"Am Ende geht es aber immer darum: Der Provider, der dieses System hostet, der hat Zugriff. Er kann den Datenstrom kompromittieren, jederzeit."
So bringt der schweizerische Experte Heiko Schramm das grundlegende Sicherheitsrisiko eines jeden Videokonferenzsystems auf den Punkt. Wer per Fernschaltung unterrichten, Besprechungen oder Vereinsversammlungen durchführen will muss das bedenken. Und deshalb fragen sich viele Menschen in Zeiten von Home Office und Home Schooling, welches Videokonferenz-Tool für sie das richtige ist.
Computerexperte Peter Welchering hat sich viele Videokonferenzsysteme angeschaut und Entscheidungskriterien für den Einsatz überprüft.
Kostenlos, sicher, einfach zu bedienen
Die meisten Privatnutzer wünschen sich ein kostenloses Tool. Unternehmen hingegen legen größeren Wert auf Datensicherheit. Auch die maximale Teilnehmerzahl ist selbst für viele Privatnutzer ein wichtiges Thema - bis zu zehn Nutzer gleichzeitig sind im privaten Umfeld durchaus gewünscht. Die Benutzerfreundlichkeit ist ein großes Thema. Beim Einsatz in der digitalen Aus- und Fortbildung spielt auch eine Rolle, wie einfach Präsentationen, Audio und Video eingebunden werden können.
Seit die massiven Datenschutz- und Sicherheitsprobleme beim amerikanischen Anbieter Zoom im April offenbar geworden sind, wird die Frage immer wichtiger, wie vertrauenswürdig der Videokonferenzanbieter ist - bei Privatanwendern wie Unternehmen inzwischen ein wichtiges Kriterium.
Und diese Frage wird insbesondere an die Betreiber der großen amerikanischen Systeme wie Zoom, Skype oder Webex gestellt. Insbesondere Zoom hatte ja mit relativ vielen Sicherheitsmängeln zu kämpfen.
Zoom lieferte Nutzerdaten an Facebook
Im März galt der amerikanische Videokonferenzanbieter Zoom noch schlicht als der Star der Branche. Nachdem viele Unternehmen ihre Mitarbeiter ins Home Office geschickt hatten, griff Zoom den jahrelangen Platzhirschen im Video-Konferenzbereich, Skype, massiv an. Die Menschen waren von Zoom begeistert. Die Software war schnell installiert, eine Videokonferenz binnen kürzester Zeit aufgesetzt. Doch dann stellte sich heraus: Zoom lieferte Nutzerdaten an Facebook. Die Empörung war groß. Bis Ende März leitete Zoom bei jedem Start der iOS-Version eine Identifizierungsnummer des Nutzers, den Standort des Geräts inklusive Zeitzone und Daten über das verwendete Mobilfunknetz an Facebook. Für den Chief Information Officer von Zoom, Harry Moseley, sind das allerdings keine persönlichen Daten, sondern nur Endgeräte-Daten. Daher sei die ganze Aufregung unangebracht.
"Wir haben die Person geschützt, das Individuum, das Unternehmen. Nichts mit Bezug auf ein Meeting oder Teilnehmer sowie Abonnenten unserer Plattform haben wir mit Facebook geteilt. Es wurden lediglich Endgeräte-Informationen an die Facebook-Schnittstelle geliefert. Das hat nichts mit individuellen Personen zu tun. Und als wir darauf aufmerksam gemacht wurden, haben wir die App ganz schnell geändert."
Probleme bei der Vertraulichkeit
Immerhin räumt der Zoom-Cheftechniker nach längerer Diskussion über die Weiterverwendung der Daten von Zoom-Nutzern durch Facebook ein:
"Ich denke, das war unser Fehler. Der geschah unabsichtlich. Wir haben uns auf Sicherheit und einfache, reibungslose Nutzererfahrung konzentriert und nicht bemerkt, dass das Facebook SDK Geräteinformationen austauscht."
Auch in anderen Bereichen hatte Zoom mit Problemen in Sachen Vertraulichkeit zu kämpfen. So tauchten in einigen Videokonferenzen rassistische Sprüche und Sex-Werbung auf. Hacker hatten sich in laufende Zoom-Konferenzen eingeklinkt und diese quasi übernommen. Das sei ein allgemeines Problem und betreffe Zoom wie andere Anbieter auch, meint Harry Moseley.
"Also diese Art von Verhalten, Ich sage das in Anführungszeichen, gehört einfach zu den Jungs und wird sicherlich nicht von Zoom geduldet. Sie wissen, Meetings und das Leben auf diese Weise zu stören, das kann auf jeder Plattform passieren. Es ist nicht nur ein Zoom-Problem. Grundsätzlich glauben wir, dass Nutzer die Sicherheitskontrollen von Zoom verwenden, die wir gemäß den Forderungen entwickelt haben."
