Update – 06.05.2020: Schärfung einige Passagen zu ECB und GCM Verschlüsselung

Vielen Dank für die hohe Aufmerksamkeit und das viele Feedback auf meinen Artikel zu Zoom’s Sicherheitsthemen. Wie ich in diesem Artikel dargestellt hatte, ging es aktuell am Ende nur noch um ein noch nicht erledigtes wichtiges Thema bei Zoom: Die schwache Verschlüsselung.

Heute war es soweit und die Version 5.0 von Zoom wurde veröffentlicht. Viele Neuerungen gab es hier. Vor allem aber eine neue Verschlüsselung mit AES-256-ECB. Wie angekündigt handelt es sich zunächst einmal um eine Übergangslösung, die dann später von einem noch besseren Algorithmus (GCM) abgelöst werden soll.

Exakt bedeutet dies Folgendes: Ursprünglich wurde die schwache Verschlüsselung der Videoübertragung von Zoom zurecht bemängelt. Es wurde lediglich der AES-128-ECB Standard verwendet. Nun hat Zoom auf AES-256-ECB umgestellt. Dies bedeutet, dass für die Verschlüsselung ein doppelt so langer Schlüssel verwendet wird. Das Problem mit dem ECB bleibt jedoch. (Details finden sich hier).  So sind Videobilder die mit diesem Standard verschlüsselt werden, leicht reproduzierbar. Dies bedeutet, dass weiterhin die Videoübertragung einfach erkennbar bleibt, d.h. bei der Übertragung von wichtigen PPT Präsentation kann ein Risiko bestehen, dass diese lesbar sind. (Danke an Robert Schaffar-Taurok für den Hinweis). Inwieweit hier ein längerer Schlüssel einen Unterschied macht, konnte ich leider nicht in Erfahrung bringen. Version 5.0 von Zoom kann bereits das bessere Verfahren AES-256-GCM. Doch stellt ZOOM erst am 30.05.2020 flächendeckend für alle User auf dieses System um. Ab diesem Tag sollten auch die Übertragungen von Präsentationen so sicher verschlüsselt sein, dass hier kein Risiko mehr besteht. (06.05.2020)

Alles in Allem wurden viele neue, auch sichtbare Features in Zoom integriert, die man bei Wettbewerbern häufig vermisst. Einige davon will ich hier etwas tiefer vorstellen.

Überblick über die aktuelle Verschlüsselung und Routing

So gibt es in den Einstellungen eine Übersicht über die Übertragungsstatistiken, die neben der Verschlüsselung auch anzeigt, über welches Datencenter das Meeting läuft.

Während eines Meetings erreicht man diese Übersicht sehr schnell und einfach durch einen Klick auf das „Schild-Symbol“ oben links:

Einstellung der weltweiten Datacenter

Die Einstellung der Datencenter und damit die Möglichkeit zu entscheiden, über welche Länder das Meeting vermittelt wird, kann auf zweierlei Weise erfolgen:

  1. Generell lassen sich in den Administratoren-Einstellungen die Datacenter vorbestimmen. Diese finden sich unter Settings > In Meeting (Advanced):
    Hier kann man (siehe oben), zwischen allen Datacentern standardmäßig wählen. Es besteht somit die Möglichkeit, die Vermittlung auf rein europäische Datacenter zu beschränken, was gerade für europäische Unternehmen von Bedeutung sein könnte. Nur das Datacenter, dem der Account zugeordnet ist, ist immer mit von der Partie (in diesem Beispiel USA). Auch kann man hier andere Sicherheitseinstellungen, wie Warteräume für alle Nutzer voreinstellen.
  2. Bei jeder einzelnen Einladung eines geplanten Meeting kann man dann weitere Datacenter zuschalten und so individuell pro Meeting entscheiden. Dies ist dann wichtig, wenn Gespräche in andere Regionen geführt werden (z.B. Asien). Die Einstellungen hierzu finden sich in den erweiterten Einstellungen bei der Meetingplanung:


    Hier lassen sich auch weitere Sicherheitseinstellungen je Meeting einstellen (Standards und Erlaubnis in den Admin Settings), wie z.B. den Warteraum, die Erlaubnis, vor dem Initiator den Meetingraum zu betreten oder als nicht registrierter Nutzer am Meeting teilzunehmen.

