Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Die britische Regierung verwendet Zoom, um während des Corona-Lockdowns Kabinettssitzungen abzuhalten. bild: twitter/@tomwarren

Analyse

Wegen Corona nutzen alle Zoom – ist die Videokonferenz-App eine «Datenschutz-Katastrophe»?

Zoom ist das neue Skype. Doch die in Corona-Zeiten populäre Video-Chat-App übermittelte heimlich Daten an Facebook – und hat offenbar auch Sicherheitsprobleme. Was also sind die Alternativen?



Zoom ist die App der Stunde. Denn von Selbst-Quarantäne, Homeoffice und Fernunterricht profitiert niemand mehr als der aufstrebende Videokonferenz-Anbieter aus den USA.

Noch vor zehn Jahren hätten während eines Lockdowns alle geskypt, doch heute läuft Zoom dem etablierten Anbieter für Videoanrufe den Rang ab. Seit Ausbruch der Pandemie rangiert Zoom in vielen Ländern auf Platz 1 in den App-Stores von Apple und Google. Das müssen allein in den letzten Wochen zig Millionen von Downloads sein.

>> Coronavirus: Alle News im Liveticker

Die Google-Suchanfragen nach Zoom explodieren seit Mitte März

Bild

Suchanfragen weltweit nach Zoom (blau), Skype (rot), Microsoft Teams (gelb) und FaceTime (grün).
screenshot: google trends

Bild

Zoom (blau) hat die Welt erobert. Nur in Europa dürfte Skype (gehört zu Microsoft) noch knapp beliebter sein. screenshot: google trends

Für Zooms Durchmarsch gibt es gute Gründe:

Wer zu Corona-Zeiten schnell, unkompliziert und kostenlos ein Video-Meeting mit bis zu 100 Teilnehmern durchführen will, greift immer öfter zu Zoom. Und zwar nicht nur Unternehmen: Die Menschen nutzen Zoom für Yoga-Kurse, für ein Bier mit Freunden und für die Schule.

Doch längst nicht alle zoomen fröhlich mit: Die Datenschutz-Aktivisten von Digitalcourage twittern, Zoom sei eine «Datenschutz-Katastrophe». Auch der IT-Sicherheitsexperte Mike Kuketz rät «dringend» von der Zoom-Nutzung ab. Denn: «Hier werden offenbar einige Daten erhoben, gesammelt und an Dienstleister (Drittanbieter) übermittelt – datenschutzfreundlich ist das nicht.» Zu einem ganz anderen Schluss kommt der IT-Fachanwalt Stephan Hansen-Oest: «Die Behauptung, dass Zoom nicht datenschutzkonform einsetzbar ist, ist aus datenschutzrechtlicher Sichtweise offensichtlich falsch.»

Warum also die Aufregung?

Zooms merkwürdiger Umgang mit Privatsphäre und Sicherheit

Recherchen des Onlinemagazins Motherboard zeigen, dass die iOS-App von Zoom heimlich Daten an Facebook weitergibt bzw. weitergab, selbst wenn man kein Facebook-Konto hat (die Android-Version wird nicht erwähnt). Bekanntlich liefern viele Apps und Webseiten Nutzerdaten an Facebook, was auch nicht grundsätzlich verboten ist. Das Problem hier: Zoom lässt die Nutzer über den Datenfluss an Facebook im Dunkeln.

Konkret sammelt Zoom Daten über die Nutzung und das Gerät des Zoom-Nutzers und gibt die gerätespezifische Werbe-ID an Facebook weiter. Diese eindeutige Identifikation wird genutzt, um Nutzern App- und Webseiten-übergreifend personalisierte Werbung anzuzeigen. Als Nutzer kann man immerhin verhindern oder zumindest einschränken, dass von Webseiten und Apps an Facebook weitergegebene Daten mit dem eigenen Facebook-Profil verknüpft werden. Wie das geht, haben wir in diesem Artikel erklärt.

