Was ist faul an Zoom?

Zoom – die Videokonferenz-Software – erfreut sich in den vergangenen Wochen extrem großer Beliebtheit. Mit explodierenden Nutzer*innenzahlen häuften sich allerdings auch die Meldungen über Sicherheits- und Datenschutzprobleme. Auf einige Kritik hat Zoom inwzischen reagiert und sogar die Mozilla Foundation, die ansonsten als Verfechter von freier Software und dem Schutz der Privatsphäre auftritt, findet lobende Worte. Alles schick also? Nicht ganz, fürchte ich.

Zugegeben – Zoom ist extrem bequem. Für den gelegentlichen Videochat mit der Verwandtschaft kann man es kostenlos nutzen, die Technik ist recht zuverlässig und die kostenpflichtigen Tarife bieten einige Funktionen, die etwa beim Durchführen von Online-Seminaren sehr nützlich sind. Zoom wurde damit allmählich – und in den vergangenen Wochen immer mehr – zum Quasistandard. So wie “Tempo” und “Tesa” zu Gattungsbegriffen geworden sind, so versteht inzwischen jeder, was gemeint ist, wenn man sich zum “Zoomen” verabredet.

Andererseits waren da aber eben auch die schlechten Nachrichten. Ein wesentlicher Vorwurf war, dass Zoom behauptete, Konferenzen seien Ende-zu-Ende-verschlüsselt. Tatsächlich handelt es sich lediglich um Transportverschlüsselung. Der feine Unterschied: bei einer Ende-zu-Ende-Verschlüsselung können tatsächlich nur die Teilnehmer der Konferenz die übertragenen Daten entschlüsseln. Bei einer Transportverschlüsselung sind die Daten zwar beim *Transport* durchs Internet geschützt, Zoom jedoch hat (theoretisch) Zugriff auf die Daten, und kann die so gewonnenen Daten (theoretisch) automatisiert auswerten, an Geheimdienste weitergeben oder an kooperierende (Werbe-)Firmen verkaufen. Zoom hat daraufhin eingestanden, dass “eine Unstimmigkeit zwischen der allgemein akzeptierten Definition von End-to-End-Verschlüsselung und der Art und Weise, wie wir den Begriff benützen, besteht “. Ein Schelm, wer Böses dabei denkt…

Dann war da der Vorwurf, die Zoom-App für iOS sende Analysedaten an Facebook. So sei Facebook beispielsweise informiert worden, wann Nutzer*innen die App öffneten oder wo sie sich aufhalten – selbst wenn sie gar keinen Facebook-Account haben. Übertragen wurde auch eine “Werbe-ID”, über die die Nutzer*innen eindeutig zu identifizieren waren. Pikant war, dass diese Kooperation nirgends in der Datenschutzerklärung von Zoom auftaucht. Zoom räumte das “Versehen” zügig durch ein Update sowie durch eine überarbeitete Datenschutzerklärung aus. Mit Verlaub – einem Unternehmen mit knapp zweitausend Mitarbeitern kaufe ich nicht ab, dass solche eklatanten Fehler “versehentlich” passieren.

The Guardian berichtet über weitere – absichtliche oder unabsichtliche – Sicherheitslücken: ein Webserver, der heimlich auf Endgeräten installiert wurde sowie Lücken, die Angreifern Zugriff auf das Endgerät – inklusive Kamera und Mikrofon erlaubten. Die Liste ließe sich fortsetzen… Einer der zitierten Forscher bringt es schließlich so auf den Punkt: “Zoom ist Malware”.

Alle diese Probleme wurden laut Zoom angegangen – meist durch Updates oder präzisierte Kommunikation. Der Punkt ist: weil es sich bei Zoom nicht um freie Software handelt, muss man es ihnen schlicht glauben. Es steht zu erwarten, dass nach und nach weitere Probleme ans Licht kommen – seien es absichtlich eingebaute Hintertüren oder durch Unachtsamkeit entstandene Lücken. Solange der Quellcode nicht frei zugänglich ist, hat niemand die Möglichkeit zu überprüfen, was die Software tut. Was der Hersteller tut. Was Geheimdienste und Hacker tun. Denn hunderte Millionen Nutzer*innen wecken natürlich Begehrlichkeiten.

