26
Was ist eigentlich das negative an der Videokonferenzsoftware Zoom?
Hallo alle zusammen!
Hier einmal eine - vielleicht total unnötige und dumme - Frage. Aufgrund von Corona verwenden viele Universitäten, Schulen und Firmen ja mittlerweile Zoom um Videokonferenzen zu veranstalten. Allerdings beschweren sich ja viele über die Unsicherheit von Zoom, von wegen Datenschutz und Ähnlichem. Wie kann ich mir das genau vorstellen? Wurden schonmal Leute gehackt oder haben einen Virus (nicht Corona ;)) bekommen?
Grüße
Hier einmal eine - vielleicht total unnötige und dumme - Frage. Aufgrund von Corona verwenden viele Universitäten, Schulen und Firmen ja mittlerweile Zoom um Videokonferenzen zu veranstalten. Allerdings beschweren sich ja viele über die Unsicherheit von Zoom, von wegen Datenschutz und Ähnlichem. Wie kann ich mir das genau vorstellen? Wurden schonmal Leute gehackt oder haben einen Virus (nicht Corona ;)) bekommen?
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 618392
Url: https://administrator.de/contentid/618392
Printed on: April 19, 2024 at 05:04 o'clock
26 Comments
Latest comment
Moin
Die Chinesen sind das Problem.
lks
Die Chinesen sind das Problem.
lks
Hi
Zoom hat eine Lange Historie an
- Unsicherer Client, der die Übernahme des PCs ermöglicht
- unverschlüsseltes Protokoll, was das mitschneiden/überwachen durch den Betreiber und am Ende auch von Staaten ermöglicht. Chinesischer Hersteller lässt grüßen...
- Unsichere Implementation der Sessions, so daß jeder Depp auf fremde Sessions zugreifen kann und entsprechend Internas mitbekommen kann .
Neben dem weiterhin Raum stehenden Verdacht das China halt alles in Zoom auswertet, haben sie zumindest Mal eine Transportverschlüsselung eingebaut und an der Client Security gearbeitet. Aber ohne den Source code bleibt der Client einfach ein chinesischer Trojaner. Kann man jetzt drüber streiten ob ein chinesischer oder amerikanischer Trojaner schlimmer ist, aber es ist einfach diese Unsicherheit vorhanden
Zoom hat eine Lange Historie an
- Unsicherer Client, der die Übernahme des PCs ermöglicht
- unverschlüsseltes Protokoll, was das mitschneiden/überwachen durch den Betreiber und am Ende auch von Staaten ermöglicht. Chinesischer Hersteller lässt grüßen...
- Unsichere Implementation der Sessions, so daß jeder Depp auf fremde Sessions zugreifen kann und entsprechend Internas mitbekommen kann .
Neben dem weiterhin Raum stehenden Verdacht das China halt alles in Zoom auswertet, haben sie zumindest Mal eine Transportverschlüsselung eingebaut und an der Client Security gearbeitet. Aber ohne den Source code bleibt der Client einfach ein chinesischer Trojaner. Kann man jetzt drüber streiten ob ein chinesischer oder amerikanischer Trojaner schlimmer ist, aber es ist einfach diese Unsicherheit vorhanden
1
Moin,
Sehe ich auch so.
Ob jetzt Teams, WebEx, LifeSize, GoTo Meeting, ... besser sind!?
Wobei Zoom ja, zumindest dem Firmensitz nach zu urteilen, ebenfalls ein amerikanischer Konzern ist: https://zoom.us/de-de/contact.html
Zoom hat in der "heißen" Phase der ersten Corona-Welle jedenfalls zügig nachlegen können (bzw. müssen), was Sicherheit/ bzw. die Kritiken angeht: https://support.zoom.us/hc/en-us/articles/201361953
Manche Funktionen sind zudem auch - gerade im Bildungskontext - hervorragend: z.B. die Breakout-Rooms. Microsoft will mit Teams hier wohl nachziehen.
Am Ende sind aber alle Tools kritisch zu betrachten - zumindest, solange niemand neutrales den gesamten Quellcode sichten und bewerten kann.
Gruß
em-pie
Zitat von @SeaStorm:
[...] Kann man jetzt drüber streiten ob ein chinesischer oder amerikanischer Trojaner schlimmer ist, aber es ist einfach diese Unsicherheit vorhanden.
[...] Kann man jetzt drüber streiten ob ein chinesischer oder amerikanischer Trojaner schlimmer ist, aber es ist einfach diese Unsicherheit vorhanden.
Sehe ich auch so.
Ob jetzt Teams, WebEx, LifeSize, GoTo Meeting, ... besser sind!?