Am Montag reichte ein US-Nutzer der Videokonferenz-Software eine Sammelklage ein wegen der Weitergabe von Daten an Facebook. Zoom hat das heimliche Tracking zugegeben und den Facebook-Tracker inzwischen aus der iOS-App entfernt. Im Firmenblog schreibt Zoom, man nehme den Datenschutz «extrem ernst» und es habe sich um ein Versehen gehandelt.

Also alles gut? Mitnichten.

Auch wenn Zoom im Browser (statt als App) genutzt wird, fliessen Daten an etliche Trackingdienste, wie der deutsche IT-Sicherheitsprüfer Mike Kuketz schreibt. Seine zu Testzwecken bei Zoom registrierte E-Mail-Adresse sei direkt an eine weitere Firma (Kundenbefragungsplattform) übermittelt worden.

Das Fazit des IT-Experten:

«An jeder Ecke wird gerade Zoom für Videokonferenzen empfohlen. Wer die Datenschutzerklärung gelesen und verstanden hat, wird Zoom vermutlich nicht nutzen wollen. Absolut gruselig.»

Zoom reagiert

Die Kritik und die drohende Sammelklage haben Zoom offenbar aufgeschreckt. Das Unternehmen hat seine Datenschutzhinweise überarbeitet und schreibt nun klipp und klar:

«Wir verkaufen Ihre personenbezogenen Daten nicht. Egal, ob Sie ein Unternehmen, eine Schule oder ein einzelner Benutzer sind, wir verkaufen Ihre Daten nicht. [...] Wir verwenden die auf der Grundlage Ihrer Nutzung unserer Dienste, u. a. Ihrer Meetings, erhobenen Daten nicht für Werbezwecke.»

Zoom zoom.us

Kritiker wird dies trotzdem nicht gänzlich beruhigen, denn:

Zoom ist ein Wiederholungstäter

Mit dem Erfolg gerät Zoom in den Fokus der Datenschützer, das Unternehmen sorgte aber schon zuvor mit Sicherheitslücken für Schlagzeilen:

Erstes Beispiel: Ende Januar wurde bekannt, «dass ein Angreifer eine lange Liste von Zoom-Meeting-IDs (z. B. zoom.us/j/93XXX9XXX5) generieren und automatisiert schnell überprüfen kann, ob eine entsprechende Zoom-Meeting-Adresse gültig ist oder nicht». Ein Hacker hätte so Zugang zu Zoom-Meetings erhalten, die nicht passwortgeschützt sind.

Zweites Beispiel: «Durch eine schwerwiegende Sicherheitslücke im vergangenen Jahr konnte ungefragt auf die Webcam von Millionen Zoom-Nutzern auf dem Mac zugegriffen werden. Selbst nach Deinstallation der Software war dies weiterhin möglich», schreibt das deutsche Techportal golem.de. Das heisst: Zoom-Nutzer konnten auf dem Mac ungefragt zu Videokonferenzen hinzugefügt werden – mitsamt Videostream.

Die Zoom-Entwickler schlossen die Lücke nur unzureichend, so dass sich Apple schlussendlich genötigt sah, mit einem stillen System-Update den ungewollten Zugriff auf die Webcam zu sperren. Die Sicherheitspanne wurde möglich, da Zoom einen undokumentierten, lokalen Webserver auf den Mac-Rechnern einrichtete, der selbst nach der Deinstallation von Zoom auf dem Mac verblieb.

Drittes Beispiel: In den USA warnte die Electronic Frontier Foundation (EEF) jüngst vor Zooms umfassenden Überwachungsfunktionen, die vermutlich längst nicht allen Nutzern bewusst sind. Die Nichtregierungsorganisation, die sich für Privatsphäre und Konsumentenschutz einsetzt, kritisiert primär den folgenden Punkt:

Teilt der Videokonferenz-Veranstalter seinen Bildschirm in Zoom, kann er sehen, ob die anderen Teilnehmer das Zoom-Fenster aktiv haben, oder eben nicht. Konkret wird angezeigt, welche Teilnehmer das Video-Fenster länger als 30 Sekunden nicht mehr aktiv bzw. im Vordergrund haben.

