Suchen

Zoom-Bombing und anderer Missbrauch Risiko Zoom-Videokonferenz und die Gegenmaßnahmen

| Autor / Redakteur: Michael Matzer / Peter Schmitz

In Zeiten der Quarantäne und des Home-Office stellen Videokonferenzen einen zunehmend beliebteren Weg dar, um in Gruppen online miteinander zu kommunizieren. Doch wie jüngste Vorfälle mit Zoom-Konferenzen gezeigt haben, ist die dafür verwendete Software in manchen Fällen das Einfallstor für die Verbreitung von Malware und die Beleidigung von Konferenzteilnehmern. Es gibt aber Methoden, um Videokonferenzen sicherer zu machen.

Firma zum Thema

Trotz möglicher Software-Schwachstellen sind es primär die Organisatoren von Videokonferenzen, die dafür verantwortlich sind, die Belange der Datensicherheit und des Datenschutzes zu beachten.
Trotz möglicher Software-Schwachstellen sind es primär die Organisatoren von Videokonferenzen, die dafür verantwortlich sind, die Belange der Datensicherheit und des Datenschutzes zu beachten.
(Logo: Zoom)

In nur vier Schritten ist die kostenlose Videokonferenz-Software Zoom auf einem Computer installiert. Nur der Organisator muss sich registrieren, kann aber anschließend Dutzende von Teilnehmern kostenlos einladen. Kostenlose Zoom-Konferenzen haben allerdings ein Zeitlimit von 40 Minuten.
In nur vier Schritten ist die kostenlose Videokonferenz-Software Zoom auf einem Computer installiert. Nur der Organisator muss sich registrieren, kann aber anschließend Dutzende von Teilnehmern kostenlos einladen. Kostenlose Zoom-Konferenzen haben allerdings ein Zeitlimit von 40 Minuten.
(Bild: Checkpoint)

Immer mehr Unternehmen, Schulen und Universitäten nutzen während der Corona-Krise die Möglichkeit, Besprechungen und Kundenkontakte statt durch persönliches Treffen als Videokonferenz über das Internet durchzuführen. Basis-Software für Videokonferenzen ist aktuell meist kostenlos, deshalb greifen die Organisatoren gerne auf Zoom, Skype oder Teams zurück.

Missbrauch

Eine der derzeit am meisten genutzten Videokonferenz-Anwendungen ist Zoom, vor allem weil sich mit ihr Meetings mit nur wenigen Klicks aufsetzen lassen.. Doch wo viele User sind, sind Hacker und Trolle nicht weit. Am 30. März 2020 musste die US-amerikanische Bundespolizei (FBI ) öffentlich vor dem Phänomen des Zoom-Bombings warnen. Auch die General­staats­anwältin von New York City begann, Zooms Sicherheitsstandard unter die Lupe zu nehmen.

Zoom-Bombing

Die tägliche Anzahl neu registrierter Zoom-Domains ist Sicherheitsanbietern wie Checkpoint schon früh aufgefallen. Nach einem fahrlässigen Zoom-Update stieg die Anzahl neuer Domains jedoch exponentiell an. Das sog. "Zoom-Bombing" war die Folge.
Die tägliche Anzahl neu registrierter Zoom-Domains ist Sicherheitsanbietern wie Checkpoint schon früh aufgefallen. Nach einem fahrlässigen Zoom-Update stieg die Anzahl neuer Domains jedoch exponentiell an. Das sog. "Zoom-Bombing" war die Folge.
(Bild: Checkpoint)

Als „Zoom-Bombing“ wird das unbefugte Betreten eines Zoom-Meetings bezeichnet, wenn es zum Ziel hat, die Teilnehmer anzugreifen, um Hass, Pornografie usw. zu verbreiten oder um fiese Streiche aufzuzeichnen, die dann auf sozialen Netzwerken weiterverbreitet werden. Das FBI erwähnte als Beispiel, dass sich jemand mit einem Hakenkreuz-Tattoo in eine virtuelle Schulstunde oder einen Gottesdienst gedrängt hatte, und woanders wurden verstörende Pornos gezeigt.

Möglich wird dieses Vorgehen, wenn der Link mit der Meeting-ID, der zum Betreten einer Zoom-Konferenz nötig ist, öffentlich bekannt wird. Dieser Link sollte also unbedingt verborgen bleiben. Die zweite Bedingung: Wenn die Teilnehmer nicht erst in einem virtuellen Warteraum landen und vom Organisator hinzugefügt werden, sondern direkt Zugang erlangen. Diese Bedingung muss u.a. erfüllt sein, wenn jemand auf Zooms Bildungsplattform an "Schulstunden" teilnehmen will.

