FM4-Logo

jetzt live:

Aktueller Musiktitel:

Zoom Logo mit Aktienkursen hinten

The Motley Fool / Zoom

Erich Moechel

Berg- und Talfahrt der Videoplattform Zoom

Zoom hat über die Qualität seiner Verschlüsselung massiv gelogen. Alle Videochats- und -konferenzen liegen unverschlüsselt auf den Zoom-Servern vor. Die Aktie des Unternehmens fährt seitdem einen Zickzackkurs.

Von Erich Moechel

Kein Tag vergeht, ohne dass neue Schwachstellen, falsche Sicherheitsversprechen oder illegale Massentransfers von Daten der Videoplattform Zoom Schlagzeilen machen. Am Donnerstag präsentierte das kanadische Citizen Lab seine Analyse der von Zoom verwendeten Verschlüsselung. Nicht ganz unerwartet fällt diese Analyse einigermaßen vernichtend aus.

Um das rasante Wachstum an Benutzern zu bewältigen, benützt Zoom fragwürdige, selbstgestrickte Verschlüsselungsmethoden, die behauptete Ende-zu-Ende Verschlüsselung in Gruppen ist schlicht nicht wahr. Dazu ist „Zoom-Bombing“ zum neuen Sport für Trolle geworden, die in Schulstunden oder Meetings plötzlich auftauchen. Der rasant gestiegene Börsenkurs des Unternehmens bildet diese Nachrichten mittlerweile in Zickzacksprüngen ab.

Chart aus dem Wirtschaftsmagazin The Motley Fool

The Motley Fool

Wie dieser Graph des Wirkschaftsnachrichtendienstes The Motley Fool zeigt, hat sich der Kurs des Zoom-Papiers seit Dezember fast verdoppelt, während die Coronakrise alle anderen Kurse in den Keller fallen ließ. Die wilden Sprünge zuletzt sind auf das Stakkato der jüngsten schlechten Nachrichten zurückzuführen.

Falsche technische Angaben von Zoom

Die Hacker Community stellt ihre Kommunikationstools zu Verfügung. Vom einfachen „Schwarzen Brett“ bis zur Videokonferenz sind diese freien Tools alle selbsterklärend, intuitiv zu bedienen und sicher verschlüsselt

Zuletzt musste der CEO des Börsenüberfliegers Eric Yuan persönlich ausrücken und eingestehen, dass Zoom mit „Ende-zu-Ende-Verschlüsselung“ etwas anderes meint, nämlich „Transportverschlüsselung“. Das bedeutet, die Videostreams liegen im Netz von Zoom unverschlüsselt vor, denn Zoom generiert ja auch die temporären Schlüssel für jede Sitzung. Die Beteuerungen Zooms, dass die Sitzungen durch ein kompliziertes internes Regelwerk vor jeder Art von Zugriff geschützt seien, sind wenig wert. Hier ist die klassische „Man-In-the-Middle“-Situation gegeben.

Die Überschrift der Analyse des Citizen Lab „Move fast and roll your own crypto“ bringt das gesamte Zoom-Dilemma bereits auf den Punkt. Statt eigener Schlüssel für jeden einzelnen Benutzer wird für Videokonferenzen ein gemeinsamer Sitzungsschlüssel generiert, den Zoom vergibt. Dieser Schlüssel ist nicht die 256-Bit-Version des sicheren AES-Algorithmus, sondern nur eine 128-Bit-Variante, die um Zehnerpotenzen schwächer ist. Obendrein wird keiner der empfohlenen Modi zur Verschlüsselung verwendet, sondern „Electronic Code Book Mode“ (ECB), der für Blockchiffren als höchst unsicher gilt, wenn mehr als ein Block verschlüsselt werden soll.

Citizen Lab Gutachten

Citizen Lab

Die vollständige Analyse des Citizen Lab, einer interdisziplinären Einrichtung an der Universität Toronto. Bekanntgeworden ist das Lab durch seine forensischen Untersuchungen von Schadsoftware, mit der demokratische Dissidenten vor allem nahöstlichen Diktaturen angegriffen wurden.

