Videokonferenzen

Zoom – Fluch oder Segen?

16. Juli 2020
Videokonferenz
Quelle: pixabay

Man muss nicht mehr begründen, warum alle Welt auf der Suche nach dem optimalen Videokonferenztool ist. Aber welches Tool erfüllt auch die Anforderungen an Sicherheit und Datenschutz? Leider ist eine große Zahl von Publikationen bei der Beantwortung weder hilfreich noch ehrlich. Karin Schuler versucht in der »Computer und Arbeit« 7-8/2020, Licht ins Dunkel zu bringen.

Wenn Fakten in irreführende Zusammenhänge gebracht, Äpfel mit Birnen verglichen und unterschiedliche Maßstäbe angelegt werden, misslingt eine objektive Bewertung der – nicht ganz einfachen – Sachverhalte. Auch angesehene Datenschützer und Datenschutzbehörden sind leider nicht vor solch einseitigen Darstellungen gefeit. Das ist insoweit nachvollziehbar, als es eine einfache Antwort auf die Frage nach einem für alle Anwendungsszenarien gleichermaßen geeigneten Tool nicht geben kann.

Sicherheit entsteht immer erst durch das Analysieren der eigenen Anforderungen, die Überlegungen zu möglichen Angriffsszenarien und durch die Prüfung möglicher Gegen- oder Schutzmaßnahmen. Ein Tool muss daher immer auch in seinem konkreten Anwendungsszenario betrachtet werden. Die Bewertung möglicher Risiken unterscheidet sich bereits anhand erster Nutzungsüberlegungen: Will ich hauptsächlich Termine und Tagesordnungen absprechen oder ganze Betriebsratssitzungen durchführen? Fürchte ich mehr die Indiskretion eines Dienstanbieters oder die meines eigenen Arbeitgebers?

So verständlich also der Wunsch nach einer schlichten Empfehlungsliste ist, so unmöglich ist es, diesen seriös zu erfüllen. Daher wird auch am Ende dieses Beitrags keine Empfehlung ausgesprochen. Allerdings soll in Bezug auf das Tool Zoom die Faktenlage beleuchtet werden, um Ihren Entscheidungsprozess zu unterstützen. Interessant ist Zoom vor allem deswegen, weil man fast wie im Zeitraffer studieren kann, was bei der Software-Entwicklung und -bereitstellung alles schiefgehen kann – und dass Verbesserung möglich ist.

Die Ausgangslage

Bis April 2020 häuften sich Berichte über Sicherheitslücken und fehlende Datenschutzstandards. Eine Verbesserungsinitiative des Unternehmens sollte den Befreiungsschlag bringen. Das für Nutzer sichtbarste Ergebnis ist das Release einer neuen Version 5.0, die seit dem 1. Juni 2020 ausschließlich eingesetzt wird. Aber auch darüber hinaus gab es Änderungen, die mehr Transparenz und Datenschutzfreundlichkeit bewirken sollen (vgl. dazu den Beitrag auf S. 31: »Was ist neu in Version 5.0?«).

Die Popularität von Zoom – bis vor Kurzem noch trotz bekannter Mängel – liegt nicht zuletzt an der einfachen Bedienbarkeit, einer weitgehenden Unabhängigkeit von Hardware und einer sehr guten Performance. Ist es also unter Umständen vertretbar, das Tool nun zu nutzen?

Wie funktioniert eine Videokonferenz?

Stark vereinfacht ausgedrückt wird zwischen den Teilnehmenden einer Konferenz eine sternförmige Verbindung aufgebaut. Damit jeder mit jedem kommunizieren kann, verbindet man sich mit einem vermittelnden Server, der als zentrale Schaltstelle dient. Gehört einem dieser vermittelnde Server selbst, hat man die volle Kontrolle darüber und muss »nur« noch darauf achten, dass die Wege zwischen Teilnehmenden (bzw. deren Geräten) und dem zentralen Server vor unberechtigter Einsichtnahme geschützt werden. Dies geschieht üblicherweise durch eine Transportverschlüsselung.