Wobei Zoom ja, zumindest dem Firmensitz nach zu urteilen, ebenfalls ein amerikanischer Konzern ist: https://zoom.us/de-de/contact.html
Zoom hat in der "heißen" Phase der ersten Corona-Welle jedenfalls zügig nachlegen können (bzw. müssen), was Sicherheit/ bzw. die Kritiken angeht: https://support.zoom.us/hc/en-us/articles/201361953
Manche Funktionen sind zudem auch - gerade im Bildungskontext - hervorragend: z.B. die Breakout-Rooms. Microsoft will mit Teams hier wohl nachziehen.
Am Ende sind aber alle Tools kritisch zu betrachten - zumindest, solange niemand neutrales den gesamten Quellcode sichten und bewerten kann.
Gruß
em-pie
1
Am Ende sind aber alle Tools kritisch zu betrachten - zumindest, solange niemand neutrales den gesamten Quellcode sichten und bewerten kann.
Oder man nichtmal Einsicht in die Datenströme bekommt -> Selfhosted.
Ansonsten, was bringt es den Quellcode sichten zu können, wenn es nicht genug manpower dafür/dahinter gibt...?
Zitat von @em-pie:
Am Ende sind aber alle Tools kritisch zu betrachten - zumindest, solange niemand neutrales den gesamten Quellcode sichten und bewerten kann.
Am Ende sind aber alle Tools kritisch zu betrachten - zumindest, solange niemand neutrales den gesamten Quellcode sichten und bewerten kann.
Zumindest bei BigBlueButton könnte man es theoretisch machen.
lks
BigBlueButton wird von Schulen mittlerweile eingesetzt, weil es sich gut in die Lernplattform moodle integrieren lässt.
Ansonsten hat unsere Schule von Zoom über Teams bis was weiß ich noch alles zu Beginn ausprobiert. Die meisten Lösungen sind allerdings gescheitert. Gründe wurden nicht genannt. Wahrscheinlich konnte der Dienstleister nicht weiterhelfen so dass die Lehrer auf sich allein gestellt waren.
Ansonsten hat unsere Schule von Zoom über Teams bis was weiß ich noch alles zu Beginn ausprobiert. Die meisten Lösungen sind allerdings gescheitert. Gründe wurden nicht genannt. Wahrscheinlich konnte der Dienstleister nicht weiterhelfen so dass die Lehrer auf sich allein gestellt waren.
Zitat von @SeaStorm:
Hi
Zoom hat eine Lange Historie an
- Unsicherer Client, der die Übernahme des PCs ermöglicht
- unverschlüsseltes Protokoll, was das mitschneiden/überwachen durch den Betreiber und am Ende auch von Staaten ermöglicht. Chinesischer Hersteller lässt grüßen...
- Unsichere Implementation der Sessions, so daß jeder Depp auf fremde Sessions zugreifen kann und entsprechend Internas mitbekommen kann .
Neben dem weiterhin Raum stehenden Verdacht das China halt alles in Zoom auswertet, haben sie zumindest Mal eine Transportverschlüsselung eingebaut und an der Client Security gearbeitet. Aber ohne den Source code bleibt der Client einfach ein chinesischer Trojaner. Kann man jetzt drüber streiten ob ein chinesischer oder amerikanischer Trojaner schlimmer ist, aber es ist einfach diese Unsicherheit vorhanden
Hi
Zoom hat eine Lange Historie an
- Unsicherer Client, der die Übernahme des PCs ermöglicht
- unverschlüsseltes Protokoll, was das mitschneiden/überwachen durch den Betreiber und am Ende auch von Staaten ermöglicht. Chinesischer Hersteller lässt grüßen...
- Unsichere Implementation der Sessions, so daß jeder Depp auf fremde Sessions zugreifen kann und entsprechend Internas mitbekommen kann .
Neben dem weiterhin Raum stehenden Verdacht das China halt alles in Zoom auswertet, haben sie zumindest Mal eine Transportverschlüsselung eingebaut und an der Client Security gearbeitet. Aber ohne den Source code bleibt der Client einfach ein chinesischer Trojaner. Kann man jetzt drüber streiten ob ein chinesischer oder amerikanischer Trojaner schlimmer ist, aber es ist einfach diese Unsicherheit vorhanden
Das trifft schon einiges.
Grundsätzlich gibt es aber nie genug Konkurrenz, deshalb sollte man mit Zoom nachsichtig sein.
eigentich haben alle US-amerikanischen Tools zwei Probleme:
- die gewerbliche Datensammelei:
In den USA gibt es kein Grundrecht auf informelle Selbstbestimmung, und das ungefragte Sammeln incl Weiterverkaufen ist gang und Gäbe.