Freie Software wie Big Blue Button, Jitsi oder Nextcloud Talk kann im Vergleich an vielen Stellen punkten – etwa bei der Vertrauenswürdigkeit. Zugegeben: wer keinen Quellcode lesen kann, muss auch hier vertrauen, dass die Software keinen Unfug treibt. Mir persönlich fällt es allerdings leichter, einer Heerschar freier Entwickler (die sich gegenseitig überwachen) zu vertrauen als einem einzelnen, kapitalgetriebenen US-Konzern. Ich habe auch kein Problem, einem kleinen IT-Kollektiv zu vertrauen, das ein freies Softwarepaket für mich installiert und betreibt. Und wenn ich es ganz sicher haben möchte, steht es mir frei, die Software auf meinem eigenen Server zu installieren und sie in meinem persönlichen Browser zu nutzen, den ich entsprechend meinen Privatsphäre-Bedürfnissen konfiguriert habe. All diese Möglichkeiten sind mir bei Zoom (und natürlich auch bei Skype, GoToMeeting, Cisco WebEx und wie sie alle heißen) verwehrt.

Diese Freiheit bringt für Administrator*innen und auch Nutzer*innen leider auch Komplexität mit sich. Im Gegensatz zu Zoom erfordern die genannten freien Alternativen nicht die Installation eines Software-Clients – sie funktionieren einfach im Browser. Das bedeutet im Umkehrschluss: für die Nutzer*innen ist es bequem, lediglich auf einen Link zu klicken, um einem Meeting beizutreten. Die freie Software dagegen muss sich mit der Kombination aus verschiedensten Betriebssystemen, Browsern und unzähligen Browser-Plugins herumschlagen – erwartet wird, dass sie mit all dem klarkommt. Das bringt eine gewisse Unberechenbarkeit mit sich, die verständlicherweise auch mal zu einem genervten “Sorry, aber Zoom funktioniert halt einfach”-Ausruf führen kann. Den Luxus, keinen Zoom-Client installieren zu müssen, erkauft man sich unter Umständen also mit Unbillen an anderer Stelle. Wer Jitsi oder Nextcloud Talk regelmäßig nutzt, ist also doch gut damit beraten, die jeweilige App auf Notebook oder Smartphone zu installieren. Damit wird der Zoo an Endgeräten berechenbarer und die Zuverlässigkeit steigt.

Und was kostet das?

Wenn man mehr als ein Dutzend Teilnehmer in einem Meeting vereinen will und gewisse Moderationsfunktionen braucht, bleibt von den drei genannten freien Lösungen exakt eine übrig: Big Blue Button. Wer sich die Einrichtung nicht selbst zutraut, findet ein attraktives Angebot beim Dresdner Anbieter collocall. Für 200€/Monat inkl. MWSt. bekommt man dort einen fertigen Konferenzserver. Ja – die Menschen, die aktuell einen Zoom Pro-Account haben, stöhnen hier auf: “Mein Zoom-Account kostet aber nur 13,99€ (netto) pro Monat!”. Stimmt erst mal – und seien wir mal ganz genau: bei jährlicher Zahlung liegt der Monatspreis inkl. MWSt. bei 13,88€.

Darin enthalten ist exakt *ein* Host – das bedeutet, es kann eine Konferenz gleichzeitig stattfinden. Ich kenne Menschen, die einen Belegungsplan für einen solchen Zoom-Account pflegen und ihn so gemeinsam nutzen. Kann man alles machen. Der collocall-Server im genannten Tarif hat solche Beschränkungen nicht. Denkbar ist, dass dort zehn Meetings mit je 25 Teilnehmern gleichzeitig stattfinden. Zehn Hosts bei Zoom kosten 188,32€ pro Monat. Ich könnte jetzt noch ausschweifend über Detailfragen (Wie viel Cloudspeicher ist im Tarif enthalten etc.) referieren, aber ich glaube, es wird sichtbar: der Preis für den Betrieb eines Big Blue Button-Servers ist durchaus konkurrenzfähig – wenn man ihn denn ausreizt. Und wenn man das nur sporadisch tun würde, rechnet es sich durch gemeinsame Nutzung mit anderen. Es muss halt irgendeiner anfangen damit. Und falls jetzt immer noch jemand nörgelt, dass Zoom in diesem oder jenem Szenario aber 30% günstiger ist, muss ich mir überlegen, ob der Schutz meiner Daten (und insbesondere der meiner Kund*innen!) mir dieses Geld wert ist. Und ob es mir eventuell was wert ist, eine kleine Dresdner Firma als Gesprächspartner zu haben, mit der man ab der zweiten Mail per Du ist.

[Kleiner Einschub, der Vollständigkeit halber: es gibt natürlich neben collocall eine Reihe weiterer Anbieter, die Big Blue Button betreiben können. Hostsharing und in Kürze auch wechange sollen hier als Beispiele nicht unerwähnt bleiben. Du kannst natürlich auch einfach mal deinen bevorzugten Indie-Hoster ansprechen.]

Aber Zoom kann …!

