Wie sicher ist Zoom?
Datenschutz und Informationssicherheit sind Prozesse.
Datenschutz und Informationssicherheit sind keine statischen Eigenschaften, sondern dynamische Prozesse. Offengelegte Mängel und Schwächen einer Software oder Anwendung sind oft direkt proportional zur Aufmerksamkeit, die eine Software gerade erhält. Das Match entscheiden nicht die punktuellen Schwächen, sondern wie damit umgegangen wird. Der laufende und aktive Behebungsprozess des Anbieters garantieren deshalb nachhaltigen Datenschutz und Informationssicherheit.
Datenschutz als Dogma, oder: Hat Zoom wirklich eine «desaströse Datenschutzpraxis»?
Thomas Lohninger ist Geschäftsführer von epicenter.works, einer NGO die dankenswerterweise Lobbyarbeit für den Datenschutz betreibt. Leider hat er sich dem Zoom-Bashing undifferenziert angeschlossen und mit grober Kelle pauschale Kritik nachgelegt, wenn er in einem Chat auf der Standard.at sagt:
«Zoom hat wirklich eine desaströse Datenschutzpraxis. Für vertrauliche Gespräche ist dies jedenfalls absolut ungeeignet.»
Das kann nur als irreführendes Narrativ bezeichnet werden, oder als Fake News: Die Art und Weise, wie Zoom Kritik begegnet und Schwachstellen umgehend behebt, kann kaum als «desaströse Datenbschutzpolitik» bezeichnet werden. Und warum sollte Zoom für vertrauliche Gespräche absolut ungeeignet sein?
Cybersecurity als Prozess
Der Spiegel hat inzwischen ausführlich über den Zoom-Bombing Hack berichtet: Der IT-Sicherheitsexperte Matthew Hickey verschaffte sich über UNC-Pfade (das sind solche mit zwei Backslashes \) unbefugten Zugriff auf Videosessions in Firmennetzwerken, und stufte das selbst als Schwachstelle mit mittlerem Risiko ein. Einzelne Nutzer (ohne Firmennetzwerk) seien davon gar nicht betroffen.
Der Fehler wurde von Zoom umgehend behoben, wie dieser Aktualisierungshinweis zeigt:
Zoom hat somit eher keine «desaströse Datenschutzpraxis».
Was Herr Lohninger übersieht ist, dass Datenschutz und Cybersecurity keine statischen Zustände sind, sondern Prozesse: Es gibt keine fehlerfreie Software …
Datenschutz und Cybersecurity sind keine statischen Endzustände, sondern laufende und aktiv gesteuerte Prozess zur Fehlerbehebung, die idealerweise bewusst im sogenannten PDCA-Zyklus (Plan-Do-Check-Act) geführt werden. IT-Sicherheit und Datenschutz sind keine absoluten Werte, sondern immer als Anforderung und Massnahmen auf Grund einer Risikobetrachtung zu sehen, idealerweise bewusst geführt nach dem Standard zur Risikobeurteilung ISO/IEC 27005.
Vertrauliche Gespräche über Zoom
Wir wissen seit Edward Snowden das fast alles abgehört werden kann. Wir wissen, dass es neben Softwarefehlern jeder Art jede Menge sehr tiefgehender Sicherheitsprobleme in fast allen aktuellen Prozessoren gibt, so dass grundsätzlich keine internetbasierte Kommunikation für vertrauliche Gespräche absolut geeignet ist. Zoom ist deshalb auch für vertrauliche Gespräche zumindest nicht ungeeigneter als andere Kommunikationswerkzeuge, selbst wenn diese auf Open Source basieren.
So berechtigt die Kritik einer Organisation wie epicenter.works sein mag, so lenkt die punktuelle Bezugnahme von tiefer liegenden Sicherheitsproblemen ab. Die vorgebrachten Argumente führen damit nicht nachhaltig zu einem umfassenderen und tieferen systemischen Sicherheitsniveau, sie wirken eher wie ein Aktionismus, um sich in Szene zu setzen. Thomas Lohninger wäre ich sehr dankbar, wenn er konkrete Punkte nachliefert, anstatt viele Anwender*innen in diesen Zeiten unnötig zu irritieren oder auf mit hoher Sicherheit gleichermassen unsichere Lösungen zu verweisen, nur weil deren Sicherheitstatus noch nicht im Licht der Öffentlichkeit getestet worden sind und zwar Open Sourcen sein mögen, aber schon auf den ersten Blick gleichermassen erwartete Features wie End-to-end Verschlüsselung missen lassen.
Damit genug zum Thema Zoom in der Coronakrise!
