Zoom wirbt mit End-zu-Ende-Verschlüsselung - die es nicht gibt

Sowohl auf der Webseite als auch im Security-Whitepaper bewirbt Zoom Ende-zu-Ende-Verschlüsselte Meetings, also den übertragenen Video- und Audioaufnahmen. Das klingt großartig, unterstützen doch die wenigsten Videokonferenztools eine Ende-zu-Ende-Verschlüsselung. Doch auf Nachfrage des Onlinemagazins The Intercept erklärte ein Zoom-Sprecher: "Derzeit ist es nicht möglich, die E2E-Verschlüsselung für Zoom-Videokonferenzen zu aktivieren. Zoom-Videokonferenzen verwenden eine Kombination aus TCP und UDP. TCP-Verbindungen werden über TLS hergestellt, und UDP-Verbindungen werden mit AES unter Verwendung eines über eine TLS-Verbindung ausgehandelten Schlüssels verschlüsselt."

Stellenmarkt
  1. Applikationsspezialist (m/w/d)
    Universitätsklinikum Regensburg, Regensburg
  2. IT-Architekt*in für IT-Security - Zero Trust Architecture und Cloud Security (w/m/d)
    Landeshauptstadt München, München
Detailsuche

"Wenn wir den Ausdruck Ende-zu-Ende verwenden, bezieht er sich auf die Verbindung, die von Zoom-Endpunkt zu Zoom-Endpunkt verschlüsselt wird", sagte der Zoom-Sprecher. Der Inhalt würde also zwischen den Zoom-Clients und der Zoom-Cloud verschlüsselt. Dabei handelt es sich jedoch um eine Transportverschlüsselung bis zum Server und eben nicht um eine Ende-zu-Ende-Verschlüsselung, bei der die übertragenen Inhalte zwischen den beiden Kommunikationspartnern verschlüsselt übertragen werden, ohne dass ein Mittelsmann wie die Zoom-Cloud die Daten einsehen kann. Insofern gaukelt Zoom dem Nutzer ein nicht vorhandenes Sicherheitsfeature vor. Nur bei der textbasierten Chatfunktion lasse sich tatsächlich eine Ende-zu-Ende-Verschlüsselung aktivieren, schreibt The Intercept.

Zoom leakt E-Mail-Adressen und Kontaktinformationen

Zoom gruppiert Kontakte mit der gleichen E-Mail-Domäne in einen Firmen-Ordner. Dort lassen sich die Arbeitskontakte mit E-Mail-Adresse und Foto einsehen, um direkt mit ihnen in Kontakt treten zu können. Das passiert allerdings nicht nur mit Kollegen und Firmen: So wurden dem Zoom-Nutzer Barend Gehrels 995 Kontakte in dem Ordner angezeigt.

Er hatte sich mit einer E-Mail-Adresse registriert, die er bei einem niederländischen Provider erhalten hatte. Unklar ist, wie weit das Problem verbreitet ist. Zoom filtert bekannte E-Mail-Anbieter wie Yahoo, Hotmail oder Gmail automatisch aus. "Zoom führt eine schwarze Liste von Domains und identifiziert regelmäßig proaktiv die hinzuzufügenden Domains", erklärte ein Zoom-Sprecher. Zudem könnten Anbieter ihre Domains selbst bei Zoom auf die schwarze Liste setzen lassen.

SpaceX und Nasa verbannen Zoom

Golem Karrierewelt
  1. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    21.-23.11.2022, Virtuell
  2. IPv6 Grundlagen: virtueller Zwei-Tage-Workshop
    04./05.10.2022, virtuell
Weitere IT-Trainings

Die Raumfahrfirma SpaceX hat ihren Mitarbeitern die Nutzung von Zoom wegen "erheblichen Datenschutz- und Sicherheitsbedenken" untersagt, zitiert die Nachrichtenagentur Reuters aus einer internen E-Mail. Demnach sei Zoom deaktiviert worden und die Mitarbeiter seien auf die "alternativen Kommunikationsmittel E-Mail, Text oder Telefon" verwiesen worden. Auch bei der Nasa darf Zoom nicht mehr verwendet werden, wie eine Sprecherin mitteilte.