Sicherheitsmenü im Meeting

Viele der weiteren Sicherheitseinstellungen sind nun sehr übersichtlich im Sicherheitsmenü in der unteren Menüleiste gebündelt und prominent auffindbar:

Hinter diesem Button verbergen sich die wichtigsten Sicherheitseinstellungen, die für den Moderator von Bedeutung sind:

  • Lock Meeting: Hier kann das Meeting für weitere Teilnehmer gesperrt werden. So kann sichergestellt werden, dass nur die Teilnehmer, die aktuell im Meeting sind, am Meeting teilnehmen. Weitere Teilnehmer können das Meeting nicht mehr betreten, auch wenn sie die Meeting-ID und das Passwort haben.
  • Enable Waiting Room: Hier kann der Warteraum an- und ausgeschaltet werden. Ist er eingeschaltet, wo werden neue Teilnehmer, die sich einwählen, zunächst in diesem Warteraum „geparkt“. Sie können den Meetingraum nicht betreten. Dies ist dann hilfreich, wenn man verhindern will, dass Teilnehmer in ein Meeting einfach „hereinplatzen“. Dies passiert natürlich aber auch dann, wenn Teilnehmer z.B. versehentlich den Raum kurz verlassen und dann wieder zurückwollen. Dies kann ein Nachteil sein, wenn der Moderator unachtsam ist. Dann können Teilnehmer ausgesperrt bleiben. Zoom macht es ihm aber leichter, indem durch einen orangenen Farbcode wartende Teilnehmer signalisiert werden. Eine andere nützliche Anwendungssituation ist der Warteraum, wenn man mehrer Teilnehmer einzeln „bearbeiten“ möchte, aber nur ein Meeting mit einer Meeting ID nutzen möchte. Dies kann z.B: für Coachings oder Tagessprechstunden hilfreich sein.
  • Allow participants to: Share Screen:  Ist diese Funktion aktiviert, kann nicht nur der Moderator, sondern auch die Teilnehmer ihren Bildschirm teilen. Möchte man mehr Sicherheit, schaltet man diese Funktion aus. Arbeitet man mit Breakout Rooms, in denen die Teilnehmer auch gemeinsam jeweils an geteilten Bildschirmen arbeiten sollen, schaltet man diese Funktion (ggf. temporär) ein.
  • Allow participants to: Chat: Diese Funktion erlaubt die Steuerung des Chats. wird die Funktion hier ausgeschaltet, können die Teilnehmer nicht mehr Chatten. Dies entspricht der Einstellung „No Chat“ im Menü des Chatfensters, wo auch weitere differenziertere Möglichkeiten der Steuerung des Chats möglich sind.
  • Allow participants to: Rename Themselves: Teilnehmer können beliebig jederzeit ihren Namen und ihr Profilbild während eines Meetings in der Teilnehmerliste ändern.

    Diese Möglichkeit der Änderung kann durch die Sicherheitseinstellung verhindert werden.

Ein weiteres sinnvolles Feature ist die Möglichkeit, verdächtige unerwünschte Nutzer oder Hacker während eines Meetings an Zoom zu melden. Im Security Button ist dies möglich. Die Person wird dann an das „Zoom Trust und Security“-Team gemeldet, das ggf. Missbrauch der Plattform weiterverfolgt und den Nutzer ggf. blockiert.

Es gibt zahlreiche weitere sichtbare Neuerungen und auch Weiterentwicklungen „unter der Haube“, die alle in den Release-Notes zu Zoom 5.0 zusammengeführt sind. Wichtige Neuerungen gibts auch als Zusammenfassung auf einem Zoom Blogpost.

Es wird sehr deutlich, wie wichtig es dem Firmengründer Eric Yuan ist, Vertrauen bei seinen Kunden wiederzugewinnen. Die Privatuser haben ihm weltweit auf breiter Front trotz der bisherigen Mängel aufgrund der Nutzerfreundlichkeit und Performance der Software die Treue gehalten. Doch Unternehmenskunden erwarten mehr: Nämlich Sicherheit und eine vertrauensvollen Partner. Gerade Unternehmen in Europa haben Zoom mit Verboten durch viele IT-Abteilungen bestraft. Durch diese neue Version hoffe ich zumindest ab 30. Mai 2020 auf eine Neubewertung durch die IT- und Datenschutz-Abteilungen. Auch wenn sicherlich noch viel Arbeit in Sachen Wiedergewinnung des Vertrauens gerade im DACH Umfeld zu leisten ist, hoffe ich, dass CIO’s und Datenschutzbeauftragte der Software noch eine Chance geben. Wenn nicht als Haupttool für das gesamte Unternehmen, dann zumindest die Freigabe für die Nutzung durch externe Dienstleister.

Wer mehr Ideen für die virtuelle Arbeit online haben will, sollte sich bei unserem Newsletter anmelden oder in den kommenden Tagen und Wochen regelmäßig auf unserem Blog vorbeischauen. Wir haben schon einiges geplant…