Verschlüsselung

Auch der Verschlüsselungsstandard von Zoom-Sessions hat offenbar noch viel Luft nach oben. Daten überträgt Zoom nicht in allen Fällen mit Komplett-Verschlüsselung, bei der sie nur für die Teilnehmer zugänglich sind. Das klappt nur, solange alle Teilnehmer die Zoom-Software nutzen. Benutzt jedoch ein Teilnehmer für den Zugang das Telefon, kann die Verschlüsselung des Dienstes dort nicht genutzt werden.

Der von Zoom genutzte Standard für die Verschlüsselung ist nicht etwa AES-256, sondern schlichtes TLS 1.x, wie The Intercept herausfand. Statt der Daten wird also nur der Transportweg verschlüsselt. Einzige Ausnahme sind laut Intercept reine Text-Chats. Datenverschlüsselung von Anfang bis Ende ist aber woanders durchaus möglich, wie beispielsweise Apple Facetime und der Messenger Wire belegen.

Infolge dieser Kritik von Seiten der Strafverfolger in den USA hat sich Zoom veranlasst gesehen, zahlreiche Verbesserungen an seinen Sicherheitseinstellungen vorzunehmen. In einem Blogbeitrag verlautete das Unternehmen unter anderem, dass Inhalte von Chats und Konferenzen nicht zu Werbezwecken analysiert oder Daten über Zoom-Nutzer an Dritte weiterverkauft würden. Auch die automatische Meldung an Facebook ist passé. Zoom-Bombing soll vereitelt werden, indem Meeting-Organisatoren ihre Einladung nur noch mit einem automatisch vom Zoom-System erzeugten Passwort verschicken können. Es gibt noch zahlreiche weitere Absicherungsmöglichkeiten, die von der US-amerikanischen Webseite Bleeping Computer zusammengefasst worden sind. Die Zoom-Entwickler haben sich außerdem zur wahren Natur der Zoom-Verschlüsselung geäußert.

Der deutlichste Schritt in Richtung mehr Sicherheit bei Zoom ist allerdings ein am 1. April 2020 verkündeter, 90-tägiger „Feature-Freeze“ bei dem die Entwicklung neuer Funktionen komplett eingestellt wird und das gesamte Entwicklerteam nur daran arbeiten soll, die Sicherheit der Anwendung zu erhöhen. Zudem soll es ein externes Security-Audit geben, einen Transparenzbericht und das Bug-Bounty-Programm soll ebenfalls erweitert werdenm.

Allgemeine Vorsichtsmaßnahmen

Auch wenn Videokonferenz-Anwendungen Sicherheitslücken und Schwachstellen haben, sind doch primär die Organisatoren solcher Meetings dafür verantwortlich, dass die Belange der Datensicherheit und des Datenschutzes beachtet werden.

  • Richtlinien: Jeder Organisator muss vorher Richtlinien für Sicherheit und Privacy festlegen.
  • Zugangs-Links und Meeting-IDs: Würden sie öffentlich verfügbar, etwa durch Wiederverwendung, öffnen sie Trollen Tür und Tor. Obersten Vorrang hat daher die Geheimhaltung dieser Zugangscodes. Neulinge wie der britische Premier Boris Johnson posteten Fotos, auf denen die Meeting-ID zu sehen war.
  • Konferenznummern müssen dynamisch angelegt werden, um die Konferenzen zu verbergen. Statische Nummern laden Trolle zum Missbrauch ein.
  • Die Audio- und Videodaten der Konferenz werden von Zoom automatisch aufgezeichnet, wenn diese Option nicht abgestellt wird. (Siehe Bleeping-Computer.) Wer also vertrauliche Daten in jeglicher Videokonferenz austauschen möchte, sollte sich durch PINs und Passwörter, die das System generiert und verteilt, schützen. Eine Mehrfaktor-Authentisierung bietet zusätzlichen Schutz, weil sie den Nutzer zweimal beglaubigt.
  • Über ein Monitoring-Dashboard kann der Organisator herausfinden, ob sich im Meeting jemand befindet, der nicht eingeladen war. Je größer die Teilnehmerzahl, desto schwieriger wird diese Aufgabe.
  • Sobald der Organisator feststellt, dass alle Eingeladenen vollzählig "anwesend" sind, sollte er den Zugang zur Konferenz schließen.
  • Potentiell riskante Funktionen wie etwa die automatische Aufzeichnung, Chats und File-Sharing sollten vor Beginn abgestellt werden.
  • Eine Videokonferenz ist nur so sicher wie ihre IT-Umgebung. Das heißt, dass sowohl die benutzten Endgeräte als auch die Leitung zur Konferenz selbst durch geeignete abgesichert sein müssen. Das kann durch Daten-Verschlüsselung, TLS-Transportverschlüsselung, VPN und natürlich Schutzsoftware erfolgen.

(ID:46500032)

Über den Autor