90-Tage-Sicherheitsplan umgesetzt
Zoom verbessert Security und Datenschutz
Nachdem der Videokonferenz-Anbieter Zoom im Frühjahr aufgrund von Sicherheits- und Datenschutzmängeln ins Kreuzfeuer der Kritik geraten war, zog er externe Fachleute hinzu, verkündete am 1. April einen 90-Tage-Plan zur Verbesserung der Sicherheit und setzte alle anderen Entwicklungsaktivitäten aus. Nach Ablauf dieser drei Monate betont CEO Eric S. Yuan, man habe zahlreiche Fortschritte erzielt.
Zoom 5.0 unterstützt laut Bekunden des Herstellers standardmäßig AES 256 GCM Transport Encryption und somit starke Verschlüsselung. In der Benutzeroberfläche habe man sicherheitsrelevante Funktionen hervorgehoben und für Nutzer besser sichtbar gemacht. Der Passwortschutz von Konferenzen, Warteräume für neue Teilnehmer und begrenztes Screen-Sharing (Teilen des Bildschirms) seien nun Standard. Nutzer, die gegen Regeln verstoßen, könne man melden. Zudem sei nun der Ausschluss bestimmter Regionen vom Routing der Kundendaten möglich (allerdings offenbar nicht der USA).
Zwischenzeitlich hat Zoom außerdem den Verschlüsselungsspezialisten Keybase erworben. Dies dient dem Ziel, eine Ende-zu-Ende-Verschlüsselung für Videokonferenzen zu entwickeln, wie man sie etwa von der Secure-Messaging-App Signal her kennt.
Um zu zeigen, wie ernst man die Sicherheit und Privatsphäre seiner Nutzer nimmt, zog Zoom externe Experten und repräsentativ ausgewählte Nutzer hinzu, um die Software wie auch die Richtlinien zu überprüfen und zu verbessern. Der Anbieter etablierte einen Beirat („CISO Advisory Council“) mit 36 Sicherheitsfachleuten, darunter die Verschlüsselungsexpertin Lea Kissner (Chief Privacy Officer beim Machine-Learning-Anbieter Humu), der Informatikprofessor Alex Stamos (Ex-Sicherheitschef bei Facebook) oder auch Vertreter des Red-Teaming-Spezialisten Bishop Fox, des Centers for Democracy and Technology sowie von Crowdstrike. Laut Zoom ist nun die virtuelle Fortführung des Beirats mit interaktiven CISO-Roundtables geplant.
Um Schwachstellen frühzeitig zu erkennen und schnell schließen zu können, hat Zoom ein zentrales Bug-Repository etabliert, mit Input von HackerOne, BugCrowd und per Mail an security@zoom.us, für die Triage sorgt der Anbieter Praetorian. Zudem hat der Anbieter die Position eines „Head of Vulnerability and Bug Bounty“ geschaffen, der Mitte Juli das Amt antreten soll. Auf dieser Basis will der Anbieter die Sicherheit des Systems laufend überprüfen, mit dem Ziel, die Reaktionszeit zur Fehlerbehebung weiter zu verbessern, wie CEO Eric S. Yuan in einem Blog-Post beschrieb.
Gleichzeitig habe man mehrere externe Firmen – Trail of Bits, NCC Group und Bishop Fox – damit beauftragt, die Plattform Penetration-Tests zu unterziehen, um weitere Punkte zu identifizieren, die zu verbessern sind. Dies umfasse Zooms Produktionsumgebung (eigene wie auch Colo-Rechenzentren), die Web-Anwendung sowie Mobile- und Desktop-Clients.
In Zukunft will Zoom laut CEO Yuan außerdem klarer kommunizieren, wie man mit Anfragen nach Daten, Aufzeichnungen und Inhalten zum Beispiel von Regierungsseite umgeht. Dafür werde ein Transparenzbericht erstellt, dieser sei in Vorbereitung. Ziel der diversen Aktivitäten ist es laut dem Zoom-Chef nach wie vor, „die nutzerfreundlichste und sicherste Videokommunikationsplattform der Welt zu sein.“
Den Blog-Post von Eric S. Yuan findet sich unter https://blog.zoom.us/ceo-report-90-days-done-whats-next-for-zoom/.
Lesen Sie mehr zum Thema