Etwas anders stellt sich die Situation dar, wenn einem der zentrale Konferenzserver nicht selbst gehört. Man verlässt sich dann auf einen Dienstleister, der diesen Server und den darauf laufenden Konferenzdienst betreibt. Dieser Betreiber wäre rein technisch in der Lage, auf die während einer Konferenz fließenden Daten Zugriff zu nehmen.

Diesem Risiko kann man entweder normativ (durch Abschluss eines Vertrags, der dem Dienstleister den Zugriff verbietet; dazu unten mehr) oder technisch durch eine E2E-Verschlüsselung begegnen (siehe Infokasten).

Ende-zu-Ende-Verschlüsselung

Will man technisch ausschließen, dass der Betreiber eines zentralen Kommunikationsservers Einblick in Konferenzdaten erhält, muss eine Verschlüsselung etabliert werden, die den gesamten Datenstrom zwischen je zwei Teilnehmenden unterbrechungsfrei verschlüsselt – eine sogenannte Ende-zu-Ende-Verschlüsselung (E2E). Das ist keine triviale Aufgabe, weil bei mehreren Teilnehmenden jede mit jedem verschlüsselt kommunizieren möchte, also entsprechend viele Verbindungen verschlüsselt werden müssen.
Das Generieren und Verteilen von Schlüsseln für eine solche E2E-Verschlüsselung ist technisch wesentlich aufwändiger, als wenn der zentrale Server »nur« die Wege zwischen sich und allen Teilnehmenden (auf der Transportebene) verschlüsselt. Daher gibt es wenige Konferenzsysteme, die diese echte E2E-Verschlüsselung anbieten.
Zusätzlich geht der Einsatz von E2E-Verschlüsselung aus technischen Gründen meist mit einer Einschränkung bestimmter Funktionen einher: Es sind dann weder Aufzeichnungen möglich, noch kann die Kommunikation mit über eine Telefonleitung (Einwahl) zugeschalteten Teilnehmenden verschlüsselt werden.
Damit der Betreiber des zentralen Konferenzservers selbst keine Konferenzdaten einsehen kann, darf die Hoheit über die Schlüssel der E2E-Verschlüsselung nicht beim Betreiber liegen, weil er die Verschlüsselung sonst im Einzelfall rückgängig machen könnte. Daher stellt die Schlüsselverwaltung eine wesentliche technische Herausforderung beim Einsatz einer E2E-Verschlüsselung dar.

Wie verschlüsselt Zoom?

Zoom bietet (noch) keine E2E-Verschlüsselung an – wie übrigens die überwiegende Mehrheit verfügbarer Konferenzsoftware. Man kann vermuten, dass das zumindest teilweise an der technischen Komplexität eines solchen Features liegt. Außerdem entwickelt Zoom seine Software ganz besonders in Hinblick auf sehr große Teilnehmergruppen und Webinare. Eine E2E-Verschlüsselung für 500+ Teilnehmende dürfte nach derzeitigem Kenntnisstand bei gleichbleibender Performance sehr schwer zu realisieren sein (...).

Mehr lesen?

  • Welche Daten Zoom erhebt
  • Wo die Daten gespeichert werden
  • Welche Pflichten den datenschutzrechtlich Verantwortlichen bei Videokonferenzen treffen
  • Die Datenschutzrichtlinie von »Zoom«
  • Was ist eine AVV?
  • Was hat Zoom in Version 5.0 geändert?

Das und viele weitere Beiträge zu den Themen Datenschutz und IT-Mitbestimmung lesen Sie in »Computer und Arbeit« 7-8/2020.

© bund-verlag.de (ct)

 

AiB-Banner Viertel Quadratisch - Anzeige -

Das könnte Sie auch interessieren

Lieferkette Produktion Transport Logistik supply chain
Lieferkettengesetz - Aktuelles

Europäisches Lieferkettengesetz kommt

Brille Tastatur Computer Bildschirmarbeit
Gesundheitsschutz - Aus den Fachzeitschriften

7 Fragen zur Bildschirmbrille