Zoom-Gespräche entgegen Behauptung nicht Ende-zu-Ende verschlüsselt

Zoom
(Bildnachweis: Shutterstock)

Wegen des Coronavirus hat Zoom Video Communications einen Anstieg der Nutzung seines Videokonferenzdienstes erlebt, aber ein neuer Bericht von The Intercept zeigt, dass die Behauptung des Unternehmens, seine Sitzungen seien durchgehend verschlüsselt, nicht stimmt.

Auf seiner Website und in einem sicherheitsrelevanten Whitepaper rühmt sich das US-amerikanische Videokonferenzunternehmen mit der End-to-End-Verschlüsselung. The Intercept entdeckte jedoch, dass der Dienst stattdessen tatsächlich eine Transportverschlüsselung verwendet.

Die Transportverschlüsselung ist ein Transport Layer Security (TLS)-Protokoll, das die Verbindung zwischen einem Benutzer und dem Server, mit dem er verbunden ist, sichert. TLS wird auch verwendet, um Verbindungen zwischen Benutzern und jeder Website, die sie besuchen, mit dem HTTPS-Protokoll zu sichern.

Der Hauptunterschied zwischen Transportverschlüsselung und End-to-End-Verschlüsselung besteht jedoch darin, dass andere Personen zwar nicht auf Ihre Daten zugreifen können, Zoom aber schon.

Ende-zu-Ende-Verschlüsselung

In einer Erklärung gegenüber The Intercept erklärte ein Sprecher von Zoom, dass der Dienst derzeit nicht in der Lage sei, eine Ende-zu-Ende-Verschlüsselung anzubieten:

"Derzeit ist es nicht möglich, die E2E-Verschlüsselung für Zoom-Videokonferenzen zu aktivieren. Zoom-Videokonferenzen verwenden eine Kombination aus TCP und UDP. TCP-Verbindungen werden über TLS hergestellt und UDP-Verbindungen werden mit AES unter Verwendung eines über eine TLS-Verbindung ausgehandelten Schlüssels verschlüsselt."

Im Grunde erklärte das Unternehmen, dass sich die Verwendung des Begriffs "End-to-End" in seinem Whitepaper auf die verschlüsselte Verbindung zwischen den Zoom-Endpunkten bezieht. Das bedeutet, dass andere Personen nicht auf die Daten zugreifen können, die bei Zoom-Videoanrufen ausgetauscht werden, das Unternehmen selbst aber schon.

Trotz des jüngsten Anstiegs der Popularität des Dienstes sind eine Reihe von Datenschutzproblemen im Zusammenhang mit dem Dienst zum Vorschein gekommen, wie z.B. die Tatsache, dass die iOS-App Daten ohne ausdrückliche Zustimmung des Benutzers an Facebook sendet. Glücklicherweise hat Zoom vor kurzem den Code entfernt, der Daten an das soziale Netzwerk sendet.

Außerdem ergab ein neuer Bericht von Bleeping Computer, dass es für Hacker möglich ist, Passwörter über den Windows-Client von Zoom zu stehlen.

Via TNW

Redakteur – Gaming, Computing

Eugen Wegmann ist Online-Redakteur für PurpleClouds Deutschland GmbH / TechRadar Region DACH und zuständig für Gaming und Computer-Hardware.

E-Mail: ewegmann[at]purpleclouds.de