Jegliche Verhandlungen mit allen US-amerikanischen Unternehmen zur Gewährung von Datenschutz an EU--Kunden nach EU-Standard sind gescheitert und Lagern von Daten dort ist eigentlich illegal.
- die staatliche Einsichtnahme in Kundendaten
Diese Regierungsbackdoor müssen alle Kommunikationsanbieter. Radionstationen und Fernseher einbauen. Es gibt keinerlei Kontrolle, Legimitation, und die Einsichtnahme wird auch später den Betreibern meistens nicht kundgetan. Tlw werden sie informiert und dazu gezwungen, nichts zu sagen. Und das sind ca. 50 Regierungsbehörden, die alle 2 Jahre lang ein bis zwei Monate wegen Haushaltsstreitereien kein Geld kriegen. Natürlich wird über diesem Weg auch Wirtschaftsspionage betrieben, entweder zur Gehaltsaufbesserung während eines Gouverment lockdowns oder so Bares für Wahres.
Ich war letzes Jahr auf einer Cloud-Schulung, und da sagte uns ein Security-Spezialist daß die allermeisten Cloud-Kunden es "externer Einsichtnahme" nicht allzu schwer machen weil die ihre Daten schlecht bis garnicht verschlüsseln.
Bei Zoom für Schulunterricht würd ich nicht allzuviel Gedanken verschwenden... schließlich hat Google ja etwas nachgebessert.
Und wer vor der eigenen Haustür schaut, der nimmt vielleicht Teamviewer. Eine Firma, die gehackt wurde... weiß Gott alleine wieviel Kundendaten da abgezogen wurden.
- die gewerbliche Datensammelei:
In den USA gibt es kein Grundrecht auf informelle Selbstbestimmung, und das ungefragte Sammeln incl Weiterverkaufen ist gang und Gäbe.
Jegliche Verhandlungen mit allen US-amerikanischen Unternehmen zur Gewährung von Datenschutz an EU--Kunden nach EU-Standard sind gescheitert und Lagern von Daten dort ist eigentlich illegal.
- die staatliche Einsichtnahme in Kundendaten
Diese Regierungsbackdoor müssen alle Kommunikationsanbieter. Radionstationen und Fernseher einbauen. Es gibt keinerlei Kontrolle, Legimitation, und die Einsichtnahme wird auch später den Betreibern meistens nicht kundgetan. Tlw werden sie informiert und dazu gezwungen, nichts zu sagen. Und das sind ca. 50 Regierungsbehörden, die alle 2 Jahre lang ein bis zwei Monate wegen Haushaltsstreitereien kein Geld kriegen. Natürlich wird über diesem Weg auch Wirtschaftsspionage betrieben, entweder zur Gehaltsaufbesserung während eines Gouverment lockdowns oder so Bares für Wahres.
Ich war letzes Jahr auf einer Cloud-Schulung, und da sagte uns ein Security-Spezialist daß die allermeisten Cloud-Kunden es "externer Einsichtnahme" nicht allzu schwer machen weil die ihre Daten schlecht bis garnicht verschlüsseln.
Bei Zoom für Schulunterricht würd ich nicht allzuviel Gedanken verschwenden... schließlich hat Google ja etwas nachgebessert.
Und wer vor der eigenen Haustür schaut, der nimmt vielleicht Teamviewer. Eine Firma, die gehackt wurde... weiß Gott alleine wieviel Kundendaten da abgezogen wurden.
Fairerweise sollte man erwähnen dass in Deutschland ebenfalls gesetzliche Regelungen vorhanden sind die Telekommunikationsunternehmen verpflichten Datenverkehr aus zu leiten. Und das ist nur ein rechtlicher Aspekt.
Besonders interessant ist zu beobachten dass z.b. die in Google Mail integrierte Telefonfunktion seitens der Behörden seit längerer Zeit einer normalen Telefonkommunikation im Sinne des der TKG gleichgestellt werden soll. Google versucht das nach allen Kräften versucht zu verhindern.
Man sollte sich vielleicht auch aktuell noch mal vor Augen führen was unser Bundesverfassungsgericht bezüglich der Arbeit der Geheimdienste am DE-CIX entschieden hat.
Es wird nicht mehr lange dauern und dann wird die Kommunikation in z.b. WhatsApp oder anderen Messenger ebenfalls dem der normalen Telefonie gleichgestellt. Ich empfinde das sogar als logisch und konsequent.
