Screenshot der G20-Videokonferenz | Bildquelle: dpa

Virtuelle Konferenzen Videoschalten mit Sicherheitslücken

Stand: 25.11.2020 14:12 Uhr

Seit Corona boomen Video-Schalten. Datenschützer warnen: Der laxe Umgang mit Daten im Homeoffice und technische Lücken führen dazu, dass die digitalen Konferenzen nicht sicher genug sind.

Von Nicole Kohnert, WDR

Fröhlich winkte der niederländische Journalist Daniel Verlaan in die Kamera und grüßte alle Beteiligten der streng geheimen Video-Konferenz der EU-Verteidigungsminister vor wenigen Tagen. Der Zugang zur Zoom-Schalte war für ihn einfach: Die Verteidigungsministerin der Niederlande, Ank Bijleveld, ließ ein Foto der gleich beginnenden Schalte twittern. Der Journalist sah auf Twitter darauf fünf der sechs Ziffern des Zugangscodes des Zoom-Meetings. Er probierte also einfach ein paar Ziffern aus - bis er im digitalen geheimen EU-Verteidigungsministertreffen drin war. Die Empörung unter den Teilnehmern war groß, der Journalist wurde aus der Konferenz gebeten und winkte nochmal zum Abschied. Die digitale EU-Verteidigungsministerkonferenz wurde daraufhin abgebrochen.

"Es ist unerheblich, wie gut ein Dienst verschlüsselt ist, wenn die Teilnehmerinnen und Teilnehmer sorglos mit ihren Schlüsseln umgehen", erklärt der Hamburger Landesdatenschutzbeauftragte Johannes Caspar den Vorfall. Das Einschleichen in Veranstaltungen sei schon lange bekannt und nicht nur seit Anfang der Pandemie gang und gäbe. "Der sorglose Umgang mit Social-Media-Postings macht es aufmerksamen Dritten bedeutend leichter", sagt er.

Gute Verschlüsselung von Daten notwendig

Neben dem laxen Umgang mit den Daten im Homeoffice sieht Datenschützer Caspar auch technische Lücken bei den Videokonferenz-Systemen. "Aus technischer Sicht fehlt bisher bei den großen, kommerziellen Diensten eine transparent gestaltete Ende-zu-Ende-Verschlüsselung", sagt er. Das ist eine Methode, die bei IT-Experten als relativ sicher gilt: Daten verlassen dabei den Computer verschlüsselt und werden erst wieder beim Gesprächspartner entschlüsselt. Doch bei den großen kommerziellen Anbietern wird das oft nicht angeboten - oder nur eingeschränkt.

Nach viel Kritik am Anbieter Zoom besserte dieser sein System nach eigenen Angaben nach und bietet nun eine Ende-zu-Ende-Verschlüsselung an. Denn im Frühjahr mehrte sich das so genannte "Zoombombing", bei dem Fremde einfach in die Video-Schalten reinplatzten. Das ist möglich, wenn der Link für die jeweilige Konferenz öffentlich wird und die Teilnehmer nicht erst im virtuellen Warteraum landen und vom Organisator hinzugefügt werden. Vor allem in den USA wurden digitale Schulstunden und oder auch Zoom-Gottesdienste mit Beschimpfungen oder sogar durch Vorzeigen von Nazi-Symbolen mehrmals gestört.

Auch wenn Zoom die Verschlüsselung jetzt nachbesserte, muss diese Funktion immer noch manuell eingestellt werden und ist nicht in den Standard-Einstellungen verfügbar. Auch andere Systeme wie zum Beispiel Cisco Webex bieten es generell an, aber auch da muss der Nutzer diese Option aktiv auswählen.

Warteräume einrichten, Teilnehmernamen bekannt machen

Das Bundesamt für Sicherheit in der Informationstechnologie empfiehlt allen Nutzern von Videokonferenzen, die Teilnehmerliste intern bekannt zu geben, damit Dritte, die sich unerlaubt in die Videokonferenz einwählen, schnell erkannt werden können. Zudem sei es sinnvoll, einen virtuellen Warteraum einzurichten, aus denen Teilnehmenden vom Moderator oder Moderatorin abgeholt werden, sofern der genutzte Dienst dies ermöglicht. Auch bei Einwahl-Passwörtern sollte man keine trivialen Zeichenkombinationen wählen.

Solange US-Systeme benutzt werden, gehen Daten in die USA

Jan Schötteldreier von Digitalcourage, einem auf Datenschutz spezialisierten Verein, empfiehlt, am besten kein System eines US-Unternehmens zu nutzen. Denn jede Software, die Nutzer sich von einem amerikanischen Anbieter auf den PC herunterladen, sei ein Risiko. Es könne nicht gewährleistet sein, dass die Daten aus Europa nicht an die USA weitergeben würden. "Grundsätzlich fehlt es an einer leistungsfähigen europäischen Alternative zu Zoom ohne Verbindungen in die USA, damit sowohl deutsche Unternehmen, Vereine und auch Privatpersonen sowohl datensparsam als auch technisch und rechtlich sicher konferieren können", sagt Schötteldreier.

Er empfiehlt die Open-Source-Anwendung Jitsi als sichere Alternative zu den US-Anbietern. Alle Daten der Videokonferenz würden dabei bei der Firma oder Organisation in Deutschland bleiben. Die Server könnten entweder angemietet oder selbst von der Firma betrieben werden. Darum würden jetzt auch immer mehr deutsche Universitäten dazu übergehen, Jitsi oder auch ähnliche Systeme mit Servern in Deutschland zu nutzen.  

Darstellung: