Das „mysteriöse“ Zoom und die Kampfhunde

Ist die Kritik an „Zoom“ noch sachlich – oder agieren die Kritiker wie Kampfhunde, die Blut leckten? Bild von Rolf Dobberstein auf Pixabay 

Das Videokonferenz-Tool „Zoom“ ist massiver Kritik von IT-Sicherheitsexperten und Datenschützern ausgesetzt. Was zunächst mit berechtigter Kritik an Schwachstellen und Sicherheitslücken begann hat sich aus meiner Sicht zu einer wahren „Hetzjagd“ entwickelt.

Es wird übertrieben, falsch bewertet und bereits geschlossene Sicherheitslücken werden immer wieder in der Öffentlichkeit ausgebreitet und schaffen somit eine Verunsicherung bei den Anwendern der Software – die, in den allermeisten Anwendungsfällen, völlig unbegründet ist.

Zoom und dessen Verwendung vor der Pandemie

Schon vor der Corona-Pandemie habe ich mich mit „Zoom“ beschäftigt. Die leistungsstarke Anwendung eines US-Herstellers unterstützt die Benutzer, um sich Online in kleineren oder größeren Gruppen auszutauschen. Für Online-Seminare, Meetings, den Online-Unterricht, Peer-Groups etc.

Das Programm läuft stabil, ist benutzerfreundlich und beinhaltet die Funktionen, die der Anwender von solch einem Werkzeug erwartet. Darüber hinaus bietet Zoom innovative Funktionen. Daher ist es sehr beliebt und wird am Markt gut nachgefragt.

Benutzerfreundlich – Alarmglocken für Datenschützer

Benutzerfreundlich heißt immer auch bequem für den Anwender, daraus resultieren Funktionen, die Datenschützer kritisch bewerten. Zum Beispiel die Anmeldung über ein Facebook oder Google-Konto oder Like und Share-Buttons.

Aber im Rahmen der informationellen Selbstbestimmung soll der informierte Bürger selbst entscheiden, ob er diese „Erleichterungen“ nutzen möchte, oder eben nicht.

Bewertung im Kundenauftrag, als Zoom noch nicht in aller Munde war

Ein Kunde, den ich in Datenschutzfragen berate, wollte Zoom einsetzen,also schaute ich Anfang dieses Jahres, was das Programm so alles macht.

Was er genau plant und ob es DSGVO-konform eingesetzt werden kann. So wie ich es auch bei X anderen Werkzeugen schon getan habe. Prüfen, Bewerten, Einschätzung abgeben, ggfls. auch praktische Tipps, wie es installiert und angewandt werden kann. Business as usual für einen Datenschutzberater.

Dabei gehe ich nicht in die Tiefe des Programmcodes einer Anwendung, schon allein, weil ich technisch gar nicht bewerten kann, was da alles auf Code-Ebene passiert. Das kann ich übrigens auch nicht bei Windows 10, Salesforce oder einem anderen Programm. Das ist auch nicht die Aufgabe eines Datenschutzberaters.

Was ich aber sehr wohl bewerten kann, neben dem Eindruck aus dem Praxistest der Anwendung sind die Themen, die die DSGVO verlangt:

  • Gibt es eine Rechtsgrundlage für den Verantwortlichen, wenn er das Programm einsetzt
  • Erfüllt der Verantwortliche seine Informationspflichten (rechtzeitig)
  • Gibt es einen AV-Vertrag oder Standardvertragsklauseln, um Art. 28 DSGVO zu erfüllen
  • Kommt der Hersteller seinen Informationspflichten und anderen Verpflichtungen aus der DSGVO nach
  • Sind die Vorgaben aus Artikel 25 und Artikel 32 erfüllt.
  • Gibt es eine Rechtsgrundlage für die Datenübermittlung in das Drittland

Alle Fragen konnten im Falle Zoom so bewertet werden, dass einer Verwendung des Dienstes im Sinne des Datenschutzes möglich ist. So lautet auch die Empfehlung an meine Kunden.

