• Bielefelder IT-Servicezentrum

    eLearning.Medien

    © Universität Bielefeld

Hilfe und Support

Tel.: (0521) 106 12063
Raum: V7-155
E-Mail: til-team@uni-bielefeld.de

Aufgrund erhöhter Nachfrage kommt es leider zu Verzögerungen bei der Bearbeitung. Wir bitten um Ihr Verständnis.

Sicherheit bei Zoom

Auf dieser Seite informieren wir Sie über die Datenschutz- und Datensicherheitseinstellungen, die von der Universität Bielefeld für verwaltete Uni-Konten bei Zoom getroffen wurden. Sie finden hier außerdem Informationen zu aktuellen Meldungen und Diskussionen zu Datenschutz und Datensicherheit bei Zoom.

Für die Sicherheitseinstellungen in einem Meeting finden Sie hier eine Anleitung für Veranstalter*innen.

Beachten Sie bitte auch die Hinweise des Informationssicherheitsbeauftragten unter Nutzung von Videokonferenzen.

Voreinstellungen gegen Übernahme eines Zoom-Meetings

Allgemeine Informationen zum Zoombombing

Mit den früheren Standardeinstellungen von Zoom waren Meetings nicht für die Veröffentlichung des Meeting-Links vorbereitet. Wenn unerfahrene Nutzer*innen Zoom-Meetings gestartet haben und über z.B. soziale Medien den Link zum Meeting verbreitet haben oder wenn dies durch Teilnehmer*innen des Meetings geschehen ist, konnte jede Person mit dem Link auch dem Meeting beitreten.

Durch den starken Anstieg der Nutzer*innenzahlen von Zoom führte dies zu vielen "quasi-öffentlichen" Veranstaltungen wie z.B. Buchclubs, Fitness-Meetings, Plauschrunden, o.ä., die ihre ungesicherten Meetinglinks auf sozialen Medien verbreiteten. Analog dazu konnten an Schulen Schüler*innen und Schüler einfach den Link kopieren und an anonyme Personen weiterreichen. Da zusätzlich standardmäßig das Freigeben des eigenen Bildschirms für Teilnehmer*innen aktiviert war, war es für Störenfriede einfach, dem Meeting per Link beizutreten und über die Bildschirmfreigabe beliebige Inhalte zu teilen (oft anstößiger oder sogar illegaler Natur).

Zoom hat seit Ende März viele Voreinstellungen für alle Konten geändert, um Zoom-Meetings ohne Anpassungen besser abzusichern. Diese Änderungen werden natürlich auch für verwaltete Uni-Konten umgesetzt. Details dazu finden Sie in den folgenden Textboxen.

[Aktiviert] Warteraum

Durch den standardmäßig aktivierten Warteraum können Teilnehmer*innen nicht mehr einfach direkt einem Zoom-Meeting beitreten, sondern müssen zunächst durch Host oder Co-Host "hereingelassen" werden. So kann verhindert werden, dass beliebige Personen unkontrolliert einem Zoom-Meeting beitreten können. Die Einstellung kann durch Hosts und Co-Hosts auch wieder deaktiviert werden - dies wird nicht empfohlen, kann für bestimmte Zwecker aber nützlich sein. Sprechen Sie uns bei Fragen hierzu gerne an!

[Deaktiviert] Bildschirmfreigabe von Teilnehmer*innen

Entsprechend der Standardeinstellungen können Teilnehmer*innen ihren Bildschirm nicht mit den anderen Teilnehmer*innen teilen. Diese Funktion wurde insbesondere bei öffentlichen Zoom-Meetings in jüngster Zeit oft missbraucht ("Zoombombing"). Hosts können die Bildschirmfreigabe für Teilnehmer*innen während eines Meetings aber weiterhin freischalten (über den kleinen Pfeil neben "Bildschirmfreigabe" und dort die "Erweiterten Freigabeeinstellungen").

[Gesperrt] Meeting ohne Passwort erstellen

Um Meetings vor dem Auffinden der Meeting-ID durch maschinelles "Erraten" ("brute-forcing") zu schützen, müssen alle Meetings von verwalteten Uni-Konten immer mit einem Passwort versehen sein. Durch diesen Schutz kann auch bei erratener Meeting-ID nicht auf das Meeting zugegriffen werden.

Bedenken Sie, dass für die einfache Handhabung weiterhin Passwörter in Meeting-Links kodiert sein dürfen - wenn Sie diese Links veröffentlichen, kann trotzdem jede Person mit dem Link auf das Meeting zugreifen (zum Schutz für den Missbrauch in diesem Fall sind die Warteräume aktiviert, siehe dort).