Was die rechtliche Konsequenz ist kann man sich mit normalen Verstand dann zusammenreimen.
Besonders interessant ist zu beobachten dass z.b. die in Google Mail integrierte Telefonfunktion seitens der Behörden seit längerer Zeit einer normalen Telefonkommunikation im Sinne des der TKG gleichgestellt werden soll. Google versucht das nach allen Kräften versucht zu verhindern.
Man sollte sich vielleicht auch aktuell noch mal vor Augen führen was unser Bundesverfassungsgericht bezüglich der Arbeit der Geheimdienste am DE-CIX entschieden hat.
Es wird nicht mehr lange dauern und dann wird die Kommunikation in z.b. WhatsApp oder anderen Messenger ebenfalls dem der normalen Telefonie gleichgestellt. Ich empfinde das sogar als logisch und konsequent.
Was die rechtliche Konsequenz ist kann man sich mit normalen Verstand dann zusammenreimen.
Zitat von @Looser27:
Die meisten Lösungen sind allerdings gescheitert. Gründe wurden nicht genannt. Wahrscheinlich konnte der Dienstleister nicht weiterhelfen so dass die Lehrer auf sich allein gestellt waren.
Die meisten Lösungen sind allerdings gescheitert. Gründe wurden nicht genannt. Wahrscheinlich konnte der Dienstleister nicht weiterhelfen so dass die Lehrer auf sich allein gestellt waren.
Das ist genau das Problem. Man lässt die Lehrer allein mit dem Problem. Die müssen sich mit einer nach wie vor nicht gefestigten DS-Rechtslage auseinander setzen. Und dann kommen so kleine DSGVO-Rottweiler wie der Thüringer Datenschutzbeauftragte und wollen auch mal beißen. Weil sie an die großen Fische nicht ran kommen, befassen sie sich mit Lehrern:
https://www.mdr.de/thueringen/bussgelder-lehrer-datenschutz-kritik-100.h ...
Wenn wir bei der Digitalisierung der Schulen nur halb so schnell wären wie beim Datenschutz, dann wär uns schon viel geholfen.
1
Das Problem ist, dass der Hersteller die Kommunikation quasi "mitlesen" kann. Aber welcher Hersteller dieser Softwaregattung kann das nicht. Ich würde sagen du hast als Nutzer/in nur die Wahl, wem du das ganze "Gesabbel" anvertrauen möchtest.
Zitat von @MartinAd23:
Das Problem ist, dass der Hersteller die Kommunikation quasi "mitlesen" kann. Aber welcher Hersteller dieser Softwaregattung kann das nicht. Ich würde sagen du hast als Nutzer/in nur die Wahl, wem du das ganze "Gesabbel" anvertrauen möchtest.
Das Problem ist, dass der Hersteller die Kommunikation quasi "mitlesen" kann. Aber welcher Hersteller dieser Softwaregattung kann das nicht. Ich würde sagen du hast als Nutzer/in nur die Wahl, wem du das ganze "Gesabbel" anvertrauen möchtest.
Es gibt Lösungen wie Bigbluebutton oder jitsi, die man auf eigenen Sytemen laufen lassen kann. Da kann man dann Vorkehrungen treffen, daß die "Mitwisser" eingeschränkt sind.
lks
1
Zitat von @MartinAd23:
Das Problem ist, dass der Hersteller die Kommunikation quasi "mitlesen" kann. Aber welcher Hersteller dieser Softwaregattung kann das nicht. Ich würde sagen du hast als Nutzer/in nur die Wahl, wem du das ganze "Gesabbel" anvertrauen möchtest.
Wenn du Jitsi auf einem eigenen Server laufen lässt, dann gibt es in der Regel keinen Mithörer.Das Problem ist, dass der Hersteller die Kommunikation quasi "mitlesen" kann. Aber welcher Hersteller dieser Softwaregattung kann das nicht. Ich würde sagen du hast als Nutzer/in nur die Wahl, wem du das ganze "Gesabbel" anvertrauen möchtest.
Zitat von @it-fraggle:
Wenn du Jitsi auf einem eigenen Server laufen lässt, dann gibt es in der Regel keinen Mithörer.
Wenn du Jitsi auf einem eigenen Server laufen lässt, dann gibt es in der Regel keinen Mithörer.
Achso, kann der Administrator den Traffic nicht mitschneiden?
Zitat von @Th0mKa:
Achso, kann der Administrator den Traffic nicht mitschneiden?
Zitat von @it-fraggle:
Wenn du Jitsi auf einem eigenen Server laufen lässt, dann gibt es in der Regel keinen Mithörer.