Daten für Facebook, Links für Trolle

ECB wurde von Zoom deshalb gewählt, weil es der mithin schnellste Modus ist. Anders wäre der explosive Zuwachs an Benutzern - seit Jahresanfang mindestens 600 Prozent - auch unmöglich zu bewältigen. Zoom hat also über die technische Qualität seiner Services ganz offen falsche Angaben gemacht und mit der Datenweitergabe an andere Kommerzdienste ist man ebenso verfahren. Mitte März hatten Sicherheitsforscher massive, verdeckte Datenweitergaben an Facebook aufgespürt, bei Zoom gab man sich von der eigene Daten-Policy überrascht und drehte die Datenweitergabe schleunigst ab. Wie die meisten kommerziellen Websites ist auch Zoom schwer mit Tracking-Mechanismen und „Click-Bait“-Werbung durchseucht.

Boris Johnson in einem Zoom Meeting

Public Domain / CC0

Links oben sieht man die Nummer des Videochatrooms von Zoom, den Boris Johnson samt Kabinett benutzt hat.

Das bedeutet nun nicht, dass man die freie Version von Zoom prinzipiell nicht nutzen sollte. Für den Remote-Betrieb von Schulunterricht ist Zoom aber definitiv nur in der höchsten Sicherheitsstufe nutzbar und da auch nur sehr bedingt. Das absolut praktische Feature, einen neuen Videochat zu eröffnen, den Link an alle Teilnehmer per E-Mail zu versenden und - ohne Passwörter zu vergeben - sofort zu starten, verbietet sich von selbst. Wie links im Screenshot zu sehen ist, wird für jede Videositzung eine 9 bis 11-stellige Zahl vergeben, die sich in der URL jedes Videochatrooms findet. Trolle generieren solche Kombinationen automatisch und so lange, bis sie ein Videomeeting ohne Passwortschutz finden und trollen dort die Teilnehmer, wie es eben die Art von Trollen ist.

Zoom Privacy Policy

Zoom

Auszug aus der Privacy Policy von Zoom. Damit ist zweifach klar, dass dieses Tool für professionellen Einsatz oder gar auf Regierungsebene ein absolutes No-Go ist.

Vorläufiges Fazit

Was den professionellen Einsatz für geschäftliche Meetings angeht, so hat der Report des Citizenlab ebenfalls schlechte Nachrichten parat. Zoom besitzt zwei Softwarefirmen in China, eine dritte scheint ein Joint-Venture zu sein. Insgesamt sind bei der US-Börsenaufsicht SEC 700 Angestellte in China gemeldet, offenbar ist die gesamte App-Entwicklung dort angesiedelt. Über ebendiese Apps und irgendeinen virtuellen Server in der Cloud von Zoom hält das britische Kabinett seine geheimen Sitzungen ab.

Für Zoom gilt zuvorderst also der Misstrauensgrundsatz wie für jede kommerzielle Anwendung, die selbstgestrickte, proprietäre Kryptographieverfahren nutzt. Dass die Geschäftsführung über die Sicherheit so offen gelogen hat, macht Zoom zum No-Go für sämtliche wichtigen Prozesse in der Wirtschaft, für Behörden oder in der Politik. Sehr wohl läßt sich darüber ein ad-hoc Videochat einer kleinen Gruppe abwickeln, ebenso lässt sich das Portal notgedrungen auch als Fallback-Medium benutzen, wenn wichtige Meetings abgehalten werden müssen, weil die eigene Anwendung für Videokonferenzen gerade streikt. Für Videotelefonate zwischen zwei Teilnehmern ist Zoom hingegen empfehlenswert, denn da dürfte tatsächlich Ende-zu-Ende-Verschlüsselung eingesetzt werden.

Es gibt wieder einen RSS-Feed für diesen Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

mehr Netzpolitik:

Aktuell: