Datenschutz und Sicherheit bei ZOOM
Die Pädagogische Hochschule Tirol verwendet zur Umsetzung des vom Ministerium verordneten Distance Learning u. a. die Videokonferenzsoftware ZOOM. Das erfolgt nach gründlicher Prüfung und laufender Beobachtung der aktuellen Diskussion um die Sicherheit derartiger Systeme. Die bei uns eingesetzte kostenpflichtige Campuslizenz und die getroffenen "datenschutzfreundlichen" Einstellungen erfüllen alle vom Bundesministerium geforderten Kriterien. Daher verwenden wir weiterhin ZOOM. (Das BMBWF hat inzwischen den Hinweis zur Verwendung von Videokonferenztools angepasst: https://www.bmbwf.gv.at/Themen/schule/beratung/corona/corona_fl/corona_ds.html)
23.04.2020
Die offizielle Stellungnahme der E-Learning Strategiegruppe der Pädagogischen Hochschulen Österreichs
Die Stellungnahme auf der Website der PHeLS-Gruppe
Seit 27.04.2020 ist die neue Version ZOOM 5.0 mit weiteren Sicherheitsmerkmalen verfügbar. Diese werden laufend verbessert.
Hier finden Sie weitere Begründungen und zahlreiche sachlich recherchierte Hinweise.
Die PH-Tirol hat schon seit zwei Jahren ZOOM als Videokonferenz-Angebot evaluiert und mit Einzellizenzen (Pro-Version) eingesetzt. Dabei hat es sich als eine sehr verlässliche Lösung mit hoher Konferenzqualität gezeigt. Darüber hinaus haben wir viele andere Lösungen wie WebEx, Skype for Business oder Jitsi evaluiert und getestet. Abwägungen wie Funktionalität, Stabilität, Sicherheit und Datenschutz wurden bei der Entscheidung für ZOOM berücksichtigt.
ZOOM erlebt als Plattform für Audio-/Videokonferenzen weltweit großen Zuspruch. Hierdurch steht ZOOM nun auch innerhalb kurzer Zeit im Zentrum der genauen Beobachtung von Sicherheitsexpert:innen weltweit. Auch ZOOM wurde von den Entwicklungen im Umfeld von Corona überrascht und nun gefordert ist, in kurzer Zeit auf die vielfältigen Anforderungen sowohl technisch, als auch organisatorisch zu reagieren.
Im Zuge dieser Prüfungen kommen nahezu täglich neue Fragestellungen und Kritiken zu ZOOM auf, die wir an dieser Stelle soweit uns bekannt aufgreifen und kommentieren möchten. Wir konnten bisher feststellen, dass ZOOM sehr schnell auf Anfragen reagiert und auch entsprechende technische Lösungen bereitgestellt hat.
Durch die Nutzung einer Campuslizenz sind wir in der Lage die Konfigurationen weitgehend anpassen zu können und aus unserer Sicht problematische Funktionen direkt abzuschalten bzw. so zu konfigurieren, dass sie unseren Anforderungen entsprechen. Hierdurch sind die mit der PH Tirol-Lizenz ausgeführte Konferenzen besser gestellt, als bei der Nutzung der freien Version von ZOOM.
Nach dem derzeitigen Stand sind wir zuversichtlich, dass alle bisher diskutierten Sicherheitsfragen für PH-Tirol-ZOOM aufgelöst werden können. Für alle hier aufgeführten Diskussionen konnten bereits Fixes umgesetzt werden.
Wir haben die Diskussionen zu den wichtigsten Fragen hier für Sie aufbereitet.
Privacy Policy
Die Privacy-Policy von Zoom wurde am 29.3.2020 aktualisiert, um einige Aussagen deutlicher herauszuarbeiten.
https://zoom.us/privacy?zcid=1231
Stellungnahmen von Zoom: Zoom kommentiert mittlerweile regelmäßig neue Problembereiche unter https://blog.zoom.us/
Aufzeichnung von Meetings
Wir haben Zoom für die PH Tirol so konfiguriert, dass nur der Host eine Aufzeichnung starten kann und dazu auch die explizite Einwilligung der Teilnehmenden eingeholt wird.
Aufzeichnung von Vorlesungen und Einstellen bei Youtube u.a.
PH-Tirol-Zoom ist so konfiguriert, dass die Ablage von Aufzeichnungen bei andern Anbietern, wie Youtube oder Facebook nicht möglich ist.