Auch das passiert unweigerlich. Man macht eine erste Testsession mit Menschen, die bisher Zoom genutzt haben, und möchte ihnen Big Blue Button vorstellen. Und neben dem einen oder anderen lobenden Wort heißt es dann: “Aber Zoom macht dies oder jenes, wenn ich hier klicke”. Oder: “Zoom sieht aber schicker aus.” All das lässt sich zusammenfassen unter “psychologischer Lock-In”. Mit anderen Worten: ich habe bisher keine “harten” Argumente gehört, die den Einsatz von Zoom alternativlos machen. Meist geht es um Bequemlichkeit, Gewohnheit oder Geschmacksfragen. Und dass ein Unternehmen mit Millionenbudget gewisse Möglichkeiten hat, sich unentbehrlich zu machen, überrascht nicht.

Vielleicht hilft aber gelegentlich auch der Blick darauf, was die freien Alternativen *nicht* können. Im Zoom Business-Tarif ist beispielsweise die Funktion “Transkripte der Cloudaufzeichnung” enthalten. Das bedeutet: das gesprochene Wort wird vollautomatisiert (oder von Clickworkern? 🤔) in geschriebenen Text umgewandelt. Das ist technisch fraglos beeindruckend, aber auch ziemlich scary, wenn ich mir überlege, dass Zoom technisch in der Lage ist, jedes. gesprochene. Wort. auf diese Weise vollautomatisiert auszuwerten.

Aber die Mozilla Foundation sagt, dass die inzwischen okay sind.

Ja (*seufz*). In einer Gegenüberstellung verschiedener Videokonferenztools bekommt Zoom in der Tat 5 von 5 Punkten in der “Gesamtsicherheitsbewertung”. Ebenso die Tools von Google, Apple, Microsoft, Facebook, Cisco… Stirnrunzeln? Ja, ich auch. Genau genommen erhalten 13 der 15 getesteten Tools fünf von fünf Punkten. Schaut man genauer hin, bedeutet “5 von 5 Punkten”: dieses Produkt erfüllt die von Mozilla definierten Mindest-Sicherheitsstandards. Man könnte also auch sagen: sie haben die Latte einfach so niedrig gelegt, dass sie keinem auf die Füße treten. Der Anbieter mit der niedrigsten Bewertung bekommt einen Punkt abgezogen, weil die Software “nur durch Webbrowser zugänglich ist und die Sicherheit damit vom verwendeten Browser abhängt”. Eine interessante Aussage für eine Stiftung, die selbst einen Browser anbietet. Dass Houseparty “regelmäßige Updates” (was immer das heißt) für ihre Apps anbietet, ist ihnen dagegen einen Punkt wert. Kurz gesagt: auch einer renommierten Institution sollte man nicht blind vertrauen. Ich fürchte, sie haben das Geld gebraucht.

Aber warum soll ich für Big Blue Button bezahlen, wenn ich es auf verschiedenen Servern doch kostenlos nutzen kann?

Tja. Weil es fair ist. Weil der Betrieb dieser Server Geld kostet. Weil man – wenn man eine Dienstleistung nicht mit den eigenen Daten bezahlen will, eine andere Gegenleistung erbringen sollte. Weil hinter diesen “kostenlosen” Angeboten oft extrem idealistische Menschen stecken, die auch von irgendwas leben müssen. Und weil es mein kleiner, feiner Beitrag zu einer besseren Welt sein könnte, Geld an einen regionalen, vertrauenswürdigen Anbieter zu überweisen anstatt an Zoom & Co.

Zwei Nachträge (14.6.2020)

5 Antworten auf „Was ist faul an Zoom?“

  1. Danke für den Artikel!

    Ein weiterer “kritischer” Punkt an der Verwendung von zoom und anderer von US-Export-Regularien betroffener Software-Produkte ist: solltest du, deine Familie, deine Mitarbeiter*, … das Pech haben in einem “Schurkenstaat” geboren zu sein oder sich dort aufzuhalten wirst du/sie ausgeschlossen (bei Zoom zB Paragraph 14: https://telepresence.zoom.us/terms).

    Ein paar zoom-Sicherheitslücken hast du ausgelassen (lesenswert finde ich: https://medium.com/bugbountywriteup/zoom-zero-day-4-million-webcams-maybe-an-rce-just-get-them-to-visit-your-website-ac75c83f4ef5 – 2019 hat die Firma wesentlich unaufmerksamer reagiert als heute), aber immer nur meckern ist ja auch doof – schön, dass du den positiven, konstruktiven Bogen zu BigBlueButton findest; mir wäre das nicht gelungen 😉

    1. > Ein paar zoom-Sicherheitslücken hast du ausgelassen
      Ja, bewusst. Der Artikel wäre sonst sehr lang geworden 😉 Aber ich hätte deutlicher machen können, dass ich nur ein paar Beispiele herausgreife. Danke.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.