COVID-19-Krisengedanken (1): Der Fall „ZOOM“

Zoom Communication xm-institute Oliver MackUpdate: 27.04.2020 :ZOOM 5.0 ist da… meine Gedanken habe ich hier in einem separaten Blogpost zusammengefasst

Update: 23.04.2020: Erste Pressestimmen zu 5.0 eingefügt

Update: 22.04.2020: Neue Entwicklungen und Informationen eingearbeitet, Zoom 5.0 Update

Update 8.4.2020: Disclaimer, dass es sich hier um einen Kommentar eines technisch interessierten und versierten Management-Beraters und nicht um den Fachartikel eines Datenschutzexperten handelt!)

– Weitere Update-History siehe am Ende des Artikels

Versuch einer Faktensammlung und Ideen für Entscheider

Heute geht es um ein Thema, das uns als Berater als 2. Runde in der Coronakrise trifft: Der Zoom Privacy “Skandal”. In der 1. Runde mussten viele Unternehmen aufgrund der Krise Workshops stornieren oder auf unbestimmte Zeit verschieben, was einigen Einzelberatern und Freelancern bereits hinsichtlich ihrer Liquidität große Sorgen bereitete. Einige technisch versierte Berater haben sich dann in agiler Art und Weise Konzepte und Ansätze überlegt, wie sich doch der eine oder andere Workshop oder das eine oder andere Training virtuell abhalten lässt. Grundlage hierfür ist häufig der Shooting-Star unter den Videokonferenz-Systemen: “Zoom” Börsenliebling und meiner Meinung nach aktuell einfachstes und hilfreichstes Tool auf dem Markt. Doch nun grift die Angstwelle (zumindest) in deutschsprachigen Unternehmen um sich und Zoom wird aktuell umgehend aus der Anwendung aller Mitarbeiter verbannt. Für Berater ein neues Problem, da Elemente, wie Breakout-Rooms, die in Online LD-Programmen sehr wichtig sind, so einfach und schnell nicht in anderen Tools abbildbar sind. Losgelöst der Einzelschicksale in der Beraterzunft (zu der ich auch gehöre), wollte ich mir ein aktuelles Bild über die Lage machen und dieses nun auch hier einmal für andere Teilen. Es handelt sich damit weniger um eine Expertenanalyse eines Datenschutzexperten, die ohne weitere Analysen zu einer Entscheidung führen soll, sondern vielmehr um meine persönliche Meinung und Recherche als „technischer Laie“ zu diesem Thema.

Der Umgang mit dem Dilemma

Aktuell erlebe ich zwei Vorgehensweisen in Unternehmen, mit Zoom umzugehen:

  1. Sofortiges Verbot der Nutzung von Zoom bei allen Mitarbeitern. Kein Mitarbeiter darf zu keiner Zeit mehr Zoom öffnen, nutzen oder den Client auf seinem Rechner haben. Ports werden gesperrt und IT Systeme so eingerichtet, dass dies verhindert wird.
  2. Projekte, die Zoom als unternehmenweite Plattform für Videoconferencing einführen sollen, werden gestoppt oder on hold gesetzt. Die interne und die Kommunikation von Innen nach Außen läuft nicht mehr über Zoom. Eine Nutzung von Zoom in nicht hochvertrauliche Bereichen ist weiter erlaubt, bis die Lage geklärt ist.  

Am Ende des Artikels möchte ich auf Basis der Faktenlage dann eine Einschätzung hierzu abgeben. 

Die aktuellen Privacy und Security Diskussionen zu Zoom

Doch zunächst der Versuch für ein wenig fact finding:  Bei der aktuellen Zoom Diskussion höre ich aus den Unternehmen aktuell 2 Grundlagen, auf denen die Entscheidungen getroffen werden:

  1. “Motherboard’s Facebook Phone Home Scandal”
  2. End-2-End Verschlüsselung
  3. Unberechtigtes Eindringen in Zoom-Calls (Zoom-Bombing)
  4. Untersuchung der New Yorker Staatsanwaltschaft zu Privacy
  5. LinkedIn Sales Navigator Information
  6. „Root“ Installation (ergänzt am 8.4.2020)
  7. Code Injection (ergänzt am 8.4.2020)
  8. Schwache Verschlüsselung, Warteraum-Problem und China-Rounting (ergänzt am 22.4.2020)
  9. „Datenleck“ und Zoom-Passwörter im Darknet (ergänzt am 22.04.2020)
  10. Weitere aktuelle und zukünftige Sicherheitsbedenken und Gedanken (aktualisiert am 8.4.2020)

Allen möchte ich im folgenden ein wenig genauer auf den Grund gehen:

1. Motherboard’s Zoom – Facebook – Scandal

Am 26.03.2020 erschien ein Artikel auf “motherboard by vice” der folgendes Thema enthüllte: Die Zoom iOS App schickt Daten an Facebook. Geht man etwas tiefer ergeben sich aus meiner Sicht folgende Fakten und Kritikpunkte:

  1. Es wurden beim Download und Öffnen der App folgende Daten an Facebook gesendet: 
    • Art des Nutzer-Devices (Tablet, Apple iPhone, Samsung Galaxy, etc.)
    • Zeitzone und Stadt in der man sich befindet
    • Telefongesellschaft, die man nutzt
    • Unique Advertiser Identifier (Anonyme Nummer, die zum Werbetracking verwendet werden kann)
  2. Zoom hat dies nicht in seiner Datenschutzerklärung angegeben

Ursache für 1. war, dass die Funktion “Login with Facebook” in die iOS Version eingebaut war. Diese sendet die Daten standardmäßig an Facebook. Es wurden jedoch nie Gesprächs- oder inhaltlichen Informationen aus den Meetings an Facebook weitergegeben. Zoom müsste auf diese Übertragung in den Datenschutzrichtilien hinweisen, hat es allerdings nicht getan. 