Zoom und Data-Mining
Zoom beschreibt zur Frage des Umgang mit Data-Mining: "Importantly, Zoom does not mine user data or sell user data of any kind to anyone."
https://theintercept.com/2020/03/31/zoom-meeting-encryption/
Senden von Daten an Facebook bei iOS-App
Auf die Datenschutzlücke vom 26.3.2020, bei der bekannt wurde, dass der Zoom-Client unter iOS auch ohne Facebook-Account Daten an Facebook schickt (https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account),
hat Zoom innerhalb weniger Tage reagiert und diese Lücke geschlossen (https://blog.zoom.us/wordpress/2020/03/27/zoom-use-of-facebook-sdk-in-ios-client/)
Sicherheitslücken im Mac-Zoom-Client
Am 30.3.2020 wurden Sicherheitsprobleme im Mac-Zoom-Client erkannt, die u.a. mittels Phishing ausnutzbar waren (https://techcrunch.com/2020/04/01/zoom-doom/, https://heise.de/-4695129).
Zoom gibt im Blog unter https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/ am 1.4.2020 an, diesen Fehler geschlossen zu haben: ”Released fixes for both Mac-related issues raised by Patrick Wardle.” Eine detaillierte, technische Beschreibung der Probleme gibt Patrick Wardle unter der Primärquelle https://objective-see.com/blog/blog_0x56.html.
Beide beanstandeten Sicherheitsprobleme wurden im aktuell herunterladbaren Mac-Zoom-Client behoben (Zeitstempel des Codesigning für den Installer: 2. Apr 2020 at 15:15:06).
Ende-zu-Ende Verschlüsselung
Zoom bietet immer eine TLS-basierte Transportverschlüsselung (sofern Sie nicht mit normalem Telefon teilnehmen), jedoch eine Ende-zu-Ende-Verschlüsselung (End-to-End Encryption, E2EE) für Video-Gruppenkonferenzen nur mit Endpunkten, die bei Zoom liegen. Entsprechend nutzte Zoom diesen Begriff anders, als er normalerweise benutzt wird, in dem die Endpunkte die Geräte der Videokonferenzteilnehmer sind (https://theintercept.com/2020/03/31/zoom-meeting-encryption/).
Für die Bereiche Chat und Dateitransfer (in der APP) haben wir Zoom an der PH-Tirol so konfiguriert, dass jeweils eine Verschlüsselung nach Advanced Encryption Standard (AES) 256-bit eingesetzt wird.
Eine in den USA eingereichten Klage soll klären, ob durch die unübliche Verwendung des Begriffes “End-to-End-Verschlüsselung” für Zoom ein unzulässiger Wettbewerbsvorteil erlangt wurde. Prinzipiell sind auch die Konferenzen anderer Anbieter üblicherweise nicht End-to-End verschlüsselt.
Zoom hat mittlerweile eine Stellungnahme bzgl. End-to-End-Verschlüsselung veröffentlicht (https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/), worin dargestellt wird:
“To be clear, in a meeting where all of the participants are using Zoom clients, and the meeting is not being recorded, we encrypt all video, audio, screen sharing, and chat content at the sending client, and do not decrypt it at any point before it reaches the receiving clients.”
Wenn der Zoom-Client eingesetzt wird und das Meeting nicht aufgezeichnet wird, werden demnach gemäß der Aussage von Zoom alle Inhalte verschlüsselt und nicht mitgeschnitten.
Abwägung zum Einsatz von Zoom mit einem Browser oder mit dem Zoom-Client
Wenn Sie Zoom mit einem Browser einsetzen, sprechen wir uns, wie bei fast allen Videokonferenz-Systemen über das Web für die Verwendung von Google Chrome aus, da dieser Browser derzeit die beste Umsetzung der hierfür notwendigen WebRTC-Standards implementiert. Bei Verwendung des Browsers werden weniger Daten, z.B. in Bezug auf die für die Konferenz verwendeten Geräte, erhoben. Die Funktion “Virtueller Hintergrund”, mit der in Bezug auf die häusliche Umgebung im Home-Office ein erhöhter Schutz der Privatsphäre möglich ist, kann mit dem Browser nicht genutzt werden.
