piwik-script

Intern
    Rechenzentrum

    Zoom - Stellungnahme zu Schwachstellen

    Sehr geehrte Damen und Herren,

    auf vielfachen Wunsch der Universität haben wir wie vor wenigen Wochen Zoom-Lizenzen für die Lehre im anstehenden Sommersemester zur Verfügung gestellt. Zoom ist einfach verwendbar, eignet sich auch für große Veranstaltungen und skaliert bisher trotz der weltweit immens gestiegenen Nutzerzahlen ohne Probleme. Das Unternehmen und die Software sind in den letzten Tagen allerdings auch durch negative Schlagzeilen in Bezug auf Datenschutz und Informationssicherheit aufgefallen. Wir möchten auf diese Punkte in Bezug auf die Nutzung im Kontext der Universität Würzburg Bezug nehmen.

    Unter Zoom-Bombing versteht man die Störung von Konferenzen durch nicht eingeladene Teilnehmer. Dieses ist möglich, wenn die Links zu Meetings erraten oder öffentlich bekanntgegeben werden. An der Universität Würzburg erfordert die Teilnahme an Zoom immer ein Passwort, somit ist die Teilnahme ungebetener Gäste nicht möglich. Eine zusätzliche Sicherheit bietet die optionale Verwendung von „Warteräumen“, die Sie beim Aufsetzen Ihrer Meetings aktivieren können – Sie können dann zusätzlich zum Passwort-Schutz aktiv entscheiden, wer an Ihrer Vorlesung oder Ihrem Seminar teilnehmen kann; von einer globalen Verwendung der Warteraum-Funktion haben wir aktuell aus zu erwartenden logistischen Gründen insbesondere bei großen Vorlesungen Abstand genommen.

    Status: Durch Konfiguration an der Universität Würzburg unterbunden.

    Weiterführende Informationen:
    Zoombombing: Neue Funktionen sollen unliebsame Störer aus Zoom-Meetings fernhalten

    In einer alten Version der Zoom-App wurde Software von Facebook (ein sogenanntes Software Development Kit, SDK) verwendet, welche nicht für den Betrieb von Zoom erforderliche Daten an Facebook übertrug. Das Facebook SDK wurde mittlerweile aus Zoom entfernt.

    Status: Fehler durch den Softwarehersteller behoben.

    Weiterführende Informationen:
    Die Verwendung des Facebook-SDK im iOS-Client

    Ältere Versionen von Zoom ermöglichten Hackern auf macOS höherwertige Privilegien sowie den Zugriff auf Webcams und Mikrofone. Hierbei nutzten die Hacker aus, dass die Software lokal einen Webserver startete. Der in der Software integrierte Webserver wurde bereits 2019 entfernt (Version 4.4.53932.0709 vom 9. Juli 2019), ein weiterer Fehler wurde kürzlich beseitigt (Version 4.6.9 vom 2. April 2020).

    Status: Fehler durch den Softwarehersteller behoben.

    Weiterführende Informationen:
    New Updates for macOS
    Security Update and Our Ongoing Efforts
    The 'S' in Zoom, Stands for Security

    Durch einen Bug in der Software konnten gehashte Passwörter unter Microsoft Windows über sogenannte UNC-Links ausgelesen werden. Der Bug wurde vom Hersteller im Release 4.6.9. (19253.0401) am 02.04.2020 beseitigt.

    Status: Fehler durch den Softwarehersteller behoben.

    Weiterführende Informationen:
    New Updates for Windows
    Update: Zoom issues fix for UNC vulnerability that lets hackers steal Windows credentials via chat