In der Zwischenzeit hat Zoom innerhalb von 3 Tagen gehandelt und den Fehler behoben (29.03.2020) (Quelle: Zoom Blog)

Zwischen-Bewertung

  • Man kann also Zoom hier ein bürokratisches Versagen vorwerfen, da die Information nicht in den Datenschutzrichtlinien veröffentlicht wurde.
  • Es handelte sich nur um iOS Geräte, keine Desktop Geräte. 
  • Meeting-Inhalte waren zu keinem Zeitpunkt betroffen.
  • Der “Fehler” ist sofort behoben worden und somit nicht mehr vorhanden.

2. End-2-End-Verschlüsselung

Zoom wirbt bei seiner Software mit einer end-2-end Verschlüsselung seiner Calls. Ende März veröffentlichen verschiedene Medien Artikel, die dies anzweifeln. (z.B. TheIntercept) So scheint eine End-2-End Verschlüsselung nicht gegeben. Geht man etwas tiefer, ergeben sich aus meiner Sicht folgende Fakten und Kritikpunkte:

  1. Es wird häufig nicht in Frage gestellt, dass es grundsätzlich eine Verschlüsselung der Video- und Audio-Calls bei Zoom gibt. Vielmehr geht es häufig darum, dass der Begriff der end-2-end Verschlüsselung marketingtechnisch etwas suggeriert, das so nicht gegeben ist und end-2-end Verschlüsselung im allgemeinen Sprachgebrauch anders verstanden werden kann. Hierbei ist grundsätzlich zwischen einer Verschlüsselung auf den eigenen Servern von Zoom und auf der Wegstrecke zwischen Zoom und dem Enduser zu unterscheiden.
  2. Der erste Punkt ist nun die Zoom-Cloud, also der Ort, wenn Daten auf den Zooms Servern vorbeikommen. Die Sorge hierbei ist, dass Zoom auf den eigenen Servern mitschneiden oder mithören könnte. Lt. Zoom ist dies allerdings nicht der Fall. Es würden weder Daten mitgeschnitten, noch marketingtechnisch genutzt, noch weiterverkauft noch Sicherheitsbehörden diese Zugang gewährt. Hier scheint lt. Zoom eine Verschlüsselung offenbar gewährleistet.
  3. Der zweite Punkt ist die Verschlüsselung zwischen den Servern und dem Endnutzer. Eine vollständige Verschlüsselung der Calls scheint hier nicht gegeben, da das System TCP und UDP verwendet. Es gibt somit eine  Transportverschlüsselung zwischen der Zoom Infrastruktur und den Zoom Clients, ähnlich wie dies auch bei https:// gilt. Es können sich damit unbemerkt keine Mittelsmänner zwischen die Zoom-Server und den Client schalten. 
  4. Eine vollständige End-2-End Verschlüsselung nach dem allgemeinen Sprachgebrauch ist jedoch nicht möglich. Dies lässt sich schon dadurch nicht machen und erkennen, dass man ja auch per Telefon-Call an einer Konferenz teilnehmen kann und diese nicht end-2-end verschlüsselt werden kann.
  5. Zoom hat inzwischen ein klärendes Papier veröffentlicht, in dem die Verschlüsselung und deren Grenzen ausführlicher dargestellt werden. Hier macht Zoom auch deutlich, dass die Daten unter bestimmten Bedingungen auf den Zoom Servern verschlüsselt sind, nämlich dann, wenn die Meetings nicht mit der Cloud-Recording Funktion bei Zoom aufgenommen werden.

Zwischen-Bewertung

  • Die Sicherheit ist lt. Zoom unter bestimmten Bedingungen gegeben: “To be clear, in a meeting where all of the participants are using Zoom clients, and the meeting is not being recorded, we encrypt all video, audio, screen sharing, and chat content at the sending client, and do not decrypt it at any point before it reaches the receiving clients.”…”Zoom has never built a mechanism to decrypt live meetings for lawful intercept purposes, nor do we have means to insert our employees or others into meetings without being reflected in the participant list.” (Quelle) So sind alle Daten auf den Zoom Servern und in der Zoom Wolke verschlüsselt. Ebenso auf dem Weg zwischen den Clients und den Zoom Servern. Es ist allerdingss keine “echte End-2-End Verschlüsselung”, wie beworben.
  • Werden also die Meetings nicht in der Cloud aufgezeichnet, ist m.E. eine ausreichende Sicherheit für nicht hochvertrauliche Informationen gegeben, was in den meisten Meetings der Fall ist. Die Recording Funktion lässt sich auch Admin-seitig bei Zoom sperren, so dass eine Nutzung verhindert werden kann. Auch wird das Recording für alle sichtbar im Client angezeigt.  

3. Unberechtigtes Eindringen in Zoom Calls (Zoombombing)

Beim sogenannten Zoombombing wählen sich ungebetene Gäste in Meetings ein und stören diese mit Beleidigungen oder Porno-Bildern. (hierüber haben unterschiedliche Medien berichtet) Schaut man etwas genauer hin, ergibt sich aus meiner Sicht hier folgendes Bild zu den Fakten:

  1. Das Eindringen in Meetings und das Teilen der Bildschirm durch den Eindringling ist nur unter ganz besonderen Einstellungen in in Zoom möglich. Diese Einstellungen sind allerdings keine Sicherheitslücke, sondern in bestimmten Alltagssituationen nützliche Helfer. Nur eine besondere Kombination der Einstellungen führt zur Möglichkeit des Highjackings.
  2. Eine ungewünschte Einwahl in ein Meeting ist nur dann möglich, wenn die Kennung des Meetings bekannt ist. Dies ist dann der Fall, wenn die Veranstalter mit ihrer “persönlichen Meetingraum-ID” einladen. Diese ist wie eine Telefonnummer, die vom Zoom-User nach Außen bekanntgegeben werden kann und bei jedem Meeting gleich bleibt. Wird diese nicht verwendet, generiert Zoom eigene Zugangsdaten pro Meeting. 

