Die Pädagogische Hochschule Tirol verwendet zur Umsetzung des vom Ministerium verordneten Distance Learning u. a. die Videokonferenzsoftware ZOOM. Das erfolgt nach gründlicher Prüfung und laufender Beobachtung der aktuellen Diskussion um die Sicherheit derartiger Systeme. Die bei uns eingesetzte kostenpflichtige Campuslizenz und die getroffenen "datenschutzfreundlichen" Einstellungen erfüllen alle vom Bundesministerium geforderten Kriterien. Daher verwenden wir weiterhin ZOOM. (Das BMBWF hat inzwischen den Hinweis zur Verwendung von Videokonferenztools angepasst: https://www.bmbwf.gv.at/Themen/schule/beratung/corona/corona_fl/corona_ds.html)

---

23.04.2020
  Die offizielle Stellungnahme der E-Learning Strategiegruppe der Pädagogischen Hochschulen Österreichs

  Die Stellungnahme auf der Website der PHeLS-Gruppe

Seit 27.04.2020 ist die neue Version ZOOM 5.0 mit weiteren Sicherheitsmerkmalen verfügbar. Diese werden laufend verbessert.

---

Hier finden Sie weitere Begründungen und zahlreiche sachlich recherchierte Hinweise.

Die PH-Tirol hat schon seit zwei Jahren ZOOM als Videokonferenz-Angebot evaluiert und mit Einzellizenzen (Pro-Version) eingesetzt.  Dabei hat es sich als eine sehr verlässliche Lösung mit hoher  Konferenzqualität gezeigt. Darüber hinaus haben wir viele andere  Lösungen wie WebEx, Skype for Business oder Jitsi evaluiert und  getestet. Abwägungen wie Funktionalität, Stabilität, Sicherheit und  Datenschutz wurden bei der Entscheidung für ZOOM berücksichtigt.

 

ZOOM erlebt als Plattform für Audio-/Videokonferenzen weltweit großen Zuspruch. Hierdurch steht ZOOM nun auch innerhalb kurzer Zeit im Zentrum der genauen Beobachtung von Sicherheitsexpert:innen weltweit. Auch ZOOM wurde von den Entwicklungen im Umfeld von Corona überrascht und nun gefordert ist, in kurzer Zeit auf die vielfältigen Anforderungen sowohl technisch, als auch organisatorisch zu reagieren.

 

Im Zuge dieser Prüfungen kommen nahezu täglich neue Fragestellungen und Kritiken zu ZOOM auf, die wir an dieser Stelle soweit uns bekannt aufgreifen und kommentieren möchten. Wir konnten bisher feststellen, dass ZOOM sehr schnell auf Anfragen reagiert und auch entsprechende technische Lösungen bereitgestellt hat.

 

Durch die Nutzung einer Campuslizenz sind wir in der Lage die Konfigurationen weitgehend anpassen zu können und aus unserer Sicht problematische Funktionen direkt abzuschalten bzw. so zu konfigurieren, dass sie unseren Anforderungen entsprechen. Hierdurch sind die mit der PH Tirol-Lizenz ausgeführte Konferenzen besser gestellt, als bei der Nutzung der freien Version von ZOOM.

 

Nach dem derzeitigen Stand sind wir zuversichtlich, dass alle bisher diskutierten Sicherheitsfragen für PH-Tirol-ZOOM aufgelöst werden können. Für alle hier aufgeführten Diskussionen konnten bereits Fixes umgesetzt werden.

---

Wir haben die Diskussionen zu den wichtigsten Fragen hier für Sie aufbereitet.

Privacy Policy

Die Privacy-Policy von Zoom wurde am 29.3.2020 aktualisiert, um einige Aussagen deutlicher herauszuarbeiten.
https://zoom.us/privacy?zcid=1231
Stellungnahmen von Zoom: Zoom kommentiert mittlerweile regelmäßig neue Problembereiche unter https://blog.zoom.us/

Aufzeichnung von Meetings

Wir haben Zoom für die PH Tirol so konfiguriert, dass nur der Host eine Aufzeichnung starten kann und dazu auch die explizite Einwilligung der Teilnehmenden eingeholt wird.

Aufzeichnung von Vorlesungen und Einstellen bei Youtube u.a.

PH-Tirol-Zoom ist so konfiguriert, dass die Ablage von Aufzeichnungen bei andern Anbietern, wie Youtube oder Facebook nicht möglich ist.

Zoom und Data-Mining

Zoom beschreibt zur Frage des Umgang mit Data-Mining: "Importantly, Zoom does not mine user data or sell user data of any kind to anyone."
https://theintercept.com/2020/03/31/zoom-meeting-encryption/

Senden von Daten an Facebook bei iOS-App

Auf die Datenschutzlücke vom 26.3.2020, bei der bekannt wurde, dass der Zoom-Client unter iOS auch ohne Facebook-Account Daten an Facebook schickt (https://www.vice.com/en_us/article/k7e599/zoom-ios-app-sends-data-to-facebook-even-if-you-dont-have-a-facebook-account),
hat Zoom innerhalb weniger Tage reagiert und diese Lücke geschlossen (https://blog.zoom.us/wordpress/2020/03/27/zoom-use-of-facebook-sdk-in-ios-client/)

Sicherheitslücken im Mac-Zoom-Client

Am 30.3.2020 wurden Sicherheitsprobleme im Mac-Zoom-Client erkannt, die u.a. mittels Phishing ausnutzbar waren (https://techcrunch.com/2020/04/01/zoom-doom/, https://heise.de/-4695129).