Und plötzlich Corona

Dann kam ab Mitte März die Corona-Pandemie. Aufgrund der uns allen bekannten Ereignisse rückten die Themen Telearbeit, Videokonferenzen und Webinare in den Fokus der Betriebe und der gesamten Öffentlichkeit. Schnelle Lösungen mussten nun her. Alle ins Homeoffice, Seminare und Meetings müssen Online laufen. Präsenzveranstaltungen ins Netz verlegt. Die Stunde von Zoom und den anderen Anbietern hat geschlagen. Alle benötigen nun verlässliche Dienste, um die Kommunikation mit den Mitarbeitern, Kunden und Lieferanten aufrecht zu erhalten

Wozu eine Neubewertung? Was im Februar noch passte – passt doch auch im März?!

Ich für meinen Teil hatte mich mit Zoom bereits beschäftigt, sah also keinen Grund das Thema nochmal aufzurollen. Was im Februar galt, gilt auch noch Mitte März.  

Dann kamen die ersten Veröffentlichungen, Zoom wäre nicht DSGVO-konform. Zoom könne man nicht einsetzen, Zoom hier, Zoom da.

Ich war zunächst etwas irritiert. Hat die Firma im Rahmen der Corona-Krise klammheimlich die Geschäftspraxis geändert? Also schaute ich mal, was denn so geschrieben wird. In den Mainstream-Medien, in der (furchtbaren) Twitter-Community. Was schreibt der Guru dazu; Was Heise, andere Kollegen; Was die Abteilung Brink – haben die Ansbacher schon eine Meinung dazu.  

Und ich dachte mir dann, OK, viel Wind um nicht sonderlich viel. Ein paar vermeintliche Fachexperten arbeiten sich, aus welchen Gründen auch immer, am Hersteller von Zoom ab. Grundsätzlich geändert hat sich nicht viel. Der Dienst ist immer noch im Sinne der DSGVO zu nutzen, zumindest konnte mir noch niemand erklären, warum dass nicht mehr so sein soll.

Die entdeckten Sicherheitslücken

Warum sich jeder IT-Sicherheitsexperte jetzt berufen fühlt, Zoom bis ins tiefste Detail zu analysieren entzieht sich meiner Kenntnis. Bei manch einem wird es Profession sein, bei manch einem Neugier und bei einigen auch ein „geldwerter Vorteil“.

Wenn die erstgenannten, sich auch bei allem anderen Anbieter mit gleicher Inbrunst ins Zeug legen, wird der gesamte Markt der Anbieter von Online-Meeting-Plattformen auf alle Fälle in den nächsten Tagen sicherer.

Fakt ist. Zoom hatte einige Sicherheitslücken, z.B. bei der Verwendung auf iOS-Geräten, wohl allgemein bei der Installation auf MACs und auch bei Konnektoren, z.B. zu LinkedIn wurden mehr Daten übertragen als technisch notwendig waren.

Daher war es gut, dass die IT-Profis da genau hinschauten und immer noch hinschauen, die Schwachstellen aufdecken und dem Hersteller anzeigen.

Die Reaktion von Zoom

Fakt ist aber auch. Zoom hat sofort reagiert. Zunächst auf die berechtigten Mängel in der Datenschutzerklärung, aber auch auf die entdeckten Sicherheitslücken im Programm. Konnektoren wurden entfernt, selbst kritikwürdige Funktionen, die schon im Standard „Default“ waren, wie das Aufmerksamkeitstracking, hat der Hersteller deaktiviert.

Aus meiner Sicht eine positive Reaktion des Herstellers. Ich meine was will man den als Datenschützer oder IT-Sicherheitsbeauftragter mehr? Der Hersteller reagiert unverzüglich auf Kritik und behebt Schwachstellen.

Es geht weiter – wie die Kampfhunde

Jetzt wird es aus meiner Sicht „komisch“. Die Zoom-Kritiker agieren wie Kampfhunde, die Blut geleckt haben. Alle Argumente werden zusammengetragen und geballt gegen den „Delinquenten“ vorgetragen.

Die potenziellen Nutzer, also zum Beispiel Kleinunternehmen, Freelancer, Seminaranbieter, etc. die in der aktuellen Situation eh schon zu kämpfen haben, werden, völlig unnötig, weiter verunsichert.

