Videokonferenz-Plattform Zoom: Bundesdatenschutzbeauftragter rät von Nutzung ab

Ulrich Kelber warnt vor Zoom, weil der Dienst nicht Ende-zu-Ende-verschlüsselt sei. Derweil hat Zoom ein entsprechendes Whitepaper veröffentlicht.

by

Der Bundesdatenschutzbeauftragte Ulrich Kelber warnt in einem Interview vor dem Videokonferenzdienst Zoom. Dieser sei nicht Ende-zu-Ende-verschlüsselt, deshalb "ist von dieser Kommunikationsform abzuraten, wenn personenbezogene Daten im Spiel sind". Man solle dann eine alternative Plattform wählen, bei der eine "echte Ende-zu-Ende-Verschlüsselung" garantiert ist.

Auf Nachfrage von heise online, welche Alternative das denn sein könnte, antwortete ein Pressesprecher der Datenschutzbehörde, dass man keine Empfehlungen ausspreche. Auch betonte man, wie bereits in dem Interview mit dem Handelsblatt, keine Dienste – mangels eigener Zuständigkeit – getestet und auch die Datenschutzerklärungen des Unternehmens nicht ausgewertet zu haben.

Auf eine erneute Nachfrage, ob der Bundesdatenschutzbeauftragte denn aus denselben Gründen von Skype, Microsoft Teams und Google Meet abraten würde, hieß es, man habe sich ausschließlich auf die öffentliche Kritik an Zoom bezogen und sei nicht für das Testen zuständig. Auch diese Dienste sind, wie eine Übersicht über die kostenlosen Videokonferenzdienste der c't zeigt, nicht Ende-zu-Ende-verschlüsselt. Was der Datenschutzbeauftragte empfiehlt, ist also kaum möglich.

Datenschutzbeauftragte legt sich mit Microsoft an

Die Berliner Datenschutzbeauftragte hat am heutigen Montag zudem erneut einen Leitfaden zu Videokonferenzsoftware veröffentlicht, in dem sie auch Microsoft kritisiert. Das Unternehmen beschwerte sich über eine erste Fassung und schickte eine Abmahnung, woraufhin das Papier zunächst von der Webseite genommen wurde und nun in einer konkretisierten Version wieder zugänglich ist. In Kürze solle auch eine "ausführliche Übersicht mit detaillierten Angaben zu verschiedenen gängigen Anbietern von Videokonferenzdiensten" erscheinen.

Microsoft berief sich darauf, dass die Kommunikation via Teams und Skype for Business während der Übertragung stets verschlüsselt sei. Dies bedeutet jedoch eben nicht, dass es sich um eine Ende-zu-Ende-Verschlüsselung handelt. Konkreter wird das Unternehmen allerdings nicht.

Zoom will echte Ende-zu-Ende-Verschlüsselung

Zoom war bereits auf die Füße gefallen, dass sie eine Ende-zu-Ende-Verschlüsselung versprachen, obwohl das Unternehmen lediglich eine Transportverschlüsselung (TLS) nutzte. In einer Stellungnahme hieß es, dass bei der Nutzung von Zoom-Clients die Entschlüsselung ausschließlich auf den Clients stattfinde, die Zoom-Server also nicht reinschauen könnten. Dafür arbeite man zudem an einer echten Ende-zu-Ende-Verschlüsselung und hat den Krypto-Anbieter Keybase gekauft – und nun ein entsprechendes Whitepaper veröffentlicht.

Eine Ende-zu-Ende-Verschlüsselung ist, anders als im Bereich Direct Messaging, bei Videokonferenzen praktisch kaum möglich, meint dazu Jürgen Schmidt, Leiter von heise Security. Schaffe Zoom die massentaugliche Umsetzung, sei das ein echter Meilenstein. Das vorgestellte Konzept beruhe auf der Tatsache, dass Zooms Multimedia Router (MMR) für das komplette Management der Video-Streams keinen Zugriff auf die Klartextdaten brauche, wie Zoom behauptet. Für eine echte Ende-zu-Ende-Verschlüsselung müsse dann jeder Client einen Private Key bekommen. Laut Schmidt liegt hier der Knackpunkt, denn ein vernünftiges Schlüsselmanagement ist oft das Kernproblem im Bereich Security.

(emw)