Zwischen-Bewertung

  • It’s not a bug, it’s a feature: Die Aspekte, die zur Möglichkeit des Zoombombing führen, sind nützliche und einzeln sehr hilfrecihe Features von Zoom, die ich nicht missen möchte. Problematisch ist allerdings, wenn man sich nicht mit den Einstellungen in Zoom ausreichend beschäftigt.
  • Ein unerwünschtes Eindringen kann durch zahlreiche Features verhindert werden:
    • Nichtnutzung der “Persönlichen Meetingraum-ID”
    • Verhinderung des Eintritts der Teilnehmer in den Meeting Raum, bevor der Host da ist.
    • Einrichtung eines “Warteraums”, in den neue Nutzer geschickt werden und von dort durch den Host virtuell “in den Meeting Raum geführt” werden müssen.
    • Verhinderung, dass gelöschte Teilnehmer selbstständig wieder den Raum automatisch betreten dürfen.
  • Es gibt zahlreiche Erläuterungen im Netz (einfach googeln) zur Verhinderung unerwünschter Gäste, so dass das Thema gelöst sein sollte. 

4. Untersuchung der New Yorker Staatsanwaltschaft zu Privacy

Auf Basis der Zoombombing Aktivitäten und der andere einzelnen “Privacy” Themen ist die New Yorker Staatsanwaltschaft “auf Zoom aufmerksam gemacht worden” und startet nun eine breitere Untersuchung. Dabei geht es allerdings nicht um konkrete Verdachtsmomente. Nach einem Bericht der NYT geht es vielmehr um die generelle Frage, ob Zoom nun einen breiteren Review des Datenschutzthemas unternimmt.

Zoom hat auch hier umgehend reagiert. Der Firmengründer und CEO Eric S. Yuan hat entschieden, alle Feature-Entwicklungen zu stoppen und nunmehr alle Softwareentwickler nur noch bis auf weiteres mit dem Thema “Sicherheit” zu beschäftigen. Auch möchte er einen unabhängigen externen Gutachter beauftragen, der ihm hier eine Unbedenklichkeit attestiert. (Quelle) 

Zwischen-Bewertung

  • Eine Staatsanwaltschaftliche Untersuchung ist im Business nichts Ungewöhnliches. Es handelt sich m.W. um keine Anklage und kein Gerichtsverfahren, sondern eine allgemeine Untersuchung. Es bleibt unklar, wer die Untersuchung tatsächlich initiiert hat.
  • Inhaltlich neue Erkenntnisse zu weiteren Datenschutzthemen ergeben sich aus dem Start der Untersuchung nicht.
  • Die Maßnahmen des Zoom CEO scheinen mir vorbildlich und deuten für mich als Laien nicht auf eine bösartige absichtliche Verletzung von Datenschutzregeln hin.  

5. LinkedIn Profile

Ein weiteres Thema, das die NY Times am 2. April enthüllt hatte, ist ein Zoom-Feature, das die LinkedIn Profile von Teilnehmern anzeigt. (Quelle) Hierbei handelt es sich um ein Datamining Feature von Zoom, das es Abonnenten des LinkedIn Sales Navigators ermöglicht, die Identität und LinkedIn Profilinformationen von Personen in einem Call zu erhalten, ohne händisch auf LinkedIn nachschauen zu müssen. Geht man tiefer ergeben sich folgende Punkte:

  1. Es handelt sich um ein Feature der Zoom Software, das es erleichtern sollte, bei (in der Regel kostenlosen) Webinaren gezielter und schneller Informationen und Kontakt zu den Teilnehmern des Webinars zu bekommen.
  2. Dies war für die Teilnehmer so nicht sichtbar und es ist für die Teilnehmer nicht möglich, ihre Identität vollständig zu verbergen (also auch wenn sie sich mit einem Pseudonym einloggen, erhält der Veranstalter des Webinars die echten Informationen.

In der Zwischenzeit hat Zoom die komplette Funktion umgehend gelöscht.

Zwischen-Bewertung

  • Es handelt sich hier um ein Feature, das nur dann relevant ist, wenn man die Teilnehmer nicht eh schon kennt oder Datamining für  große Mengen an Teilnehmern durchführen möchte. Ähnliche Features gibt es auch bei anderen Plattformen und bei Webinaren findet i.d.R. auch auf anderem Wege eine Identifikation der Teilnehmer statt. Dennoch war die Erleichterung der Datensammlung gerade für den Anwendungsfall “Webinar” ein Thema. In anderen Fällen, wie Meetings, sind die Personen i.d.R. bekannt und man ist mit ihnen auf LinkedIn eh bereits vernetzt.
  • Hier kann man Zoom wieder vorwerfen, dieses Feature nicht ausreichend in den Datenschutzrichtlinien nach Außen dokumentiert zu haben.  

6. „Root“ Installation (ergänzt 8.4.2020)

Ein Leser hat mich auf LinkedIn heute darauf hingewiesen, dass ich einen Aspekt in meinem Artikel vergessen habe, den ich gerne nachtrage (Danke). vmray hat in einem ausführlichen Beitrag, der inzwischen auch aktualisiert wurde eine problematische Vorgehensweise bei der Installation von Zoom auf macOS dargelegt. Kernthema der Kritik scheinen mir hierbei bei der tieferen Analyse folgende Punkte:

