Der einfach bedienbare Videoconferencing-Dienst Zoom ist aufgrund der aktuellen Home-Office-lastigen Situation sehr beliebt, stand aber jüngst im Kreuzfeuer heftiger Kritik. Denn Nutzer und Security-Fachleute entdeckten eine Reihe eklatanter Sicherheits- und Datenschutzmängel. Zoom hat inzwischen auf die Kritikflut reagiert und einen 90-Tage-Plan zur Verbesserung der Sicherheit vorgelegt. Mit Version 5.0 setzen die Kalifornier nun erste Nachbesserungen um.

Zoom konnte in Pandemiezeiten seine Nutzerbasis laut eigenem Bekunden verzwanzigfachen, doch die Liste der Sicherheits- und Datenschutzmängel, die zeitgleich zutagegetreten sind, ist beachtlich: Die Lösung verschlüsselte den Datenverkehr nicht ordentlich Ende-zu-Ende, überwies iOS-Nutzerdaten eigenmächtig an Facebook und erlaubte Angreifern durch einfaches Ausprobieren von Meeting-IDs, sich in Zoom-Meetings einzuklinken und dort unerwünschte Inhalte zu veröffentlichen, „Zoom-Bombing“ genannt. Apple sah sich sogar genötigt, per OS-Update einen Web-Server zu deinstallieren, den Zoom beim Aufspielen auf macOS heimlich und deinstallationsresistent einrichtete – eigentlich ein klassisches Malware-Vorgehen.

Angesichts heftigen öffentlichen Drucks sowie zahlreicher Unternehmen und Behörden, die den Zoom-Einsatz untersagten, reagierte der kalifornische Anbieter, veröffentlichte einen 90-Tage-Plan zur Nachbesserung und stellte nun Version 5.0 vor. „Ich bin froh, dass wir in Bezug auf unseren 90-Tage-Plan im Soll liegen, doch das ist erst der Anfang“, sagt Zoom-Chef Eric Yuan. Man habe den Dienst „maximal nutzerfreundlich“ gebaut und sei nun dabei „auch die sicherste Plattform zu schaffen, um das Vertrauen unserer Kunden zu sichern“. Zoom vollzieht damit den klassischen Dreisprung heutiger Softwareentwicklung: 1. ein benutzerfreundliches Produkt schaffen, 2. dieses massiv verbreiten, 3. sich dann überlegen, ob und wie man das sicher bekommt.

Zoom rüstet dazu die Verschlüsselung auf AES 256-Bit GCM (Galois/Counter Mode) auf, um den Schutz der Sitzungsdaten während der Übertragung zu erhöhen und Manipulationen vermeiden zu können. Zoom 5.0, das noch diese Woche veröffentlicht werden soll, unterstütze die GCM-Verschlüsselung bereits, der Standard trete in Kraft, sobald alle Konten mit GCM aktiviert sind. Die systemweite Kontenaktivierung soll am 30. Mai erfolgen.

Des Weiteren kann ein Account-Administrator laut dem US-Anbieter nun das Routing von Meeting-Daten kontrollieren: Er könne auswählen, welche Rechenzentrumsregionen seine Meetings und Webinare für den Echtzeitverkehr auf Account-, Gruppen- oder Benutzerebene nutzen.

Zugleich bemüht sich der Anbieter um mehr Benutzerfreundlichkeit: Die Sicherheitsfunktionen, auf die man bislang über die Konferenzmenüs zugreifen konnte, seien jetzt gruppiert und per Klick auf ein Security-Icon in der Menüleiste auf der Benutzeroberfläche des Gastgebers aufrufbar. Der Gastgeber werde in der Lage sein, über das Sicherheits-Icon einen Benutzer an Zoom zu melden. Zudem könne man die Möglichkeit für Teilnehmer deaktivieren, sich selbst umzubenennen. Für Anwender aus dem Bildungsbereich – für Zoom ein wichtiger Markt in Home-Schooling-Zeiten – sei die Bildschirmfreigabe jetzt standardmäßig nur für den Gastgeber aktiviert, wie das bei Schulsoftware eigentlich längst üblich ist.

Meeting-Passwörter seien für die meisten Kunden, einschließlich aller Education-, Basic- und Pro-Kunden mit Einzellizenz, standardmäßig aktiviert. Für verwaltete Konten könne der Administrator jetzt die Passwortkomplexität definieren. Außerdem könne ein Zoom-Phone-Administrator die Länge der Voicemail-PIN anpassen.

Virtuelle Warteräume für die Zeit vor Besprechungen seien jetzt standardmäßig für die Konten Education, Basic und Pro mit Einzellizenz aktiviert. Der Gastgeber könne nun den Wartebereich auch einschalten, während eine Sitzung bereits läuft. Hinzu gesellen sich einige weitere Verbessungen wie Passwörter für Cloud-Aufzeichnungen, das Verknüpfen von Kontakten über mehrere Konten hinweg, Dashboard-Erweiterungen für die Anzeige der Anbindung an Zoom-Rechenzentren etc.

Nutzer können ihre Anwendung unter zoom.com/download aktualisieren. Über Fortschritte beim 90-Tage-Plan berichtet Zoom unter blog.zoom.us. Vielleicht wird die Lösung ja eines Tages sogar noch DSGVO-konform.