techniknerd135
Goto Top

Was ist eigentlich das negative an der Videokonferenzsoftware Zoom?

Hallo alle zusammen!

Hier einmal eine - vielleicht total unnötige und dumme - Frage. Aufgrund von Corona verwenden viele Universitäten, Schulen und Firmen ja mittlerweile Zoom um Videokonferenzen zu veranstalten. Allerdings beschweren sich ja viele über die Unsicherheit von Zoom, von wegen Datenschutz und Ähnlichem. Wie kann ich mir das genau vorstellen? Wurden schonmal Leute gehackt oder haben einen Virus (nicht Corona ;)) bekommen?

Grüße

Content-ID: 618392

Url: https://administrator.de/contentid/618392

Ausgedruckt am: 24.11.2024 um 00:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 01.11.2020 um 13:38:36 Uhr
Goto Top
Moin

Die Chinesen sind das Problem.

lks
SeaStorm
SeaStorm 01.11.2020 um 13:53:29 Uhr
Goto Top
Hi

Zoom hat eine Lange Historie an
- Unsicherer Client, der die Übernahme des PCs ermöglicht
- unverschlüsseltes Protokoll, was das mitschneiden/überwachen durch den Betreiber und am Ende auch von Staaten ermöglicht. Chinesischer Hersteller lässt grüßen...
- Unsichere Implementation der Sessions, so daß jeder Depp auf fremde Sessions zugreifen kann und entsprechend Internas mitbekommen kann .

Neben dem weiterhin Raum stehenden Verdacht das China halt alles in Zoom auswertet, haben sie zumindest Mal eine Transportverschlüsselung eingebaut und an der Client Security gearbeitet. Aber ohne den Source code bleibt der Client einfach ein chinesischer Trojaner. Kann man jetzt drüber streiten ob ein chinesischer oder amerikanischer Trojaner schlimmer ist, aber es ist einfach diese Unsicherheit vorhanden
em-pie
em-pie 01.11.2020 aktualisiert um 14:25:20 Uhr
Goto Top
Moin,

Zitat von @SeaStorm:
[...] Kann man jetzt drüber streiten ob ein chinesischer oder amerikanischer Trojaner schlimmer ist, aber es ist einfach diese Unsicherheit vorhanden.

Sehe ich auch so.
Ob jetzt Teams, WebEx, LifeSize, GoTo Meeting, ... besser sind!?
Wobei Zoom ja, zumindest dem Firmensitz nach zu urteilen, ebenfalls ein amerikanischer Konzern ist: https://zoom.us/de-de/contact.html

Zoom hat in der "heißen" Phase der ersten Corona-Welle jedenfalls zügig nachlegen können (bzw. müssen), was Sicherheit/ bzw. die Kritiken angeht: https://support.zoom.us/hc/en-us/articles/201361953
Manche Funktionen sind zudem auch - gerade im Bildungskontext - hervorragend: z.B. die Breakout-Rooms. Microsoft will mit Teams hier wohl nachziehen.

Am Ende sind aber alle Tools kritisch zu betrachten - zumindest, solange niemand neutrales den gesamten Quellcode sichten und bewerten kann.

Gruß
em-pie
certifiedit.net
certifiedit.net 01.11.2020 um 14:42:33 Uhr
Goto Top
Am Ende sind aber alle Tools kritisch zu betrachten - zumindest, solange niemand neutrales den gesamten Quellcode sichten und bewerten kann.

Oder man nichtmal Einsicht in die Datenströme bekommt -> Selfhosted.

Ansonsten, was bringt es den Quellcode sichten zu können, wenn es nicht genug manpower dafür/dahinter gibt...?
Th0mKa
Th0mKa 01.11.2020 um 15:03:09 Uhr
Goto Top
Zitat von @em-pie:

Microsoft will mit Teams hier wohl nachziehen.

Hat schon nachgezogen.

/Thomas
em-pie
em-pie 01.11.2020 um 15:10:48 Uhr
Goto Top
Zitat von @Th0mKa:

Zitat von @em-pie:

Microsoft will mit Teams hier wohl nachziehen.

Hat schon nachgezogen.

/Thomas
Gut zu wissen. Danke für das nachreichen face-smile
Lochkartenstanzer
Lochkartenstanzer 01.11.2020 um 16:05:48 Uhr
Goto Top
Zitat von @em-pie:

Am Ende sind aber alle Tools kritisch zu betrachten - zumindest, solange niemand neutrales den gesamten Quellcode sichten und bewerten kann.