  • Das Installationsskript erzeugt bei der Installationen einen irreführenden Dialog. Obwohl der angezeigte Dialog vorgibt, eine Vorabüberprüfung des Rechners auf die Softwarevoraussetzungen durchzuführen, werden nach dem ok-Klick bereits Elemente installiert.
  • Ein weiterer Kritikpunkt betrifft das Verhalten des Installers bei unterschiedlichen Systemrechten. Hat ein User Admin Rechte wird der Zoom-Client ohne weitere Fragen im allgemeinen Apps-Verzeichnis installiert. Hat ein user keine Admin-Rechte, so wird der Client im User-Apps Verzeichnis installiert. Thema der Kritik war nun das Verhalten, wenn der Zoom-Client bereits in einer älteren Version im allgemeinen Apps-Verzeichnis installiert ist. Hier fordert der Installer nun mit einer Systemmeldung root-Rechte an, um den Update zu installieren. Kritisiert wird herbei allerdings nicht das Verfahren selbst, das so üblich ist, sondern vielmehr der Dialog, der hierzu erscheint. Anstelle des Dialogs, der aussagt, dass „der Zoom-Installer“ die root-Rechte für den Update benötigt, wird eine Art Systemmeldung verwendet, die sinngemäß sagt „Das System braucht die Rechte für einen Update“. Die Kritik hierbei ist, dass zu wenig deutlich wird, dass hier der Installer von Zoom und nicht macOS selbst die Rechte benötigt. Die Sorge hierbei ist, dass Nutzer einer macOS Meldung eher ihr root Passwort anvertrauen, als einem Installer. Es wird jedoch auch darauf hingewiesen, dass der Installer NICHT Name und Passwort verwendet oder gar speichert, sondern nur die Rückmeldung vom macOS System hierzu erhält. D.h. dass der Zoom Installer so wie ich es verstehe nicht den Usernamen und das Passwort abgreift.
  • Der Autor des Beitrags ist zugleich Anbieter eines Tools zur Malware Identifikation und kennt sich daher gut als Experte mit dem Verhalten von Malware aus. Er weist in seinem Beitrag daher auch darauf hin, das dieses Verhalten des Zooms Installers nicht bösartig ist, aber Nutzer dazu erziehen könnte, leichtgläubiger auch bei anderer Software root Name und Passwort einzugeben – wenn es sich z.B. um Malware handelt. Ebenso weist er darauf hin, dass Malware ähnliche Verfahren bei der Installation nutzt, aber auch andere kommerzielle Produkte und daher die Installation dieser Form nicht bösartig und nicht unüblich ist.

In der Zwischenzeit wurde der Installer kurzfristig aktualisiert, so dass diese Aspekte beseitigt sind. (Zoom Release Note 4.6.19273.0402)

Zwischen-Bewertung

  • Die Kritik bezieht sich nur auf den macOS Installer und betrifft alle anderen Betriebssysteme nicht.
  • Beim Kritikpunkt geht es weniger um das Verhalten des Installers an sich, sondern die Art und Weise des Dialogs mit dem Nutzer. Argument von Zoom war hier, wie auch beim ersten Skandal vor ein paar Monaten die Nutzerfreundlichkeit und die Reduktion von notwendigen Klicks bei der Installation und vor dem Einstieg in ein Meeting. Dies ist für mich nachvollziehbar aus der Sicht der Kundenorientierung. Dennoch sollte hier eine bessere Abwägung zwischen User-Friendliness und Sicherheitsaspekten erfolgen, so dass ich diese Kritik gut verstehen kann.
  • Gut finde ich auch hier, dass schnell reagiert wurde und die Installation inzwischen angepasst ist.

7. „Code Injection“ (ergänzt 8.4.2020)

Ein zwei weitere Themen, die in einem Beitrag von objective-see aufgezeigt wurden, beziehen sich teilweise direkt auf das vorherige Problem. Nachdem für den Userdialog zur Root-Rechte-Erlangung eine andere als die übliche API verwendet wurde nämlich (AuthorizationExecuteWithPrivileges), kann dies weitere Folgen haben. Mit diesem Aufruf können beliebige Programme mit root Rechten gestartet werden. Geht man in die vertiefende Analyse ergibt sich für mich folgendes Bild:

  • Es handelt sich hierbei aus meiner Sicht mehr um eine Sicherheitslücke als um ein Sicherheitsproblem von Zoom. Es geht bei dieser Lücke vor allem darum, dass man unter ganz bestimmten Umständen dem Zoom-Installer durch die Vorgehensweise andere Installationsskripten und Malware unterjubeln kann. Hierzu sind, wenn ich das richtig verstehe Voraussetzungen nötig: Es muss entweder bereist Malware auf dem Rechner sein, die dann diese Lücke nutzt. Oder: Es muss ein manipuliertes Zoom-Installationspaket auf dem Rechner installiert werden, das entsprechend nicht das tut, was das Original tut.

Ein zweiter Aspekt im Blogpost weist auf die Möglichkeit einer Code Injection hin, so dass das Mikrofon und die Kamera abgehört werden könnten. Geht man tiefer ergibt sich mir folgendes Bild:

  • Zoom hat lt. Blogbeitrag von objective-see zwar die generellen Schutzmechanismen von Apple verwendet, um Code Injection Attacken zu verhindern. Dennoch wurden für die Kamera und das Mikro die Voraussetzungen ausgeschaltet, dass es sich bei den Bibliotheken, die auf beides zugreifen, um signierte Libraries handeln muss. Dies ist ein dokumentiertes und zulässiges Feature von Apple. Fraglich ist jedoch, warum die aktiviert wurde. Denkt man positiv, so könnte es sein, dass dies zum Testen oder der Nutzung unsignierter Bibliotheken durch Zoom aktiviert und dann vergessen wurde. Eigentlich unverzeihlich, aber Menschliches Versagen kann immer passieren. Oder es ist bewusst aktiv und stellt damit eine Hintertür dar, mit der sich unter ganz bestimmten Voraussetzungen Abhöreinrichtungen installieren lassen.

Laut Zoom sind die beiden aufgezeigten Lücken mit der Versionsnummer 4.6.9. (19273.0402) geschlossen.

Zwischen-Bewertung

  • Die Kritik bezieht sich hier auf schwerwiegende Lücken, die tatsächlich von Kriminellen und Gemeimdiensten hätten ausgenutzt werden können, um Videokonferenzen mitzuhören. Es bleibt offen, warum diese im Code waren. Es handelt sich zwar um von Apple dokumentierte Nutzungen der API, doch stellt sich hier die Frage, warum man unlinierte Bibliotheken für Audio und Video zulässt, gerade bei Eier Videokonferenz-Software. Dies ist für mich der schwerwiegendste Fall, der in meiner Liste vorkommt.
  • Gut auch hier, dass diese Lücken wieder offenbar sehr schnell behoben wurden.