Zuvor war bekanntgeworden, dass Zooms iOS-App heimlich Daten an Facebook weitergab. Die Zoom-Entwickler wollen davon nichts gewusst haben und entfernten die Funktion. Die Datenweitergabe wird von der New Yorker Generalstaatsanwältin untersucht, auch eine Sammelklage ist anhängig.

Neben den Datenschutzproblemen warnt selbst das FBI mittlerweile vor einem Phänomen, das Zoombombing genannt wird. Trolle übernehmen Zoom-Konferenzen, um Pornografie oder rassistische Beleidigungen zu verbreiten. Betroffen waren beispielsweise Zoom-Konferenzen, die für Vorlesungen, Schulunterricht oder Wahlkampfveranstaltungen eingerichtet wurden.

Nachtrag vom 2. April 2020, 12:30 Uhr

In einem Blogeintrag kündigte Zoom-CEO Eric S. Yuan an, sich in den nächsten 90 Tagen proaktiv um die Sicherheitsprobleme kümmern zu wollen. In dieser Zeit wolle Zoom keine neuen Funktionen entwickeln, sondern "alle Ressourcen auf unsere größten Vertrauens-, Sicherheits- und Datenschutzprobleme" konzentrieren. Auch ein Transparenzbericht, sowie ein Bug-Bounty-Programm sollen eingeführt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Homeoffice: Neue Sicherheitslücken in Zoom entdeckt
  1.  
  2. 1
  3. 2


trinkhorn 14. Apr 2020

Die Entscheidung wurde zentral im Konzern gefällt, nicht bei uns am Standort. Weiß ich...

quark2017 03. Apr 2020

Geil .... da verbockt der Hersteller was. Aber nee .... der ist nicht schuld. Schuld...

Peace Р03. Apr 2020

... am besten mit aufgehobenen Beschränkungen aufgrund von Corona? Ich habe Zoom schon...

quineloe 02. Apr 2020

Bei Teams funktionieren doch nicht mal die Sicherheitslücken richtig.



Aktuell auf der Startseite von Golem.de
Core-i-13000
Intel präsentiert Raptor Lake mit bis zu 5,8 GHz

Auf der Innovation hat Intel die 13. Core Generation vorgestellt. Kernzahl, Takt und Effizienz sollen deutlich steigen.

Core-i-13000: Intel präsentiert Raptor Lake mit bis zu 5,8 GHz
Artikel
  1. Ukrainekrieg: Meta stoppt ausgefeilte russische Desinformationskampagne
    Ukrainekrieg
    Meta stoppt ausgefeilte russische Desinformationskampagne

    Gefakte Webseiten deutscher Medien machen Stimmung gegen die Russland-Sanktionen. Die falschen Artikel wurden über soziale Medien verbreitet.

  2. Star Wars: Lego bringt großes Set der Razor Crest aus The Mandalorian
    Star Wars
    Lego bringt großes Set der Razor Crest aus The Mandalorian

    Aus fast 6.200 Teilen besteht das große Lego-Set der Razor Crest. Sie ist teuer, nicht aber für ein Star-Wars-Set.

  3. Creative Commons, Pixabay, Unsplash: Rechtliche Fallstricke bei Gratis-Stockfotos
    Creative Commons, Pixabay, Unsplash
    Rechtliche Fallstricke bei Gratis-Stockfotos

    Pixabay, Unsplash, CC ermöglichen eine gebührenfreie Nutzung kreativer Werke. Vorsicht ist dennoch geboten: vor Abmahnmaschen, falschen Quellenangaben, unklarer Rechtslage.
    Eine Analyse von Florian Zandt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AMD Ryzen 7000 jetzt bestellbar • CyberWeek: PC-Tower, Cooling & Co. • Günstig wie nie: Asus RX 6700 XT 539€, Acer 31,5" 4K 144 Hz 899€, MSI RTX 3090 1.159€ • AMD Ryzen 7 5800X 287,99€ • Xbox Wireless Controller 49,99€ • MindStar (Gigabyte RTX 3060 Ti 522€) [Werbung]
    •  /