Zumindest bei BigBlueButton könnte man es theoretisch machen.

lks
Looser27
Looser27 01.11.2020 um 16:18:14 Uhr
Goto Top
BigBlueButton wird von Schulen mittlerweile eingesetzt, weil es sich gut in die Lernplattform moodle integrieren lässt.

Ansonsten hat unsere Schule von Zoom über Teams bis was weiß ich noch alles zu Beginn ausprobiert. Die meisten Lösungen sind allerdings gescheitert. Gründe wurden nicht genannt. Wahrscheinlich konnte der Dienstleister nicht weiterhelfen so dass die Lehrer auf sich allein gestellt waren.
142583
142583 01.11.2020 um 19:27:21 Uhr
Goto Top
Zitat von @SeaStorm:

Hi

Zoom hat eine Lange Historie an
- Unsicherer Client, der die Übernahme des PCs ermöglicht
- unverschlüsseltes Protokoll, was das mitschneiden/überwachen durch den Betreiber und am Ende auch von Staaten ermöglicht. Chinesischer Hersteller lässt grüßen...
- Unsichere Implementation der Sessions, so daß jeder Depp auf fremde Sessions zugreifen kann und entsprechend Internas mitbekommen kann .

Neben dem weiterhin Raum stehenden Verdacht das China halt alles in Zoom auswertet, haben sie zumindest Mal eine Transportverschlüsselung eingebaut und an der Client Security gearbeitet. Aber ohne den Source code bleibt der Client einfach ein chinesischer Trojaner. Kann man jetzt drüber streiten ob ein chinesischer oder amerikanischer Trojaner schlimmer ist, aber es ist einfach diese Unsicherheit vorhanden


Das trifft schon einiges.

Grundsätzlich gibt es aber nie genug Konkurrenz, deshalb sollte man mit Zoom nachsichtig sein.
GrueneSosseMitSpeck
GrueneSosseMitSpeck 01.11.2020 aktualisiert um 20:31:58 Uhr
Goto Top
eigentich haben alle US-amerikanischen Tools zwei Probleme:

- die gewerbliche Datensammelei:
In den USA gibt es kein Grundrecht auf informelle Selbstbestimmung, und das ungefragte Sammeln incl Weiterverkaufen ist gang und Gäbe.
Jegliche Verhandlungen mit allen US-amerikanischen Unternehmen zur Gewährung von Datenschutz an EU--Kunden nach EU-Standard sind gescheitert und Lagern von Daten dort ist eigentlich illegal.

- die staatliche Einsichtnahme in Kundendaten
Diese Regierungsbackdoor müssen alle Kommunikationsanbieter. Radionstationen und Fernseher einbauen. Es gibt keinerlei Kontrolle, Legimitation, und die Einsichtnahme wird auch später den Betreibern meistens nicht kundgetan. Tlw werden sie informiert und dazu gezwungen, nichts zu sagen. Und das sind ca. 50 Regierungsbehörden, die alle 2 Jahre lang ein bis zwei Monate wegen Haushaltsstreitereien kein Geld kriegen. Natürlich wird über diesem Weg auch Wirtschaftsspionage betrieben, entweder zur Gehaltsaufbesserung während eines Gouverment lockdowns oder so Bares für Wahres.

Ich war letzes Jahr auf einer Cloud-Schulung, und da sagte uns ein Security-Spezialist daß die allermeisten Cloud-Kunden es "externer Einsichtnahme" nicht allzu schwer machen weil die ihre Daten schlecht bis garnicht verschlüsseln.

Bei Zoom für Schulunterricht würd ich nicht allzuviel Gedanken verschwenden... schließlich hat Google ja etwas nachgebessert.


Und wer vor der eigenen Haustür schaut, der nimmt vielleicht Teamviewer. Eine Firma, die gehackt wurde... weiß Gott alleine wieviel Kundendaten da abgezogen wurden.
142583
142583 01.11.2020 aktualisiert um 20:34:46 Uhr
Goto Top
Fairerweise sollte man erwähnen dass in Deutschland ebenfalls gesetzliche Regelungen vorhanden sind die Telekommunikationsunternehmen verpflichten Datenverkehr aus zu leiten. Und das ist nur ein rechtlicher Aspekt.