Wenn du Jitsi auf einem eigenen Server laufen lässt, dann gibt es in der Regel keinen Mithörer.
Achso, kann der Administrator den Traffic nicht mitschneiden?
Da ist man ja i.d.R. der eigene Admin.
wenn Du den Admin als "Angreifer" siehst, dann darfst Du halt keine Admins nehmen, sondern selbst administrieren.
lks
wenn Du den Admin als "Angreifer" siehst, dann darfst Du halt keine Admins nehmen, sondern selbst administrieren.
nach der Logik ist er dann aber selber der Angreifer.....
Zitat von @Lochkartenstanzer:
Da ist man ja i.d.R. der eigene Admin.
wenn Du den Admin als "Angreifer" siehst, dann darfst Du halt keine Admins nehmen, sondern selbst administrieren.
lks
Da ist man ja i.d.R. der eigene Admin.
wenn Du den Admin als "Angreifer" siehst, dann darfst Du halt keine Admins nehmen, sondern selbst administrieren.
lks
Das mag für dich als Admin gelten, aber es kann sich nicht jeder $Nutzer nen Server aufsetzen. Das der Firmenadmin per se vertrauenswürdiger ist als die Admins bei z. B. Zoom sehe ich jedenfalls nicht.
/Thomas
Zitat von @Th0mKa:
Achso, kann der Administrator den Traffic nicht mitschneiden?
Also ein Administrator, dem man nicht vertrauen kann, okay. Wie kannst du dann arbeiten?Zitat von @it-fraggle:
Wenn du Jitsi auf einem eigenen Server laufen lässt, dann gibt es in der Regel keinen Mithörer.
Wenn du Jitsi auf einem eigenen Server laufen lässt, dann gibt es in der Regel keinen Mithörer.
Achso, kann der Administrator den Traffic nicht mitschneiden?
Zitat von @it-fraggle:
Also ein Administrator, dem man nicht vertrauen kann, okay. Wie kannst du dann arbeiten?
Also ein Administrator, dem man nicht vertrauen kann, okay. Wie kannst du dann arbeiten?
Warum sollte ich dem Admin in meiner Firma mehr/weniger trauen als dem bei Zoom?
Zitat von @Th0mKa:
Warum sollte ich dem Admin in meiner Firma mehr/weniger trauen als dem bei Zoom?
Zitat von @it-fraggle:
Also ein Administrator, dem man nicht vertrauen kann, okay. Wie kannst du dann arbeiten?
Also ein Administrator, dem man nicht vertrauen kann, okay. Wie kannst du dann arbeiten?
Warum sollte ich dem Admin in meiner Firma mehr/weniger trauen als dem bei Zoom?
Weil der Arbeitgeber Dein und sein Gehalt zahlt.
lks
Ja na klar, das hält Leute ja auch vom Diebstahl in der eigenen Firma ab.
Klingt jetzt nicht nach einem schlüssigen Argument.
Zitat von @Th0mKa:
Ja na klar, das hält Leute ja auch vom Diebstahl in der eigenen Firma ab.
Klingt jetzt nicht nach einem schlüssigen Argument.
Ja na klar, das hält Leute ja auch vom Diebstahl in der eigenen Firma ab.
Klingt jetzt nicht nach einem schlüssigen Argument.
Habt halt beide Recht!
Grundsätzlich kann ein einzelner IT-Mitarbeiter natürlich insgeheim Daten/ Informationen abgreifen bzw. mitlesen. Um so wichtiger ist das revisionssichere Logging von Zugriffen, auf die im Zweifel nicht nur der MA der One-Man-Show Zugriff hat
Allerdings traue ich der eigenen Unternehmens-IT mehr, denn der IT eines Herstellers. Baut //mein/ Mitarbeiter Mist, kann ich den persönlich haftbar machen. Wenn aber Mitschnitte durch Software-Hersteller erfolgen und ausgewertet/ verwendet werden, gibt es a) eine Art Anordnung von oben und b) ist die Hemmschwelle jedes einzelnen niedriger, da ja niemand den Andy aus der Entwicklungsabteilung persönlich in die Haftung nehmen wird...
Zitat von @em-pie:
Wenn aber Mitschnitte durch Software-Hersteller erfolgen und ausgewertet/ verwendet werden
Wenn aber Mitschnitte durch Software-Hersteller erfolgen und ausgewertet/ verwendet werden
Glaube nicht das Mitschnitte durch einen Admin soviel bringen, Zoom hat ja schon ne Weile eine Ende-zu-Ende Verschlüsslung. Das kann man mWn von den freien Alternativen die man zuhause hosten würde nicht behaupten.
/Thomas