    Zoom verspricht eine Ende-zu-Ende-Verschlüsselung, was im allgemeinen IT-Sinne bedeutet, dass nur die Teilnehmer des Meetings Ton/Video entschlüsseln können. Allerdings sieht Zoom sich selbst als auch Endpunkt, d.h. die Netzwerkkommunikation ist zwar verschlüsselt, ist aber auf den Zoom-Servern entschlüsselbar. Die von Zoom gewählte Verschlüsselung wird üblicherweise als Transportverschlüsselung bezeichnet und verhindert effektiv den Zugriff auf Videomaterial durch Dritte, z.B. durch „Abhören“ des WLAN. Transportverschlüsselung ist ein übliches Verfahren, das z.B. beim Zugriff auf Webseiten per HTTPS zum Einsatz kommt. Die Zugriffsmöglichkeit auf Inhalte der Kunden ist bei anderen Unternehmen (Facebook, Google, etc.) bekannt. Die Bezeichnung als „Ende-zu-Ende-Verschlüsselung“ ist als schlechtes Marketing, härter formuliert als Täuschung zu bezeichnen.

    Status: Keine Ende-zu-Ende-Verschlüsselung, jedoch immerhin Transportverschlüsselung

    Weiterführende Informationen:
    Zoom Meetings Aren’t End-to-End Encrypted, Despite Misleading Marketing Statement von Zoom vom 1.4. zu Verschlüsselungspraktiken
    Geplante Maßnahmen bis Mitte Mai

    Der Datenverkehr für Zoom Video-Konferenzen kann potenziell auch über chinesische Server laufen, was zu datenschutzrechtlichen Bedenken geführt hat. Ab dem 18.04.2020 wird die Universität Würzburg das System so konfigurieren können und werden, dass keine chinesischen Rechenzentren mehr involviert sind.

    Status: Wird zum 18.04.2020 behoben

    Weiterführende Informationen:
    Coming April 18: Control Your Zoom Data Routing

    Im Darknet ist kürzlich eine Liste von Zoom-Passwörtern aufgetaucht (vgl. Heise Artikel vom 14.04.2020). Zoom verwendet an der Universität Würzburg allerdings einen Authentisierungsmechanismus, bei dem die Passwörter nicht an Zoom übertragen werden (Single Sign On (SSO) über Shibboleth).

    Status: Nicht relevant bei Verwendung von Single-Sign-On

    Weiterführende Informationen:
    Zugangsdaten für hunderttausende Zoom-Accounts zum Kauf im Darknet entdeckt

    Zusammenfassung

    In Zoom sind in jüngster Vergangenheit tatsächlich viele Schwachstellen entdeckt worden. Die obige Liste ist zwar lang, allerdings geben wir zu bedenken, dass auch in über viele Jahre entwickelter proprietärer (z.B. Microsoft Windows) oder offener (z.B. SSL) Software durchaus gravierende und umfangreiche Sicherheitsmängel auftauchen. Zoom hat die entdeckten Fehler zeitnah geschlossen und setzt nach eigenen Angaben nun mehr Entwicklerressourcen für die Verbesserung der Sicherheit und Datenschutz ein. Allerdings kann man dem Unternehmen eine wenig transparente und proaktive Informationspolitik vorwerfen. Diesbezüglich hat das Unternehmen aufgrund der aktuellen Kritik Besserung versprochen.

    Wir empfehlen Zoom (wie bereits in der Vergangenheit geschrieben) für die Lehre, empfehlen allerdings auch, kritische Informationen (Personalangelegenheiten, Dienstgeheimnisse etc.) nicht über Zoom zu verbreiten. Hierfür stehen andere Plattformen (z.B. DFN Conf, aktuell mit Skalierungsschwierigkeiten innerhalb der Peak-Zeiten) zur Verfügung.

    Wir möchten in diesem Zusammenhang auch auf die wirklich umfangreichen Informationen der am RZ der Universität Würzburg beheimateten Stabsstelle IT-Recht für die bayerischen staatlichen Hochschulen und Universitäten zum Thema Zoom hinweisen: Zoom-faq

    Ein hilfreiches Zoom-Tutorial für die Universität Würzburg vom Lehrstuhl für Informatik 2 finden Sie in diesem Thread  in WuCampus.

    Matthias Funken (CIO)
    Prof. Dr.-Ing. Samuel Kounev (Dekan der Fakultät für Mathematik und Informatik)
    Klaus Baumann (Behördlicher Datenschutzbeauftragter)