Besonders interessant ist zu beobachten dass z.b. die in Google Mail integrierte Telefonfunktion seitens der Behörden seit längerer Zeit einer normalen Telefonkommunikation im Sinne des der TKG gleichgestellt werden soll. Google versucht das nach allen Kräften versucht zu verhindern.

Man sollte sich vielleicht auch aktuell noch mal vor Augen führen was unser Bundesverfassungsgericht bezüglich der Arbeit der Geheimdienste am DE-CIX entschieden hat.

Es wird nicht mehr lange dauern und dann wird die Kommunikation in z.b. WhatsApp oder anderen Messenger ebenfalls dem der normalen Telefonie gleichgestellt. Ich empfinde das sogar als logisch und konsequent.
Was die rechtliche Konsequenz ist kann man sich mit normalen Verstand dann zusammenreimen.
Codehunter
Codehunter 01.11.2020 um 20:56:51 Uhr
Goto Top
Zitat von @Looser27:

Die meisten Lösungen sind allerdings gescheitert. Gründe wurden nicht genannt. Wahrscheinlich konnte der Dienstleister nicht weiterhelfen so dass die Lehrer auf sich allein gestellt waren.

Das ist genau das Problem. Man lässt die Lehrer allein mit dem Problem. Die müssen sich mit einer nach wie vor nicht gefestigten DS-Rechtslage auseinander setzen. Und dann kommen so kleine DSGVO-Rottweiler wie der Thüringer Datenschutzbeauftragte und wollen auch mal beißen. Weil sie an die großen Fische nicht ran kommen, befassen sie sich mit Lehrern:

https://www.mdr.de/thueringen/bussgelder-lehrer-datenschutz-kritik-100.h ...

Wenn wir bei der Digitalisierung der Schulen nur halb so schnell wären wie beim Datenschutz, dann wär uns schon viel geholfen.
it-fraggle
it-fraggle 02.11.2020 um 11:34:05 Uhr
Goto Top
MartinAd23
MartinAd23 11.01.2021 um 20:37:35 Uhr
Goto Top
Das Problem ist, dass der Hersteller die Kommunikation quasi "mitlesen" kann. Aber welcher Hersteller dieser Softwaregattung kann das nicht. Ich würde sagen du hast als Nutzer/in nur die Wahl, wem du das ganze "Gesabbel" anvertrauen möchtest.
Lochkartenstanzer
Lochkartenstanzer 11.01.2021 um 20:42:11 Uhr
Goto Top
Zitat von @MartinAd23:

Das Problem ist, dass der Hersteller die Kommunikation quasi "mitlesen" kann. Aber welcher Hersteller dieser Softwaregattung kann das nicht. Ich würde sagen du hast als Nutzer/in nur die Wahl, wem du das ganze "Gesabbel" anvertrauen möchtest.

Es gibt Lösungen wie Bigbluebutton oder jitsi, die man auf eigenen Sytemen laufen lassen kann. Da kann man dann Vorkehrungen treffen, daß die "Mitwisser" eingeschränkt sind.

lks
it-fraggle
it-fraggle 11.01.2021 um 20:48:05 Uhr
Goto Top
Zitat von @MartinAd23:
Das Problem ist, dass der Hersteller die Kommunikation quasi "mitlesen" kann. Aber welcher Hersteller dieser Softwaregattung kann das nicht. Ich würde sagen du hast als Nutzer/in nur die Wahl, wem du das ganze "Gesabbel" anvertrauen möchtest.
Wenn du Jitsi auf einem eigenen Server laufen lässt, dann gibt es in der Regel keinen Mithörer.
Th0mKa
Th0mKa 11.01.2021 um 23:23:29 Uhr
Goto Top
Zitat von @it-fraggle:
Wenn du Jitsi auf einem eigenen Server laufen lässt, dann gibt es in der Regel keinen Mithörer.

Achso, kann der Administrator den Traffic nicht mitschneiden?
Lochkartenstanzer
Lochkartenstanzer 12.01.2021 aktualisiert um 00:23:27 Uhr
Goto Top
Zitat von @Th0mKa:

Zitat von @it-fraggle:
Wenn du Jitsi auf einem eigenen Server laufen lässt, dann gibt es in der Regel keinen Mithörer.

Achso, kann der Administrator den Traffic nicht mitschneiden?