Der Zoom-Client bietet in der Regel ein besseres Konferenzerlebnis und funktioniert häufig problemfreier. Im Gegenzug werden mehr Daten über die eingesetzten Geräte, wie den eigenen Rechner und die Audio- /Videogeräte erhoben. Die Nutzung der Funktion “Virtueller Hintergrund” ermöglicht einen eingeschränkten Schutz der heimischen Privatsphäre.
Maschinelles Aufmerksamkeits-Tracking
Dieses häufig in den Medien erwähnte Feature war für PH-Tirol Zoom abgeschaltet und konnte nicht genutzt werden. Zoom hat diese Funktion am 1.4.2020 allgemein abgeschaltet. https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/
Maschinelles Zählen von Teilnehmenden bei Zoom-Rooms
Die PH-Tirol setzt keine Zoom-Rooms ein und das Features ist bei uns abgeschaltet.
Marketplace-Apps brauchen Zugriff auf Daten der Anwendenden
In PH-Tirol Zoom wird nur O365 als Third-Party-Apps zugelassen. Bei Verwendung muss die Authentifizierung über O365 erfolgen. Es werden dabei keine Daten an ZOOM übermittelt.
Hinweis-Mail zum Umzug auf die Campus-Lizenz
Um die Nutzenden zu benachrichtigen, die bisher noch die freie (Gratis-)Version von Zoom nutzen, hat die PH-Tirol die entsprechenden Personen benachrichtigt, um auf die Nutzung der Campuslizenz zu verweisen.
Was ist Zoombombing?
Wer Videokonferenzen ohne weiteren Zutrittsschutz erstellt (z.B. ein Passwort) und die URL dann öffentlich verfügbar macht, setzt sich dem Risiko aus, das ungewollte Konferenzteilnehmer eintreten und unerwünschtes Verhalten zeigen. Diese Probleme sind dem Bereich Spam, Trolling oder ggf. auch Phishing zuzurechnen, bei dem laufende Kommunikation, die frei im Netz erreichbar ist, gestört wird. Es kann durch den Einsatz von Passwörtern für Konferenzen eingeschränkt werden. Auf jeden Fall sollten Sie nicht ungeprüft auf jeden Link klicken, der in den Chat eingefügt wird sondern immer zunächst auf Plausibilität prüfen, wie bei E-Mails auch. Der Begriff Zoombombing geht einerseits auf die aktuelle Beliebtheit der Plattform Zoom zurück und andererseits war es möglich, die URLs für eine Zoom-Videokonferenz zu erraten. Wir haben das Problem gelöst, indem neu angelegte Konferenzen standardmäßig mit Passwort angelegt werden (https://www.golem.de/news/zoombombing-trolle-uebernehmen-zoom-konferenzen-2003-147606.html).
Was ist mit dem Problem von Chat-Nachrichten mit Funktionslinks (UNC-Hyperlinks)?
Das Problem mit den UNC-Links wurde von Zoom am 2.4.2020 behoben und UNC-Links werden nun nicht mehr ausgeführt. https://www.tomsguide.com/news/zoom-password-malware-flaw
Personal Meeting ID nicht veröffentlichen
Die Personal Meeting ID kann nicht ohne Weiteres verändert werden. Es ist deshalb darauf zu achten, diese ID nicht auf frei einsehbaren Webseiten zu veröffentlichen. Inwischen wird die Personal Meeting ID im Profil tlw. durch Sternchen ersetzt und kann so nicht ausgelesen werden.
Zugriff auf andere Kontaktdaten innerhalb der PH-Tirol durch ZOOM
Zoom ermöglicht ein unternehmensweites Verzeichnis der Personen, um z.B. in der APP per Chat miteinander in Kontakt zu treten (https://www.vice.com/en_us/article/k7e95m/zoom-leaking-email-addresses-photos). Diese Funktion ist an der PH-Tirol dzt. noch aktiviert.
Welche Zertifizierungen erfüllt ZOOM bzgl. Datenschutz und Sicherheit?
(Quelle: https://zoom.us/docs/doc/Zoom-Security-White-Paper.pdf)
- SOC2
- TRUSTe
- FedRAMP
- GDPR (mit Privacy Shield)
Chats und Dateitransfers werden in PH-Tirol-Zoom nach Advanced Encryption Standard (AES) 256-bit verschlüsselt.
Welche Daten werden von Zoom verarbeitet?
- Es werden Metadaten wie Konferenznamen und Zeiten, IP und Name, Stadt, aber auch zu den eingesetzten Geräten (z.B. Webcams, Headsets, Lautsprecher) und Betriebssystemen erhoben.
