Die Videokonferenz-App Zoom ist der große Aufsteiger in der Coronavirus-Krise: Binnen weniger Wochen schnellte die Zahl der Nutzer von zehn Millionen auf 200 Millionen pro Tag hoch. Und genauso schnell landete die Firma am Datenschutzpranger. Kaum ein Tag verging, ohne dass neue Sicherheitslücken oder zweifelhafte Entscheidungen zur Privatsphäre bekannt wurden. Kunden wie der Elektroautobauer Tesla und die Raumfahrtfirma Space X sprangen ab. Behörden verbieten ihren Mitarbeitern die Nutzung – in Deutschland ist für Mitarbeiter des Auswärtigen Amtes Zoom tabu.

In Österreich wird die Software weiterhin in Ministerien verwendet, hauptsächlich um Maßnahmen gegen die Corona-Pandemie zu besprechen. Das Justizministerium will gar 600 Lizenzen anschaffen. Im Innenministerium und beim Bundesheer wird Zoom hingegen nicht eingesetzt, wie ein Rundruf ergab. "Wir verwenden abhörsichere Software", sagt Bundesheer-Sprecher Michael Bauer zum STANDARD.

Zoombombing

Zoom hat durch seine vergleichsweise simple Nutzung – man braucht meist nur einen Link anzuklicken und ist drin – anderen Diensten wie Skype in den vergangenen Wochen die Show gestohlen. Doch die einfache Bedienbarkeit legte den Grundstein für massive Probleme, die zutage traten, als Zoom nicht mehr nur in geschütztem Unternehmensumfeld, sondern von den breiten Massen genutzt wurde.

Für den sichtbarsten Ärger sorgte dabei schnell das "Zoombombing", bei dem Fremde in Videokonferenzen eindringen. Das ist einfach, wenn der Link zur Einwahl oder die Konferenz-ID bekannt sind – und der Organisator keinen Warteraum mit manuellem Einlass oder ein Passwort eingerichtet hat. "Zoombombing" mag nach harmlosen Streichen klingen, aber das war es nicht: So wurden Gottesdienste und Schulstunden in den USA mit rassistischen Schimpftiraden oder dem Vorzeigen von Nazi-Symbolen unterbrochen. Bei virtuellen Treffen der Anonymen Alkoholiker wurden Fotos trinkender Menschen eingeblendet.

"Zoom ist bei der Sicherheit bestenfalls schlampig und schlimmstenfalls bösartig"

Zoom reagierte und weitete die Einrichtung von Passwörtern und Warteräumen als Standardeinstellung aus. Wie sehr das hilft, bleibt noch abzuwarten. Das "Zoombombing" sollte jedoch nicht das einzige Problem des Dienstes bleiben. Experten warfen einen tieferen Blick auf die Sicherheitsvorkehrungen von Zoom und entdeckten zum Teil haarsträubende Mängel.

"Zoom ist bei der Sicherheit bestenfalls schlampig und schlimmstenfalls bösartig", kritisiert der Kryptografie-Fachmann Bruce Schneier. "Die Verschlüsselung bei Zoom ist schrecklich." So stellten Forscher am Citizen Lab der Universität von Toronto fest, dass Zoom eine Verschlüsselungsmethode nutzt, die als unzureichend gilt.

Ende-zu-Ende-Verschlüsselung

Das Unternehmen musste auch die Behauptung zurücknehmen, die Daten seien mit Ende-zu-Ende-Verschlüsselung geschützt. Das ist eine feste Bezeichnung für ein Verfahren, bei dem nur Nutzer und Empfänger Zugriff auf die unverschlüsselten Daten haben. Zoom verfügt jedoch über die Schlüssel, um zum Beispiel die Einwahl über herkömmliche Telefonanrufe zu ermöglichen.

Das Unternehmen hat auf die Kritik reagiert und versucht nun fieberhaft, die Sicherheit seines Dienstes zu erhöhen.

Update 13.00: Stellungnahme

Aus dem Justizministerium heißt es in einer Stellungnahme, dass Business-Lizenzen eingekauft wurden, welche den Betrieb auf Servern der Justiz im Bundesrechenzentrum ermöglichen. Zoom verarbeite demnach ausschließlich die Konferenz-Metadaten. Das erhöhte Sicherheitsrisiko sei nicht per se Zoom-spezifisch, sondern habe mit der Verwendung einer regulären Telefonverbindung zu tun. (Markus Sulzbacher, red, 9.4.2020)