Zoom gibt im Blog unter https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/ am 1.4.2020 an, diesen Fehler geschlossen zu haben: ”Released fixes for both Mac-related issues raised by Patrick Wardle.” Eine detaillierte, technische Beschreibung der Probleme gibt Patrick Wardle unter der Primärquelle https://objective-see.com/blog/blog_0x56.html.
Beide beanstandeten Sicherheitsprobleme wurden im aktuell herunterladbaren Mac-Zoom-Client behoben (Zeitstempel des Codesigning für den Installer: 2. Apr 2020 at  15:15:06).

Ende-zu-Ende Verschlüsselung

Zoom bietet immer eine TLS-basierte Transportverschlüsselung (sofern Sie nicht mit normalem Telefon teilnehmen), jedoch eine Ende-zu-Ende-Verschlüsselung (End-to-End Encryption, E2EE) für Video-Gruppenkonferenzen nur mit Endpunkten, die bei Zoom liegen. Entsprechend nutzte Zoom diesen Begriff anders, als er normalerweise benutzt wird, in dem die Endpunkte die Geräte der Videokonferenzteilnehmer sind (https://theintercept.com/2020/03/31/zoom-meeting-encryption/).

Für die Bereiche Chat und Dateitransfer (in der APP) haben wir Zoom an der PH-Tirol so konfiguriert, dass jeweils eine Verschlüsselung nach Advanced Encryption Standard (AES) 256-bit eingesetzt wird.

Eine in den USA eingereichten Klage soll klären, ob durch die unübliche Verwendung des Begriffes “End-to-End-Verschlüsselung” für Zoom ein unzulässiger Wettbewerbsvorteil erlangt wurde. Prinzipiell sind auch die Konferenzen anderer Anbieter üblicherweise nicht End-to-End verschlüsselt.
Zoom hat mittlerweile eine Stellungnahme bzgl. End-to-End-Verschlüsselung veröffentlicht (https://blog.zoom.us/wordpress/2020/04/01/facts-around-zoom-encryption-for-meetings-webinars/), worin dargestellt wird:

“To be clear, in a meeting where all of the participants are using  Zoom clients, and the meeting is not being recorded, we encrypt all  video, audio, screen sharing, and chat content at the sending client,  and do not decrypt it at any point before it reaches the receiving  clients.”

Wenn der Zoom-Client eingesetzt wird und das Meeting nicht aufgezeichnet wird, werden demnach gemäß der Aussage von Zoom alle Inhalte verschlüsselt und nicht mitgeschnitten.

Abwägung zum Einsatz von Zoom mit einem Browser oder mit dem Zoom-Client

Wenn Sie Zoom mit einem Browser einsetzen, sprechen wir uns, wie bei fast allen Videokonferenz-Systemen über das Web für die Verwendung von Google Chrome aus, da dieser Browser derzeit die beste Umsetzung der hierfür notwendigen WebRTC-Standards implementiert. Bei Verwendung des Browsers werden weniger Daten, z.B. in Bezug auf die für die Konferenz verwendeten Geräte, erhoben. Die Funktion “Virtueller Hintergrund”, mit der in Bezug auf die häusliche Umgebung im Home-Office ein erhöhter Schutz der Privatsphäre möglich ist, kann mit dem Browser nicht genutzt werden.

Der Zoom-Client bietet in der Regel ein besseres Konferenzerlebnis und funktioniert häufig problemfreier. Im Gegenzug werden mehr Daten über die eingesetzten Geräte, wie den eigenen Rechner und die Audio- /Videogeräte erhoben. Die Nutzung der Funktion “Virtueller Hintergrund” ermöglicht einen eingeschränkten Schutz der heimischen Privatsphäre.

Maschinelles Aufmerksamkeits-Tracking

Dieses häufig in den Medien erwähnte Feature war für PH-Tirol Zoom abgeschaltet und konnte nicht genutzt werden. Zoom hat diese Funktion am 1.4.2020 allgemein abgeschaltet. https://blog.zoom.us/wordpress/2020/04/01/a-message-to-our-users/

Maschinelles Zählen von Teilnehmenden bei Zoom-Rooms

Die PH-Tirol setzt keine Zoom-Rooms ein und das Features ist bei uns abgeschaltet.

Marketplace-Apps brauchen Zugriff auf Daten der Anwendenden

In PH-Tirol Zoom wird nur O365 als Third-Party-Apps zugelassen. Bei Verwendung muss die Authentifizierung über O365 erfolgen. Es werden dabei keine Daten an ZOOM übermittelt.

Hinweis-Mail zum Umzug auf die Campus-Lizenz

Um die Nutzenden zu benachrichtigen, die bisher noch die freie (Gratis-)Version von Zoom nutzen, hat die PH-Tirol die entsprechenden Personen benachrichtigt, um auf die Nutzung der Campuslizenz zu verweisen.

Was ist Zoombombing?