8. Schwache Verschlüsselung Warteraum-Problem und China Routing (ergänzt 22.04.2020)

Da weitere Artikel zum Thema Zoom veröffentlicht werden, habe ich mich entschieden auch diese Übersicht zu erweitern. Bill Marczak und John Scott-Railton veröffentlichten am 3. April einen weiteren Beitrag (Danke an einen meiner Leser für den Hinweis!) zum Thema Verschlüsselung und das Routing von Verschlüsselungskey über chinesische Server. Dabei geht es um den verwendeten Verschlüsselungsstandard von Zoom und ist eine Art Fortsetzung des Punkt 2. Lt. der Autoren behauptet Zoom als Verschlüsselung „AES-256“ zu verwenden, in Wirklichkeit aber werden laut Beitrag zur Verschlüsselung von Video und Audio nur ein AES-128 Key verwendet, und dieser im sogenannten ECB Modus. Ein zweiter Punkt, der bemängelt wird ist, dass diese Keys, die auf Zoom Servern generiert werden, teilweise auch über Server ausgeliefert werden, die in China stehen, auch wenn alle Teilnehmer der Videokonferenz außerhalb Chinas beheimatet sind. Schauen wir uns die Punkte genauer an:

  • Wenn eine Videokonferenz aufgebaut wird, so benötigt Zoom zur individuellen Verschlüsselung einen Meeting-Raum Schlüssel. Dieser muss über einen Schlüssel-Server an jeden Teilnehmer ausgeliefert werden. Diese Schlüssel werden über ein TLS Protokoll ausgeliefert und dann genutzt, um die tatsächliche Videokonferenz zu verschlüsseln. Für diese Videokonferenz wird dann nicht mehr der Schlüsselserver benötigt, sondern ein Routing Server von Zoom, der wie eine Art Vermittlungsstelle die Teilnehmer zusammenbringt. Sind die Keys bei den Teilnehmern, nutzt Zoom diese Keys zur AES-128-ECB Verschlüsselung des Videocalls. Die Sicherheitsexperten bemängeln, dass Zoom einen Verschlüsselungsmodus wählt, der wenig sicher ist. Ein Key von 128 statt 256er Länge ist laut Autoren zwar auch noch völlig ausreichend für eine Verschlüsselung, aber der verwendete ECB Modus wird als kritisch gesehen. Dieser verändert Bilddaten nicht ausreichend genug, um sie tatsächlich nicht erkennbar zu übertragen. Die Autoren zeigen auf der Website Bilder, die zeigen sollen, wie gut diese trotz Verschlüsselung weiterhin erkennbar bleiben.
  • Der zweite Aspekt ist das Thema chinesischer Router. Im zitierten Blogbeitrag wird primär davon gesprochen, dass nicht der gesamte Kommunikationsverkehr, sondern die Schlüssel teilweise von chinesischen Servern bereitgestellt wurde. Zoom selbst begründet dies mit mit einem Versehen und dass die Server in China eigentlich nur für Verkehr gedacht sind, der mit chinesischen Teilnehmern stattfindet. Beim Ausbau der chinesischen Serverstruktur wurden lt. Zoom 2 Server in China auf die Whitelist gesetzt, so dass in Ausnahmefällen, nämlich dann, wenn die heimischen Server überlastet sind, auch eine Vergabe von Schlüsseln aus China stattgefunden hat.
  • Ein drittes Thema, das ergänzend erwähnt wurde, war eine Sicherheitslücke in der Warteraum-Funktion von Zoom. Da diese inzwischen behoben ist, möchte ich nicht näher auf diese eingehen.

Zoom hat mit einer Pressemeldung am 20.04.2020 darüber informiert, dass die Rechenzentren nun frei wählbar sind und so das bemängelte Routing über China abgestellt. Inzwischen können die weltweiten Datencenter von Zoom in den Einstellungen für Administratoren frei gewählt werden. Dies betrifft alle Datencenter: Europa, Australien, Latein Amerika, China, Kanada, Hing Kong, Indien, Japan und USA. Das jeweilige Heimatdatencenter, in dem der Zoom Account abgerechnet wird, kann allerdings nicht ausgeschaltet werden.

Zwischen-Bewertung

  • Das Routing Problem und das Warteraum Problem sind inzwischen gelöst und stellen keine sicherheitsrelevanten Bedrohungen mehr dar.
  • Die Verschlüsselung nach AES-128-ECB ist weiterhin gegeben mit der Zoom Version 5.0 gelöst. Sie beinhaltet nun die Verschlüsselung AES-256-GCM. Die Umsetzung erfolgt ab dieser Woche mit dem 5.0 Update, eine Umstellung aller Nutzer ist mit 30.5.2020 festgelegt. Weitere Infos finden sich auf dem Zoom Blog(updated: 22.04.2020)
  • Zoom selbst sprach vor dem Update  hier von Verbesserungsbedarf – „we can do better“ und verwies auf weitere Ankündigungen.

    „We recognize that we can do better with our encryption design. Due to the unique needs of our platform, our goal is to utilize encryption best practices to provide maximum security, while also covering the large range of use cases that we support. We are working with outside experts and will also solicit feedback from our community to ensure it is optimized for our platform. In accordance with the action plan I outlined in my note to our users on 4/1, we expect to have more to share on this front in the coming days. (…)We recognize how important it is that our systems operate in the manner that we intend — and that is expected of us from our users, even as we all adjust to the new demands this pandemic has brought us all. As part of the security program we announced earlier, we are implementing additional process and technical controls around our inter-region isolation.

    We have an immense responsibility to get things right, particularly at a time like this. We know we have a long way to go to earn back your full trust, but we are committed to throwing ourselves into bolstering our platform’s security with the same intensity that we committed to ensuring that everyone would be able to remain connected.“ (Zoom)

  • Im Klartext bedeutet dies allerdings, dass aktuell sicherheitsrelevante „Bilder“ im Sinne von Powerpoint-Präsentationen etc. nicht sehr sicher über Zoom übertragen werden können. Dies ist bisher der einzige Punkt, für den Zoom noch keine Lösung vorgelegt hat. Ich vermute, dass die Lösung hier aufwendiger ist, da es sich um ein Kernelement von Zoom handelt. Dies ist auch in einem Update zu den Sicherheitsaktivitäten seitens Zoom zu lesen (Zoom Blog(updated: 20.04.2020).