Dabei sind die allermeisten Vorwürfe unbegründet, teilweise auch falsch. Nehmen wir das ZoomBombing. Öffentliche Meetings, die durch Cyberkriminelle unterwandert werden. Durch einfache organisatorische Maßnahmen kann solch ein Ereignis verhindert werden.

Fehlende Ende-zu-Ende-Verschlüsselung

Eine Ende-zu-Ende-Verschlüsselung die tatsächlich nur eine Transportverschlüsselung ist. Ja, da hat sich Zoom in der Information nicht mit Ruhm bekleckert.

Aber wer seine täglichen E-Mails nicht verschlüsselt versendet, wirkt nicht sonderlich glaubwürdig, wenn ihm jetzt beim Videomeeting plötzlich die Transportverschlüsselung nicht mehr ausreicht.

Das heißt für Sie in der Praxis. Der Einsatz von Zoom, aber auch allen anderen Anbietern auf dem Markt, ist nicht geeignet für die vertrauliche Kommunikation mit sensiblen personenbezogenen Daten, wie z.B. Gesundheitsdaten und auch nicht beim Austausch von Betriebsgeheimnissen.

Aber ein Online-Seminar, eine Online-Projektbesprechung oder ein Online-Unterricht können Sie jederzeit mit Zoom abhalten.

Fazit:

Manche Leute mit viel Reichweite in der Öffentlichkeit und in sozialen Medien haben sich auf Zoom eingeschossen und verunsichern potenzielle Nutzer.

Irritierend ist, dass sich diese Kritiker ausschließlich und in einer Vehemenz an Zoom abarbeiten und die anderen Anbieter aktuell überhaupt nicht betrachten.

Positiv ist, dass Zoom reagieren musste und reagiert hat und die entdeckten Schwachstellen sofort bereinigte und sogar proaktiv weitere Maßnahmen zur Erhöhung der Sicherheit und des Datenschutzes umsetze.

Daher ist Zoom weiterhin DSGVO-konform einsetzbar und kann für Webinare, Online-Meetings oder Online-Unterricht eingesetzt werden.

Nicht geeignet ist es, aufgrund der fehlenden Ende-Ende-Verschlüsselung, für vertrauliche Unternehmenskommunikation und dem Austausch von sensiblen personenbezogenen Daten

Dennoch müssen die Anwender neben den Hausaufgaben, die direkt aus der DSGVO resultieren, wie Rechtsgrundlage, Rechenschaftspflicht, Informationspflicht und Auftragsverarbeitung auch organisatorische Maßnahmen umsetzen! Sensibilisierung der Mitarbeiter. Praktische Unterweisung in die Arbeit mit Zoom und die notwendige Dokumentation.

Die vermeintlichen Kämpfer für Sicherheit und Datenschutz schießen völlig über das Ziel hinaus. Ich habe keine Ahnung was für ein Ziel die Kritiker verfolgen – Lösungsorientierung kann ich – aktuell – zumindest nicht erkennen.

Weiterführende Links zum Thema:

Heise: Videokonferenz-Software: Ist Zoom ein Sicherheitsalptraum?

Datenschutz-Guru: Hilfe…ist „Zoom“ etwa eine Datenschleuder?

Zeit: Vorwürfe gegen Zoom wegen mangelndem Datenschutz

Achim Barth

Datenschutzberatung für KMU I DSGVO-Konform ohne Datenschutzbeauftragten

bdatenschutz, corona, DSGVO, zoom

Geschäftsstelle

Barth Datenschutz GmbH
Theodor-Veiel-Straße 94
70374 Stuttgart

Tel: 0711 / 40070720
Fax: 0711 / 40070729
info@barth-datenschutz.de

Datenschutz News 

Sie möchten regelmäßig neue Informationen rund um das Thema Datenschutz und IT Sicherheit erhalten? Dann melden Sie sich hier kostenlos und unverbindlich an.

© Copyright - Barth Datenschutz GmbH - 0711 / 40070720 - info@barth-datenschutz.de