Da ist man ja i.d.R. der eigene Admin. face-smile

wenn Du den Admin als "Angreifer" siehst, dann darfst Du halt keine Admins nehmen, sondern selbst administrieren. face-smile

lks
Looser27
Looser27 12.01.2021 um 08:40:22 Uhr
Goto Top
wenn Du den Admin als "Angreifer" siehst, dann darfst Du halt keine Admins nehmen, sondern selbst administrieren.

nach der Logik ist er dann aber selber der Angreifer.....
Th0mKa
Th0mKa 12.01.2021 um 10:02:05 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Da ist man ja i.d.R. der eigene Admin. face-smile

wenn Du den Admin als "Angreifer" siehst, dann darfst Du halt keine Admins nehmen, sondern selbst administrieren. face-smile

lks

Das mag für dich als Admin gelten, aber es kann sich nicht jeder $Nutzer nen Server aufsetzen. Das der Firmenadmin per se vertrauenswürdiger ist als die Admins bei z. B. Zoom sehe ich jedenfalls nicht.

/Thomas
it-fraggle
it-fraggle 12.01.2021 um 16:29:27 Uhr
Goto Top
Zitat von @Th0mKa:

Zitat von @it-fraggle:
Wenn du Jitsi auf einem eigenen Server laufen lässt, dann gibt es in der Regel keinen Mithörer.

Achso, kann der Administrator den Traffic nicht mitschneiden?
Also ein Administrator, dem man nicht vertrauen kann, okay. Wie kannst du dann arbeiten?
Th0mKa
Th0mKa 12.01.2021 um 20:34:01 Uhr
Goto Top
Zitat von @it-fraggle:
Also ein Administrator, dem man nicht vertrauen kann, okay. Wie kannst du dann arbeiten?

Warum sollte ich dem Admin in meiner Firma mehr/weniger trauen als dem bei Zoom?
Lochkartenstanzer
Lochkartenstanzer 12.01.2021 aktualisiert um 20:52:22 Uhr
Goto Top
Zitat von @Th0mKa:

Zitat von @it-fraggle:
Also ein Administrator, dem man nicht vertrauen kann, okay. Wie kannst du dann arbeiten?

Warum sollte ich dem Admin in meiner Firma mehr/weniger trauen als dem bei Zoom?

Weil der Arbeitgeber Dein und sein Gehalt zahlt.

lks
Th0mKa
Th0mKa 12.01.2021 um 21:12:10 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Weil der Arbeitgeber Dein und sein Gehalt zahlt.

Ja na klar, das hält Leute ja auch vom Diebstahl in der eigenen Firma ab.
Klingt jetzt nicht nach einem schlüssigen Argument.
em-pie
em-pie 12.01.2021 aktualisiert um 21:24:15 Uhr
Goto Top
Zitat von @Th0mKa:

Zitat von @Lochkartenstanzer:
Weil der Arbeitgeber Dein und sein Gehalt zahlt.

Ja na klar, das hält Leute ja auch vom Diebstahl in der eigenen Firma ab.
Klingt jetzt nicht nach einem schlüssigen Argument.

Habt halt beide Recht!

Grundsätzlich kann ein einzelner IT-Mitarbeiter natürlich insgeheim Daten/ Informationen abgreifen bzw. mitlesen. Um so wichtiger ist das revisionssichere Logging von Zugriffen, auf die im Zweifel nicht nur der MA der One-Man-Show Zugriff hat

Allerdings traue ich der eigenen Unternehmens-IT mehr, denn der IT eines Herstellers. Baut //mein/ Mitarbeiter Mist, kann ich den persönlich haftbar machen. Wenn aber Mitschnitte durch Software-Hersteller erfolgen und ausgewertet/ verwendet werden, gibt es a) eine Art Anordnung von oben und b) ist die Hemmschwelle jedes einzelnen niedriger, da ja niemand den Andy aus der Entwicklungsabteilung persönlich in die Haftung nehmen wird...
Th0mKa
Th0mKa 12.01.2021 aktualisiert um 21:49:05 Uhr
Goto Top
Zitat von @em-pie:
Wenn aber Mitschnitte durch Software-Hersteller erfolgen und ausgewertet/ verwendet werden

Glaube nicht das Mitschnitte durch einen Admin soviel bringen, Zoom hat ja schon ne Weile eine Ende-zu-Ende Verschlüsslung. Das kann man mWn von den freien Alternativen die man zuhause hosten würde nicht behaupten.

/Thomas