9. „Datenleck“ und Zoom-Passwörter im Darknet (ergänzt am 22.04.2020)

Ein weiteres Thema der letzten Tage ist, dass offenbar im Darknet Listen mit Usernamen und Passwörtern zum Kauf angeboten wurden. (Artikel auf Bleeping Computer mit Referenz auf Cable Forscher). Bei den Daten handelt es sich um:

  • eMailadresse,
  • Passwort,
  • Meeting URL,
  • Zoom-Host-Key

Die Frage, die sich hier stellt, ist, wie diese Daten ins Darknet gelangen können. Hierbei gibt es in der Regel verschiedene Optionen: (1) Ein Datenleck auf Servern von Zoom, (2) andere Wege, auf denen sich Hacker Zugang zu diesen Informationen verschaffen konnten. Von Zoom selbst, aber auch von Experten wird aktuell höchstwahrscheinlich ein Datenleck auf Zoom-Servern ausgeschlossen (siehe heise.de). Mit einer Meldung vom 15.04.2020 von heise.de scheint nun auch durch Bestätigung von Zoom klar, dass die Daten über ein sogenanntes „Credential Stuffing“ von Zoom angesammelt wurden. D.h. es wurden Daten, die von anderen Datenlöchern, Malware oder Phishing von Nutzern durch Hacker gesammelt wurden, nun mein Zoom „getestet“.  D.h. dass die Hacker ihre vorhandenen eMail-Passwort-Listen nun automatisiert bei Zoom angewendet haben. Zu Problemen kann es dann bei den Nutzern kommen, die das gleiche Passwort auch bei anderen Diensten verwendet haben und dieses auch für Zoom verwenden. Auch scheinen Hacker aktuell Internet-Adressen mit „Zoom“ im Namen aufzukaufen, um dort gefälschte Zoom Seiten darzustellen, um Zoom Passwörter abzufischen. Zoom hat hier informiert, aktuell diese Seiten gezielt aufzuspüren und Maßnahmen gegen diese Seiten zu ergreifen.

Zwischen-Bewertung

  • Bei diesem Thema handelt es sich nicht um ein Zoom-spezifisches Sicherheitsthema, sondern um ein generelles Thema, das alle Online-Firmen betrifft.
  • Daher ist bei Zoom kein höheres Sicherheitsrisiko verbunden als bei allen anderen Online-Diensten. Mit entsprechenden „Best Practices“ in Punkto Passworthygiene und Vermeidung von Phishing ist man gut geschützt:
    • Vergabe langer und sicherer Passwörter und regelmäßige Änderung dieser
    • Keine Doppelnutzung von Passwörtern bei unterschiedlichen Anbietern (Passwörter immer nur einmal verwenden – hierbei helfen Passwort-Manager!)
    • Kein Klick auf eMails mit Anfragen, die wie Zoom aussehen und zur Änderung oder Anpassung des Zoom-Passworts auffordern! Immer nur direkt auf die Zoom Seite gehen und von dort aktiv werden. (Aber das kennen wir j hoffentlich alle inzwischen vom Banken-Phishing!!!!!!)
    • Wenn beim Klick auf eine Zoom Konferenzeinladung nicht die Konferenz selbst, sondern eine Website aufgerufen wird, auf der die eingäbe der eMail und des Passworts gefordert ist, auf keinen Fall eingeben.
  • Um sicher zu gehen umgehend das eigene Zoom-Passwort ändern!

 10. Weitere aktuelle und zukünftige Sicherheitsbedenken und Gedanken (aktualisiert 8.4.2020)

Dies ist aus meiner Sicht der aktuelle Stand der Zoom Lücken zusammengefasst. Wichtig finde ich noch an dieser Stelle etwas anzumerken, da wir vermutlich auch in den kommenden Tagen und Wochen ggf. noch weitere Lücken und Themen sehen werden. Daher hier noch eine generelle Anmerkung zum Thema Software und Fehler in Software:

  • Keine Software ist 100% Fehlerfrei. In vielen Produkten zeigen sich hin und wieder signifikante Sicherheitslücken, die bei der Programmierung so nicht gesehen werden. Es handelt sich hier also nicht um etwas Spezielles, sondern um etwas Alltägliches. Betrachtet man die obigen Themen, so sehe ich aus meiner Sicht nur Punkt 7 als sehr kritische Sicherheitslücke an. Damit ist es für mich persönlich keine Häufung an Problemen, sondern eine Häufung an Berichterstattung hierzu.
  • Werden Lücken in Software von Sicherheitsexperten und Hackern gefunden, so gibt es bei „den Guten Hackern“ den Ethos, die entdeckten Lücken in Programmen zunächst nicht öffentlich zu machen, sondern das Unternehmen direkt über diese Lücken zu informieren. So geben sie den Unternehmen die Möglichkeit, diese zu schließen, bevor sie von  böswilligen Hacker (“black knights”) oder Geheimdiensten ausnutzt werden können. Ich bin mir nicht sicher, inwieweit diese Praxis bei Zoom in den letzten Wochen erfolgt ist oder inwieweit die Lücken sofort publik gemacht wurden. Ich vermute letzteres. Aus welchen Gründen auch immer.
  • Schaut man nun auf Zoom als Unternehmen muss man sagen, dass es m.E. sehr schnell reagiert und binnen kürzester Zeit Updates zur Verfügung stellt, der die berichteten Lücken schnell schließen. (z.B. Quelle) Auch andere Unternehmen veröffentlichen regelmäßige Sicherheitsupdates zu ihren Produkten, in denen sie Lücken schließen. Auch Wettbewerber zu Zoom oder auch Unternehmen, die Software in anderen Bereichen produzieren. Ich möchte nicht einschätzen, ob diese Fehler bei Zoom schwerer wiegen, als bei anderen Unternehmen.

Gesamtfazit (angepasst: 8.4.2020)

Insgesamt lässt sich festhalten, dass Zoom aus PR und Kundensicht momentan wirklich keine guten Zeiten durchlebt. Zahlreiche Themen sind, teils real, teils durch die Presse mit Übertreibung und umtechnischer Berichterstattung in den vergangenen Wochen adressiert worden. Alle wichtigen Lücken wurden bereits schon wie oben beschrieben geschlossen und sind somit nicht mehr vorhanden und stellen damit zumindest diese kein Sicherheitsrisiko mehr dar.