Weitere Einstellungen für verwaltete Uni-Konten

[Deaktiviert] Dateiübertragung im Chat

Für verwaltete Uni-Konten ist die Dateiübertragung im Chat aus Sicherheitsgründen standardmäßig deaktiviert. Bitte verwenden Sie zum Teilen von Dateien mit Teilnehmer*innen die dafür vorgesehenen Dienste der Universität wie z.B. die Lernplattformen, Sciebo oder die Netzlaufwerke.

Aktuelle Meldungen zu Zoom

500.000 Zoom-Konten zum Verkauf im Darknet

Knapp eine halbe Millionen Zoom-Konten waren in Form der Zugangsdaten zu einem günstigen Preis im "Darknet" erhältlich und wurden von einer Sicherheitsfirma aufgekauft. Laut Zoom gab es allerdings kein Datenleck, sondern es handelt sich um Zugangsdaten, die durch sog. "Credential Stuffing" ausgespäht worden sind. Akteure haben in diesem Fall mit Zugangsdaten und Passwörtern aus vergangenen Datenlecks anderer Online-Dienste versucht passende Zoom-Konten zu finden. Da Nutzer*innen für viele Dienste häufig das selbe Passwort verwenden, wurden so sehr viele gültige Zoom-Konten entdeckt und die Daten zum Verkauf angeboten.

Dieses Vorgehen kann jeden Online-Dienst treffen, da Nutzer*innen oft die gleichen Zugangsdaten für mehrere Dienste verwenden. Sie können auf Seiten wie z.B. https://haveibeenpwned.com/ überprüfen, ob eine Ihrer E-Mail-Adressen inkl. Zugangsdaten kompromittiert wurde. In diesem Fall lohnt sich das Ändern der Passwörter für alle Dienste, für die Sie die selben Zugangsdaten nutzen.

Möglicher Diebstahl von Windows-Passwörtern

Zoom wandelte sogenannte UNC-Pfade in anklickbare Links um - bei diesen Pfaden handelt es sich um Anweisungen an das Windows-Betriebssystem. Unter bestimmten Bedingungen konnten dadurch die Windows-Zugangsdaten von Nutzer*innen an Dritte übertragen werden, wenn diese Links angeklickt wurden. Insbesondere bezog sich die Kritik auf die anklickbaren Links in der Zoom-App, die Gefahr an sich besteht allgemein und unabhängig von Zoom - es gilt weiterhin die gute Praxis: klicken Sie keine unbekannten Links an.

Zoom hat die Umwandlung von UNC-Pfaden in anklickbare Links am 01. April 2020 deaktiviert.

Schwachstellenfund von Patrick Wardle

Der macOS-Sicherheitsexperte Patrick Wardle hat zwei Sicherheitslücken bei der macOS-Anwendung von Zoom aufgedeckt, die sich auf das Installationsprogramm von Zoom sowie auf eine mögliche Einspeisung von Schadcode in die Zoom-Anwendung beziehen.

Zoom hat die beiden Schwachstellen am 01. April 2020 behoben.

Kritik an fälschlich kommunizierter "End-to-End-Encryption"

Zoom hat auf den eigenen Marketing-Webseiten und in Apps meist vage aber an wenigen Stellen auch eindeutig von einer angeblichen Ende-zu-Ende-Verschlüsselung gesprochen. Nicht deutlich gemacht wurde dabei, dass es sich hierbei um keine "echte" technische Ende-zu-Ende-Verschlüsselung handelt, sondern Zoom die auf anderem Wege verschlüsselten Daten lediglich nicht selbst entschlüsselt und die Daten somit "effektiv" Ende-zu-Ende verschlüsselt wären - das ist natürlich keine haltbare Aussage.

Zoom ändert jetzt Texte und Hinweise und hat die Verschlüsselungsmethode in einem offiziellen Blogartikel genau beschrieben.

"Hacken" von Zoom-Meetings und "Zoom-Bombing"

Medienberichten zufolge ist es "Hackern" möglich, in Zoom-Meetings einzudringen und beispielsweise rechtswidrige oder pornographische Inhalte an alle Meeting-Teilnehmer*innen zu verbreiten. US-Behörden beabsichtigen nun, die Datenschutzvorkehrungen von Zoom genauer zu betrachten.