- Dazu kommen detaillierte Daten zu der Qualität der Netzwerkverbindung von den Teilnehmenden.
- Zusätzlich wird die Anzahl von Chats, gesendeten/empfangen Nachrichten, Anrufen, Dateitransfers, verschickten Bildern, Sprachnachrichten, Videos und Emojis für jede Person gespeichert.
- Data Mining findet nach Aussage von Zoom nicht statt und es werden keine Daten an Dritte verkauft.
Datenkategorien und Verarbeitung
Kategorien der personenbezogenen Daten
Nummer |
Bezeichnung der Daten |
1 |
Benutzerprofil |
2 |
Meeting-Metadaten: Thema, Beschreibung (optional), Teilnehmer-IP-Adressen, Geräte-/Hardware-Informationen |
3 |
Meeting-Aufzeichnungen: Mp4 aller Video- und Audioaufnahmen und Präsentationen, M4A aller Audioaufnahmen, Textdatei aller in der Besprechung, Chats, Audio-Protokolldatei |
4 |
Chat-Protokolle |
5 |
Telefonie-Nutzungsdaten (optional): Ggf. Rufnummer des Anrufers, Name des Landes, IP-Adresse, 911-Adresse (registriert Dienstadresse der Humboldt-Universität), Start- und Endzeit, Hostname, Host-E-Mail, MAC-Adresse des verwendeten Geräts |
6 |
Rechnungs- und Beschaffungsdaten (nur für Administrator*innen einsehbar) |
Kategorien der betroffenen Personen
Nummer nach Datenkategorien |
Bezeichnung der Daten |
1-5 |
Nutzende |
3-4 |
In der Kommunikation erwähnte weitere Personen |
6 |
Beschaffer, Anforderer |
Kategorien der Empfänger, denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
Nr. |
Empfänger |
Anlass der Offenlegung |
Speicherort |
1-5 |
Zoom Video Communications, Inc. |
Auftragsverarbeitung |
Vereinigte Staaten von Amerika und Unterauftragsverarbeiter |
|
|
Unterauftragsverarbeiter |
|
6 |
People.ai |
Vertrieb, CRM |
Vereinigte Staaten von Amerika |
1-6 |
Zendesk |
Support |
Vereinigte Staaten von Amerika |
1, 6 |
Wootric |
Kundenumfragen |
Vereinigte Staaten von Amerika |
6 |
Totango |
Onboarding, Kundenerfahrung |
Vereinigte Staaten von Amerika |
1, 6 |
Answerforce |
Kundensupport |
Vereinigte Staaten von Amerika |
1 |
Rocket Science Group, LLC |
E-Mail-Benachrichtungen |
Vereinigte Staaten von Amerika |
1, 6 |
Five9 |
Callcenter |
Vereinigte Staaten von Amerika |
1 – 6 |
EPS Ventures |
Support |
Malaysia |
1- 6 |
WKJ Consultancy |
Support |
Malaysia |
6 |
Salesforce |
Kundenmanagement |
Vereinigte Staaten von Amerika |
1, 6 |
CyberSource |
Bezahlung und Betrugsprävention |
Vereinigte Staaten von Amerika |
1, 6 |
Adyen |
Bezahlung und Betrugsprävention |
Europa |
6 |
Zuora |
Abomanagement |
Vereinigte Staaten von Amerika |
1-6 |
Amazon Web Services |
Infrastruktur (IT) |
Vereinigte Staaten von Amerika, EU, Kanada, Australien |
1-6 |
Bandwidth |
Infrastruktur (Telefonie) |
Vereinigte Staaten von Amerika |
Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
Nummer nach Datenkategorien |
Drittland oder internationale Organisation |
Geeignete Garantien im Falle einer Übermittlung nach Art. 49 Abs. 1 Unterabsatz 2 DSGVO |
1-6 |
Vereinigte Staaten von Amerika |
Standarddatenschutzklauseln https://zoom.us/docs/doc/ EU-US-PrivacyShield https://www.privacyshield.gov/ |
1-6 |
Vereinigte Staaten von Amerika, Malaysia, Kanada, Australien |
Unterauftragsverarbeiter Garantie durch Standarddatenschutzklauseln |
Für diese Zusammenstellung haben wir Anleihe bei der https://www.cms.hu-berlin.de genommen.