Doch warum reagieren nun viele Firmen mit dem Verbot der Software? Hierzu einige Hypothesen:

  • Durch den aktuellen Zeitdruck in der Corona-Krise werden Veröffentlichungen zu den Themen nur teilweise oder Originalquellen überhaupt nicht gelesen, sei es von den IT Verantwortlichen oder von den Business Verantwortlichen.
  • Der Druck oder die Angst der Business-Verantwortlichen in der Krise ist so hoch, dass sie die IT nicht hören und daher diese mit „laienhafter Sorge“ überstimmen, um auf Nummer sicher zu gehen. Vermutlich kennen auch viele Nicht-IT Führungskräfte nur die Artikel aus der allgemeinen Wirtschaftspresse und nicht die Originalquellen.
  • Die IT Verantwortlichen fürchten, dass etwas passieren könnte und haben, häufig zu Recht, Angst, zur Rechenschaft gezogen zu werden. Es wird daher schnell ein allgemeines Verbot ausgesprochen, anstelle einer differenzierteren Analyse und/oder Information an die User.
  • Der Vertrauensverlust durch die Pannen bei Zoom ist aktuell so groß, dass man als Kunde das Risiko weiterer Enthüllungen nicht mehr eingehen möchte. Es bleibt nach all diesen Pannen doch unklar, was sich noch im Code von Zoom verbirgt und was damit noch ans Tageslicht kommen könnte.

Als Gegenpol möchte ich folgende Aspekte erwähnen, die für Zoom und ein differenzierteres Vorgehen als ein Pauschalverbot sprechen sollten:

  • Wie angesprochen sind alle aktuell bekannten Lücken m.W. umgehend geschlossen worden. Bei allen für den Kunden kritischen Themen wurde nicht durch eine Anpassung der Datenschutzerklärung reagiert, sondern sofort durch das Entfernen der Funktionen oder das Anpassen des Codes. Eine Ausnahme stellt der verwendete Verschlüsselungsalgorithmus AES-128-ECB dar. Hier warten wir noch auf eine Lösung Auch das Thema der Verschlüsselung ist mit Zoom V. 5.0 gelöst. (updated: 22.04.2020)
  • Die Reaktion des CEO von Zoom, Eric S. Yuan, war m.E. bisher vorbildlich. Die beiden angekündigten Maßnahmen (1) reiner Entwicklungs-Fokus auf Security für die kommenden 3 Monate und (2) Einsetzen eines unabhängigen Gutachters sind Zeugnis, wie wichtig ihm dieses Thema ist. Auch hat Zoom unverzüglich externe Unterstützung von namhaften Experten zu Hilfe geholt und ein beratendes Gremium gestartet. (siehe heise.de(updated 22.04.2020)
  • Die Reaktionsgeschwindigkeit auf neue Lücken (die es bei jeder Software gibt – z.B. auch Windows macht regelmäßige  Sicherheitsupdates) ist aktuell enorm hoch mit 1-2 Tagen bis zum Schließen der Lücke.
  • Zoom hat sein Bug-Bounty-Programm mit Luta Security überarbeitet (siehe Blog). So wird Luta als unabhängiger Gutachter auch ein Auge auf die Aktivitäten von Zoom werfen und Zoom entsprechend beraten.
  • Ich habe Eric im Silicon Valley persönlich kennengelernt und habe ihn als einen smarten und integren Menschen kennengelernt, der meiner Einschätzung nach die Themen nicht unbedingt leichtfertig oder absichtlich vorangetrieben hat. Vielmehr führe ich die aktuellen Probleme auf zwei Aspekte zurück: (1) (zu) schnelles Wachstum, (2) (zu) hoher Kunden-/Feature-Fokus.

Ein Plädier und Vorschlag für IT-Verantwortliche

Alles in allem würde ich persönlich aus der Analyse heraus und aus meiner Sicht für ein differenzierteres Vorgehen plädieren, als es aktuell bei einigen Unternehmen angegangen wird:

  1. Sollte das Vertrauen tatsächlich in das Tool verloren gegangen sein, Aufgrund des noch nicht verbesserten Encryption Protokolls von AES-128-ECB sollten interne Projekte, die auf Zoom basieren und die Idee haben, hoch sicherheitsrelevante Informationen auszutauschen on hold gesetzt oder gestoppt werden. Dennoch ist es ratsam, hier Zoom weiter zu beobachten, da eine kurzfristige schnelle Anpassung an einen sicheren AES-256-GCM Standard geplant ist. Weiters sind langfristig hier weitere Schritte geplant. Sollte aktuell und aufgrund der Berichterstattung das Vertrauen in das Tool verloren gegangen sein, sollten man seit 22.04.2020 auch für die Übertragung sicherheitsrelevanter Informationen nochmals die Situation überprüfen. Zoom hat die Version 5.0 ihrer Software angekündigt, in der neben Updates zu anderen Sicherheitsthemen vor allem ein Problem gelöst wurde: Die oben beschriebene schlechte Verschlüsselung mit AES-128-ECB. Laut Zoom ist in dieser Version die Anpassung an einen sichereren Verschlüsselungsalgorithmus AES-256-GCM erfolgt, so dass auch dieses Thema gelöst sein sollte. Die Aktivierung ist mit der neuen Softwareversion sofort möglich, eine Komplettumstellung aller Nutzer erfolgt mit 30.5.2020. (siehe Zoom Blog) (updated 22.04.2020).
  2. IT-Abteilungen sollten bei der Kommunikation zwischen unterschiedlichen Vertraulichkeitsgraden unterscheiden. Wir benötigen als Berater bei Trainings oder Coaching meist nicht dieselben Sicherheitsvorkehrungen, wie dies bei einem Meeting zwischen Staatsoberhäuptern der Fall ist. Wenn der Sicherheitsdienst ein Zoom-Meeting der Regierung verbietet oder einschränkt, muss dies noch lange nicht bedeuten, ein tolles Tool komplett für alle Industrien und Anwendungen zu verbieten. 
  3. Der Einsatz von Zoom für Trainings, Workshops und Coachings durch externe Berater sollte weiterhin möglich bleiben, da viele Features, die Zoom bietet, nicht in anderen Tools auf die Schnelle so abbildbar sind (z.B. Breakout-Rooms). Auch ist die Nutzerfreundlichkeit von Zoom so hoch, dass die Hemmschwelle für Viele, nun endlich in die Digitalisierung und New Work einzusteigen, durch dieses Tool deutlich gesunken ist.
  4. IT-Abteilungen sollten sich ggf. von externen Beratern schriftlich, ggf. als Vertragszusatz bestätigen lassen, dass sie wissen, was sie tun und welche Einstellungen sie in Zoom vornehmen oder vorzunehmen haben. Hierbei können durch das Unternehmen auch Grenzen gesetzt werden (wie z.B. Aufnahmefunktion etc.)
  5. Mitarbeiter sollten im Sinne der Digital Competence umfassender und differenzierter über das Thema aufgeklärt werden. Ein Pauschalverbot erzeugt mehr Angst vor neuen Medien als Kompetenz.

