Warum Videokonferenzen mit Zoom nicht Ende-zu-Ende verschlüsselt sind

Der Videokonferenz-Anbieter Zoom ist seit Ausbruch der Corona-Pandemie in den öffentlichen Fokus gerückt. Tausende Unternehmen suchten händeringend nach Lösungen, um die Kommunikation mit dem eigenen Team und Kunden aufrechtzuerhalten. Zoom bietet seinen Service bereits seit einigen Jahren an und kann eine hohe Verfügbarkeit und Zuverlässigkeit aufweisen. Im Zeitraum der Corona-Pandemie stieg die Nutzerzahl von 10 Millionen im Dezember 2019, auf über 200 Millionen monatliche Nutzer im März 2020. Datenschutzaspekte in Bezug auf Zoom fanden in der Öffentlichkeit, vor Ausbruch der Pandemie, hingegen wenig Beachtung.

Was bedeutet Ende-zu-Ende-Verschlüsselung

Bei einer Ende-zu-Ende verschlüsselten Übertragung werden die übermittelten Daten über alle Übertragungsstationen hinweg verschlüsselt weitergeleitet, und nur die Kommunikationspartner können die Nachricht entschlüsseln.
Im Gegensatz dazu steht die unverschlüsselte Übertragung. Hierbei werden jegliche Informationen im Klartext übertragen und ein Dritter könnte den Datenverkehr abfangen. Dazwischen ist die Leitungsverschlüsselung (Punkt-zu-Punkt-Verschlüsselung) einzuordnen. Hierbei kann der Inhalt des Datenverkehrs nicht von einem beliebigen Dritten mitgelesen werden. Allerdings kann die Nachricht an den Zwischenstationen entschlüsselt werden, in diesem Fall sind das die Server vom Zoom.

Welche Verschlüsselung wird empfohlen?

Datenschutzexperten empfehlen bei der Auswahl eines Videokonferenz-Tools, darauf zu achten, dass dieses Ende-zu-Ende verschlüsselt arbeitet. Die unverschlüsselte Übertragung ist heutzutage obsolet. Sie sollte bei Datenverkehr, welcher das eigene Netzwerk verlässt, überhaupt nicht mehr eingesetzt werden. Bei der Punkt-zu-Punkt-Verschlüsselung besteht das Problem, dass etwa der Anbieter Zugriffsmöglichkeiten auf den Stream hat, also einer Videokonferenz beiwohnen kann. Theoretisch kann der Anbieter eine Videokonferenz betrachten, ohne dass die offiziellen Teilnehmer der Videokonferenz dies bemerken.

Was macht Zoom jetzt genau?

Zoom hatte damit geworben, dass die Konferenzen mit einer Ende-zu-Ende-Verschlüsselung stattfinden. The Intercept hat einen entsprechenden Screenshot veröffentlicht, der dies belegt.

Wie kommt Zoom zu dieser Aussage?

Zoom interpretiert es folgendermaßen: Da die Verbindung zwischen dem Endgerät des Nutzers und dem Webserver von Zoom verschlüsselt stattfindet sprechen sie von einer End-zu-Ende-Verschlüsselung. Ohne nun näher in die technischen Details von Verschlüsselungstechnologien vorzudringen, ist das technologisch nicht korrekt und wohl eher eine marketingorientierte Interpretation seitens Zoom. Zoom ist schließlich kein Teilnehmer der Konferenz.

Und warum macht Zoom das?

Zoom bietet Videokonferenzen mit bis zu 1.000 Videoteilnehmern an. Das heißt, dass maximal 1.000 Teilnehmer einen Videostream von ihrer eigenen Kamera für die Konferenz bereitstellen. Hierbei können 49 Videos für die Teilnehmer gleichzeitig dargestellt werden.
Der Konkurrent Microsoft Teams bietet Videokonferenzen mit bis zu 250 Teilnehmern, bei denen maximal 4 Teilnehmer visuell dargestellt werden. FaceTime von Apple, welches eine echte Ende-zu-Ende-Verschlüsselung verwendet, kann hingegen nur Konferenzen mit maximal 32 Teilnehmern realisieren.

Die Differenz der Teilnehmerzahl dürfte verdeutlichen wo die Herausforderungen bei der Realisierung liegen. Es ist schwierig Gruppen-Videokonferenzen durchgängig zu verschlüsseln. Das liegt daran, dass der Dienstanbieter erkennen muss, wer spricht, um sich wie eine Telefonzentrale zu verhalten. Als solche sendet er einen hochauflösenden Videostream von der Person, die gerade spricht (oder die ein Benutzer auswählt), an den Rest der Zuschauer; die Videostreams der anderen Teilnehmer werden mit niedriger Auflösung gesendet. Diese Art der Optimierung ist viel einfacher, wenn der Dienstanbieter alles sehen kann, weil es unverschlüsselt ist. Soll dies alles Ende-zu-Ende verschlüsselt stattfinden, muss eine Logik implementiert werden, die an den Endpunkten erkennt welcher Teilnehmer gerade dargestellt werden soll. Dies ist wahrscheinlich nicht unmöglich, aber es gibt derzeit keinen einzigen Anbieter, der Videokonferenzen mit 1.000 aktiven Teilnehmern Ende-zu-Ende verschlüsselt anbieten kann.

Des Weiteren bietet Zoom die Möglichkeit an einer Konferenz per normalem Telefongespräch teilzunehmen. Hier lässt sich eine Ende-zu-Ende-Verschlüsselung nicht umsetzen, da Zoom die Verschlüsselung nicht auf das Telefonnetz ausweiten kann. Es wäre nur möglich, solange alle Teilnehmer mit Zooms Client-Software an einer Konferenz teilnehmen. Ebenso kann die Videokonferenz nicht mehr Ende-zu-Ende verschlüsselt werden, sobald eine Aufzeichnung der Konferenz durchgeführt wird, da der Mitschnitt auf einem Zoom-Server gespeichert wird. Dieses Problem könnte nur gelöst werden, indem die Aufzeichnung auf dem Client-Gerät stattfindet.

Fazit

Die Auswahl eines geeigneten Videokonferenz-Tools ist nicht einfach. In diesem Beispiel wurde etwa mit einer Funktion geworben, die das Tool genaugenommen nicht erfüllt. Der Nutzer, respektive das Unternehmen, muss sich aber auch auf die Aussagen des Technologie-Anbieters verlassen können. Zugutehalten muss man Zoom, dass das Unternehmen auf Kritik eingeht. So wurde die Übermittlung von Daten an Facebook eingestellt und der Hinweis mit der Ende-zu-Ende-Verschlüsselung von der Website entfernt. Es bleibt nur zu hoffen, dass die Zoom Video Communications, Inc. in Zukunft bei Ihren Angaben genauer arbeitet. Die Text-Chat Funktion ist laut Angaben des Anbieters übrigens vollständig Ende-zu-Ende verschlüsselt.

Zuletzt aktualisiert: 22.04.2020