, welche Dateien das Installationspaket an welche Orte des Computers während dem install Prozess installieren wird, solang man mit der Installation fortfährt.
Der Nutzer kccqzy beschriebt auf der Nachrichtenseite Hacker News, dass die gesamte Installation der Zoom App im preinstall Skript stattfindet. Dies führt dazu, das im Gegensatz zu einer normalen Installation nicht angezeigt wird, was genau das Installationspaket macht. Auch wenn dieser Kritikpunkt nicht so gravierend ist, wie die ungefragte Installation eines Webservers, ist es meiner Meinung nach eine unkorrekte Vorgehensweise.

Joseph Cox von Motherboard schrieb letzte Woche in einem Artikel, dass die Zoom iOS App Nutzerdaten an Facebook sendet: (Zitat sinngemäß übersetzt)

Die Zoom-App benachrichtigt Facebook, wenn der Nutzer die App öffnet, und berichtet dabei Details über das Gerät des Nutzers wie das Modell, die Zeitzone und die Stadt, von der aus die Verbindung hergestellt wird, den Telefonanbieter, den sie verwenden, und eine eindeutige, vom Gerät des Nutzers erstellte Identifizierung, die Unternehmen verwenden können, um einen Nutzer mit Werbung anzusprechen.

Dies passiert auch, wenn man sich nicht mit seinem Facebook Profil anmeldet oder sogar noch nicht mal ein Facebook Profil besitzt. Dazu kommt, dass dieser Verkehr von Daten von Zoom zu Facebook nicht in Ihrer Datenschutzerklärung erwähnt wird. Theoretisch könnte Facebook also alleine mit diesen Daten den groben Standort einer Person ohne Facebook Profil zuverlässig über die ganze Welt tracken.

Da es illegal ist, einen solchen Austausch an personenbezogenen Daten geheim an Dritt-Firmen weiterzugeben (also zu verkaufen), hat Zoom innerhalb eines Tages ein Update für die App herausgebracht, welches diesen Verkehr einstellt. (Quelle) Natürlich ist ein solches, schnelles Update ein positiver Aspekt, jedoch fühlt es sich für mich eher wie ein Erwischt-werden an und die darauffolgende schnelle Schadensbegrenzung.

Für Zoom ist hierbei jedoch nur das Problem, dass sie diesen Verkehr zu Facebook nicht beschrieben haben. Personenbezogene Daten aus Werbezwecken mit Dritt-Firmen zu teilen mache man um „dein Erlebnis zu verbessern”, schreibt die Firma in ihrer Datenschutzerklärung. Diese Information habe ich zuerst auf Twitter von David Heinemeier Hansson (@DHH) gesehen.

Als ich beim Schreiben dieses Artikels eine Quelle suchte, bin ich auf ein weiteres Datenschutz Problem von Zoom gestoßen:
Anscheinend ist „zoom-bombing“ zu einem Trend geworden. Indem man die zehnstellige numerische Zoom-ID errät, kommt man ohne Passwort in viele Meetings. Standardmäßig erstellt Zoom Meetings ohne Passwort, sodass man davon ausgehen kann, dass der Großteil aller Zoom Meetings für jede Person zugänglich ist.
Elizabeth Redden von Inside Higher Ed schreibt, dass unter anderem Online-Klassen durch rassistische oder pornografische Inhalte gestört wurden. Dieses Problem ist schlichtweg das Ergebnis einer schlechten Implementierung und nicht eine absichtliche, bösartige Einstellung um zum Beispiel mehr Nutzerdaten zu sammeln und zu verkaufen. Eine zehnstellige numerische Identifikationsnummer beinhaltet exakt eine Milliarde verschiedene Möglichkeiten für die Zoom Meeting Identifikationsnummer. Da zurzeit extrem viele Zoom-Konferenzen mit der zehnstelligen Nummer abgedeckt werden, steigt die Wahrscheinlichkeit ein Meeting zu treffen, wenn man sich wenige Minuten hinsetzt und ein paar Nummern ausprobiert. Dieses Problem könnte jedoch sehr einfach gelöst werden, indem man anstatt einer Nummer, welche nur aus Zahlen besteht, Buchstaben hinzunimmt. Eine solche alphanumerische Identifikationsnummer hätte mit zehn Stellen dann 3.656.158.440.062.976 verschiedene Möglichkeiten. Durch Raten der ID in ein bestehendes Meeting zu kommen wäre dadurch extrem unrealistisch. Außerdem sollte es Standard sein, dass Meetings mit einem Passwort erstellt werden.

Ein weiteres Datenschutz Problem ist, dass Zoom ungefragt deine E-Mail-Adresse und dein Foto anderen Personen anzeigt, die sich mit einer E-Mail-Adresse anmelden, die (vermeintlich) zur gleichen Firma gehört (Quelle). Dies muss nicht immer bedeuten, dass du die Menschen zwingend kennst. Ein Leser schrieb an Motherboard, dass er die E-Mail-Adressen und Fotos von 995 Unbekannten sehen konnte und dies scheint kein Einzelfall gewesen zu sein. Hier wurde Personen, welche eine E-Mail-Adresse bei einem kleineren Anbieter (also nicht @gmail.com, @web.de o. Ä.) erstellt haben, unbekannte Personen angezeigt, welche eine E-Mail-Adresse beim gleichen Anbieter erstellt haben.

Außerdem wirbt Zoom mit Features, welche schlichtweg gelogen sind. Micah Lee und Yael Grauer von The Intercept beschreiben, dass Zoom auf ihrer Website und sogar in einem Sicherheits-Whitepaper damit wirbt, Meetings mit Ende-zu-Ende Verschlüsselung versehen zu können. Tatsächlich handelt es sich aber bei dieser "Ende-zu-Ende Verschlüsselung" gar nicht um eine Ende-zu-Ende Verschlüsselung, sondern nur um eine Transportverschlüsselung. Im Gegensatz zu der Ende-zu-Ende Verschlüsselung, kann die Firma Zoom Video Communications also selbst auf die unverschlüsselten Video- und Audioinhalte von Zoom-Meetings auf ihren eigenen Servern zugreifen.

Aus den beschrieben Gründen rate ich deswegen, die Software einer solchen Firma, falls möglich, zu meiden. Über Alternativen werde ich mich in der nächsten Zeit informieren. Falls du dafür Software Vorschläge oder konstruktive Kritik an diesem Artikel hast, schreib gerne eine E-Mail an georg@iosapps.de.

Georg Röhl

Informatik Student und User-Interface Designer aus Aachen. Mich begeistern zukunftsweisende Technologien, Mensch-Maschine-Interaktion und Smart Homes.

Großartig! Das Abonnement wurde erfolgreich abgeschlossen.
Großartig! Schließe als Nächstes die Kaufabwicklung ab, um vollen Zugriff zu erhalten.
Willkommen zurück! Du hast dich erfolgreich angemeldet.
Erfolg! Dein Konto ist vollständig aktiviert, du hast jetzt Zugang zu allen Inhalten.