Dieses differenziertere Vorgehen würde auch uns als Beratern helfen, die Krise besser zu überstehen und unseren Kunden eher inhaltlich zu helfen, als immer wieder neue Tools zur Kommunikation suchen zu müssen.

Update 09.04.2020: Einen hervorragenden Artikel zum Thema von einem Datenschutz-Experten möchte ich meinen Lesern nicht vorenthalten – sehr lesenswert: https://www.datenschutz-guru.de/zoom-ist-keine-datenschleuder/

Update 22.04.2020: Zoom 5.0

Zoom hat soeben die neue Version 5.0 ihrer Software angekündigt. In dieser ist neben der Behebung der bisher diskutierten Lücken auch ein neuer Verschlüsselungsalgorithmus integriert, der den Sicherheitsstandard bei der Übertragung anhebt. Anstelle von AES-128-ECB wird nun AES-256-GCM verwendet. Eine erste Anwendung ist mit der Auslieferung von 5.0 in dieser Woche möglich. Eine komplette Umstellung erfolgt für alle Nutzer bis 30.Mai 2020. Für IT Verantwortliche und Datenschutzbeauftragte bedeutet dies die Empfehlung, die bisherige Einschätzung zumindest ab 30. Mai 2020 neu zu bewerten, da aus meiner Sicht alle bekannten Themen nun von Zoom gelöst wurden.

Update 23.04.2020: Zoom 5.0 – erste Stimmen

Erste Pressestimmen äußern sich sehr positive zum angekündigten Zoom 5.0 Update. Auch wenn es aktuell noch immer nicht auf der Website von Zoom verfügbar ist, wird die neue Verschlüsselung hoch gelobt. Ich hoffe, dass dies nach der Auslieferung und Untersuchung durch Experten weiter anhält und wir mit einer Verbesserung der Akzeptanz bei Firmenkunden rechnen können. (Mashable, t3n)

Wichtiger Hinweis/ Disclaimer: Ich bin weder Datenschutzexperte noch Jurist und möchte mit diesem Artikel keinerlei bindende Entscheidungsempfehlung aussprechen. Mir war es lediglich mit diesem Blogpost ein Anliegen, meinen persönlichen Blick und meine Gedanken auf das Thema zusammenzufassen und mir selbst einmal Orientierung zu verschaffen. Weiterführende Analysen von Experten zur Entscheidungsfindung halte ich daher im Einzelfall dringend für wichtig, richtig und nötig.

Quellen in der Reihenfolge aus meinem Artikel:

  1. https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account 
  2. https://blog.zoom.us/wordpress/2020/03/27/zoom-use-of-facebook-sdk-in-ios-client/
  3. https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/  
  4. https://www.nytimes.com/2020/03/30/technology/new-york-attorney-general-zoom-privacy.html 
  5. https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/ 
  6. https://www.nytimes.com/2020/04/02/technology/zoom-linkedin-data.html 
  7. https://www.vmray.com/cyber-security-blog/zoom-macos-installer-analysis-good-apps-behaving-badly/
  8. https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentiality-of-zoom-meetings/
  9. https://blog.zoom.us/wordpress/2020/04/03/response-to-research-from-university-of-torontos-citizen-lab/
  10. https://blog.zoom.us/wordpress/2020/04/20/data-routing-control-is-here/
  11. https://www.heise.de/newsticker/meldung/Zoom-ruft-Ex-Sicherheitschef-von-Facebook-zur-Hilfe-4700280.html
  12. https://www.bleepingcomputer.com/news/security/over-500-000-zoom-accounts-sold-on-hacker-forums-the-dark-web/
  13. https://www.heise.de/security/meldung/Zugangsdaten-fuer-hunderttausende-Zoom-Accounts-zum-Kauf-im-Darknet-entdeckt-4701838.html
  14. https://www.heise.de/security/meldung/Videokonferenz-Plattform-Zoom-Veroeffentlichte-Login-Daten-aus-Credential-Stuffing-Angriffen-4702677.html
  15. https://blog.zoom.us/wordpress/2020/04/15/90-day-security-plan-progress-report-april-15/
  16. https://blog.zoom.us/wordpress/2020/04/22/zoom-hits-milestone-on-90-day-security-plan-releases-zoom-5-0/
  17. https://mashable.com/article/zoom-encryption-update/?europe=true
  18. https://t3n.de/news/zoom-5-0-sicherheit-datenschutz-1272754/

Update History:

06.04.2020 Initial version
07.04.2020 Edited some minor typos
08.04.2020 Cleanup links and references, Ergänzung Disclaimer, Ergänzung „Root“ und „Code Injection“, Anpassung „Weitere Sicherheitsbedenken und Gedanken“ und „Gesamtfazit“
22.04.2020 Ergänzung um zwei weitere Themen Pkt. 8 und 9 und Änderung alter Pkt. 8 zu 10. Zoom 5.0 Ergänzungen
23.04.2020 Absatz zu Pressestimmen zu Zoom 5.0 eingefügt.