Viele Berichte erwähnen fairerweise, dass es sich bei den "gehackten" Zoom-Meetings um Meetings handelt, die nicht als privat konfiguriert waren und deren Link öffentlich verfügbar gemacht wurde (entweder beabsichtigt oder durch Meeting-Teilnehmer*innen). Zoom bietet viele unterschiedliche Möglichkeiten, um Zoom-Meetings abzusichern (z.B. Warteraum, Passwort, Sperrung, Zugang nur für registrierte Nutzer*innen).

Als Reaktion auf die Kritik hat Zoom am 31. März 2020 die Option "Warteraum aktivieren" für alle Zoom-Nutzer*innen zur Standardeinstellung gemacht. So müssen Hosts neue Teilnehmer*innen erst per Klick in das Meeting lassen und können somit kontrollieren, wer zu welchem Zeitpunkt das Meeting betritt. Diese Option ist auch für @uni-bielefeld.de-Konten standardmäßig aktiviert.

Bereits am 26. März 2020 hat Zoom die Standardeinstellung für "Bildschirm freigeben" für Education-Konten auf "Nur Host" geändert. Hosts können weiterhin die Bildschirmfreigabe für Teilnehmer*innen während des Meetings aktivieren. Für @uni-bielefeld.de-Konten wurde diese Anpassung ebenfalls vorgenommen.

Weitere Infos dazu auch weiter unten unter "Voreinstellungen gegen Übernahme eines Zoom-Meetings"

Nutzung des Facebook SDKs in der iOS-App

Mitte/Ende März 2020 haben sich Medienberichte gehäuft, dass die iOS-App von Zoom das "Facebook SDK" nutzt und somit Gerätedaten an Facebook übermittelt - da Zoom nicht darüber aufgeklärt hat, ist dies eine unrechtmäßige Datenübermittlung. Zoom hat das Facebook SDK in der neuesten Version der iOS-App entfernt.

Aktuell findet aber keine Übermittlung von Daten an Facebook über die Zoom-Apps statt (es sei denn, das Facebook-Login wird genutzt - diese Möglichkeit ist für @uni-bielefeld.de-Konten deaktiviert).

Kritik an der Datenschutzerklärung von Zoom

In den vergangenen Wochen wurde die vorherige Datenschutzerklärung inkl. der darin dargestellten Datenverarbeitungspraktiken von Zoom Video Communications, Inc. in Medienberichten und auf sozialen Medienplattformen kritisiert. Zoom hat in der aktuellen Version verdeutlicht, dass zwischen der Nutzung der Marketing-Webseiten von Zoom und der Nutzung des Diensts unterschieden werden muss.

Beachten Sie außerdem, dass eine Campuslizenz zwischen der Universität Bielefeld und Zoom zur Folge haben wird, dass die Universität Bielefeld für die Datenverarbeitung und Informationspflicht verantwortlich ist - wir werden in Kürze eine eigene Datenschutzerklärung auf unserer Webseite zur Verfügung stellen. Zoom ist für @uni-bielefeld.de-Konten dann Auftragsverarbeiter nach Art. 28 DSGVO.

Zoom im Fokus von Datenschützer*innen und Sicherheitsexpert*innen

Zoom (bzw. das Unternehmen Zoom Video Communications, Inc) steht durch die stark wachsende Popularität von Zoom in Folge der Covid-19-Pandemie aktuell mehr im Fokus von Datenschutz- und Datensicherheitsdiskussionen als jeder andere Dienstleister für Web- und Videokonferenzlösungen. Neben generell in jeder Software existierenden Problematiken (z.B. Missbrauch öffentlich gemachter Inhalte), wird auch zu Recht geäußerte Kritik an konkreten Sicherheitslücken laut. Zoom ist dies bewusst, und wo das Unternehmen in der Vergangenheit zu langsam auf Kritik reagierte, wird aktuell schneller bei akuten Problemen nachgebessert (siehe nachfolgende Details zu einzelnen Meldungen).

Zoom ist weiterhin in datenschutzrechtlich zulässiger Weise nutzbar und das aktuell verstärkte Interesse von Datenschützer*innen und Sicherheitsexpert*innen bedeutet für die Nutzer*innen von Zoom sogar etwas Gutes, wenn Zoom weiterhin schnell und gezielt bei den Problemen handelt. Insbesondere vor dem Hintergrund der Beschaffung einer Campuslizenz beobachten wir die Entwicklungen und Diskussionen zu Zoom genau und werden an dieser Stelle, hoffentlich jeweils zeitnah, über neue Meldungen berichten.