Ein Vorgesetzter, der ein Zoom-Meeting anberaumt, kann also beobachten, welche Mitarbeiter aufmerksam an seinen Lippen hängen bzw. potenziell etwas anderes tun. Eigentlich wurde dieses «Aufmerksamkeitstracking» entwickelt, damit beispielsweise Online-Kursleiter prüfen können, ob Teilnehmer dem Kurs auch wirklich folgen.

Immerhin: Die kontroverse Funktion ist in den Einstellungen standardmässig deaktiviert, kann vom Konferenz-Veranstalter aber jederzeit aktiviert werden.

Zoom reagiert nun auch auf die Kritik am Aufmerksamkeitstracking und schreibt:

«Ihre Meetings gehören Ihnen. Wir überwachen sie nicht und speichern sie nach Abschluss Ihres Meetings auch nicht, es sei denn, wir werden vom Gastgeber des Meetings beauftragt, sie aufzuzeichnen und zu speichern. Wir benachrichtigen die Teilnehmer sowohl über Audio als auch über Video, wenn sie an Meetings teilnehmen, ob der Gastgeber ein Meeting aufzeichnet, und die Teilnehmer haben die Möglichkeit, das Meeting zu verlassen.»

Zoom

Angestellte sollten sich dennoch bewusst sein, dass das eigene Unternehmen bzw. die IT-Administratoren aufgezeichnete Zoom-Meetings später jederzeit wieder anschauen können.

Zu den Zoom-Kunden gehören nebst immer mehr Privatpersonen insbesondere grosse Unternehmen, Regierungen und Organisationen im Bildungs- und Gesundheitswesen. Für sie gilt: Zoom ist weder beim Datenschutz noch bei der Sicherheit über alle Zweifel erhaben.

Bild

Auch die britische Regierung zoomt.

Als Premierminister Boris Johnson vor einigen Tagen auf Twitter ein Foto von sich und der Regierung beim Zoom-Meeting veröffentlichte, stellte die BBC die Sicherheitsfrage. Das britische National Cyber Security Centre antwortete: «Es gibt keinen Grund, Zoom nicht für Kommunikation unterhalb einer gewissen Geheimhaltungsschwelle zu nutzen».

Die Frage nach den Alternativen

Bild

Jitsi Meet kann insbesondere für kleine Teams eine Alternative sein. bild: jitsi.org

Im Windschatten von Zoom, Skype, Microsoft Teams oder Google Meet (allesamt US-Firmen) gewinnt momentan die Open-Source-Alternative Jitsi Meet an Fahrt. Wie bei Zoom oder Skype kann man bequem ohne Nutzerkonto an einem Video-Chat teilnehmen. Glaubt man den Reviews in den App-Stores, scheint Jitsi allerdings insbesondere bei einer grösseren Anzahl Teilnehmenden wenig zuverlässig zu funktionieren. Für kleinere Online-Meetings mit fünf bis zehn Personen ist es trotzdem eine Überlegung wert.

Gerade Universitäten, die Vorlesungen an Hunderte von Studenten übertragen, werden hingegen weiterhin auf grosse, leistungsstarke Anbieter wie Zoom setzen. IT-Anwalt Stephan Hansen-Oest, der Online-Schulungen mit bis zu 800 Teilnehmenden hält, schreibt hierzu: «Bei mir ist Zoom das einzige Tool gewesen, das nachhaltig die Leistung hat, grosse Meetings zu ‹wuppen›, ohne dass Ton oder Bild ausfallen oder ich Meeting-Teilnehmende bitten muss, bitte ihre Kamera auszustellen, damit das mit der Bandbreite hinhaut.»

Zoom, das kleinere Übel?

«Der Spiegel» bringt das Dilemma auf den Punkt:
Wenn Firmen wegen Corona ihre ganze Belegschaft ins Homeoffice schicken und vom IT-Verantwortlichen erwartet wird, dass ruckzuck alles funktioniert, «welche Videokonferenzsoftware wird der wohl bevorzugen – die auf eigenen Servern einzurichtende Premium-Datenschutz-Lösung aus Deutschland, die bei mehr als vier Nutzern ins Trudeln gerät, oder das US-Angebot Zoom, das auch von Anfängern leicht zu bedienen ist und selbst bei mehreren hundert gleichzeitigen Teilnehmern stabil läuft? Es ist eine Abwägung zwischen dem, was schiefgehen wird, und dem, was schiefgehen könnte.»

So gesehen ist Zoom im Alltag für viele schlicht das kleinere Übel.

Sars-Cov-2, Covid-19, Coronavirus – die wichtigsten Begriffe
Coronaviren sind eine Virusfamilie, die bei verschiedenen Wirbeltieren wie Säugetieren, Vögeln und Fischen sehr unterschiedliche Erkrankungen verursachen.

Sars-Cov-2 ist ein neues Coronavirus, das im Januar 2020 in der chinesischen Stadt Wuhan identifiziert wurde. Zu Beginn trug es auch die Namen 2019-nCoV, neuartiges Coronavirus 2019 sowie Wuhan-Coronavirus.

Covid-19 ist die Atemwegserkrankung, die durch eine Infektion mit Sars-Cov-2 verursacht werden kann. Die Zahl 19 bezieht sich auf den Dezember 2019, in dem die Krankheit erstmals diagnostiziert wurde.

News zum Coronavirus in der Schweiz und International. Die wichtigsten Fakten zum Coronavirus: Symptome, Übertragung, Schutz.
DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com (umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

So kam das Coronavirus in die Schweiz – eine Chronologie

World of Watson: Wenn Büro-Angestellte ehrlich wären

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

54 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
bcZcity
31.03.2020 15:37registriert November 2016
Die Frage ist, warum wird Zoom auf einmal mehr genutzt als z.B Skype? Auf diese Frage geht ihr hier leider nicht ein. Was sind den die Vorteile von Zoom und warum wurde es so beliebt?
Denn Abseits von Datenschutz - der immer kontrovers sein kann bei solchen global benutzten Apps grosser Anbieter - interessiert es den Nutzer doch vor allem wie zuverlässig und einfach eine solche App funktioniert.
Also, was kann/hat Zoom was Skype und co. nicht können?
21513
Melden
Zum Kommentar
PeteZahad
31.03.2020 17:29registriert February 2014
Jitsi funktioniert auch für grössere Firmen/Teams, hier macht es jedoch Sinn einen eigenen Server aufzusetzen um die benötigte Kapazität zur Verfügung zu haben:
"Run your own service on your own servers.
So let’s start with this: running a Jitsi Meet rig is simply the easiest way on the planet to set up meetings that you can absolutely trust. Open Source, encrypted and on infrastructure you own. What’s more, you can get all of this in less than an hour of work!"
493
Melden
Zum Kommentar
Cirrum
31.03.2020 16:43registriert August 2019
Das sind allgemein gefährliche Zeiten, die die Lockerung der Datenschutzgesetze fördern
498
Melden
Zum Kommentar
54

Das steckt hinter den merkwürdigen Paket-SMS, die gerade Tausende Schweizer erhalten

SMS, die über den Lieferstatus bestellter Waren informieren, sind praktisch. Doch aktuell versenden Betrüger massenhaft Fake-SMS im Namen von Paketdiensten. Sie haben es auf Kreditkartennummern abgesehen – und locken die Opfer in eine Abofalle.

Schweizer Smartphone-Nutzer werden von einer neuen Phishing-Welle heimgesucht: Kriminelle versenden grossflächig betrügerische Fake-SMS im Namen von Paketlieferdiensten wie DHL oder FedEx. In den Kurznachrichten ist von einem unzustellbaren Paket die Rede. Die Sendung sei im Verteilzentrum angehalten worden. Am Ende der Nachricht folgt ein Link, mit dem man den Sendestatus verfolgen könne.

Der genaue Wortlaut und der Kurzlink, also die abgekürzte Internetadresse in der Phishing-SMS, können von …

Artikel lesen
Link zum Artikel