Zoom sieht die Schuld beim Anwender
Aber der eigentlich Schuldige sei hier der Anwender.
"Wenn Nutzer ihre Meeting-IDs mit ihren Freunden teilen und, was anscheinend teilweise passiert ist, und ihre Freunde die Meeting-ID wiederum an andere Freunden weitergeben, dann kann solche eine ID in die Hände von jemandem gelangen, der nicht an einer Besprechung teilnehmen sollte."
Der Zoom-Client für Windows wandelte eine Zeitlang per Text-Chat versandte Nachrichten, die mit einem Doppel-Schräger beginnen, in Hyperlinks um. Über diese Hyperlinks konnte ein Angreifer dann Kommandos auf dem Rechner von Teilnehmern einer Zoom-Konferenz ausführen. In einigen Fällen wurden über diese Sicherheitslücke sogar Hashes, also kryptografische Fingerabdrücke von Passwörtern erbeutet. Harry Moseley räumt auch diese Sicherheitsmängel ein. Er hebt aber hervor, dass Zoom sich doch stets sofort um solche Schwachstellen gekümmert habe.
Datenschützer padeluun rät vom Gebrauch ab
Dem Aktionskünstler und Mitbegründer der Datenschutzorganisation Digitalcourage, padeluun reichen solche Bekenntnisse nicht. Er rät davon ab, solche Systeme wie Zoom, Skype oder Webex einzusetzen.
"Zoom war tatsächlich ein Konferenzsystem, was so schlecht programmiert war, was so invasiv auf Daten der Userinnen und User zugegriffen hat, dass wir es schlichtweg als Datenschutz-Katastrophe bezeichnet haben. Zoom hat da ein kleines bisschen nachgebessert, aber dennoch denke ich, dass allein von dem Standort USA her, der Gesetzgebung, die dahinter steckt, dass nämlich Daten jederzeit an US-Geheimdienste weitergegeben werden müssen, das ein System ist, mit dem wir sicherlich nicht telefonieren wollen."
Alternativen zu US-Anbietern
Computerexperte Peter Welchering berichtet über steigendes Interesse an sogenannten alternativen Konferenzsystemen - insbesondere Jitsi und Big Blue Button. Und das nicht nur von Privatanwendern, sondern auch von Unternehmen. Das bestätigt auch Experte Heiko Schramm. Vor allem die Kosten für das Aufsetzen eines Konferenzsystems seien von Interesse. Wie sieht es da für private Nutzer aus?
"Privatleute brauchen aber auch in der Regel keine eigene Jitsi-Instanz. Die wollen Zugang zu solch einem Server, ein Meeting starten und dann ihre Videokonferenz machen. Und da gibt es ja inzwischen viele kostenlose Angebote von Freifunkern, von Aktivistengruppen, von Computer-Initiativen, die ihre jeweilige Jitsi-Instanz betreiben und darüber kostenlose Videokonferenzen anbieten. Das machen übrigens auch einige IT-Berater, die damit einfach auf Jitsi oder Big Blue Button aufmerksam machen wollen."
Unterschied im Alltagsgebrauch
"Wer einmal ein Konferenztool bedient hat, wird sich auch in den anderen Tools zurechtfinden. Big Blue Button ist später populär geworden als Jitsi, obschon das System selbst auch gar nicht so neu ist. Es hat aber seit April unglaublich viele neue Anwender gewonnen. Der Vorteil von Big Blue Button: Es läuft mit dem Firefox-Browser ganz problemlos. Einige Jitsi-Instanzen haben da noch so ihre Probleme. Browser der Wahl für Jitsi ist derzeit noch Chrome. In Baden-Württemberg und Bayern verwenden seit April sehr viele Schulen dieses Videokonferenz-Tool. Unter senfcall.de haben zum Beispiel Studierende aus Darmstadt und Karlsruhe einen Server eingerichtet, der Videokonferenzen mit Big Blue Button kostenlos zur Verfügung stellt. Insgesamt ist das Angebot an Jitsi-Instanzen oder frei zugänglichen Big Blue Botton Servern seit Beginn der Corona-Krise gewachsen."
Verbraucher stellen sich die Frage, ob diese Open-Source-Angebote nach der Corona-Krise wieder verschwinden könnten.
Heiko Schramm meint, in den Unternehmen, die sich jetzt von Beratern eigene Konferenzsysteme auf Basis von Jitsi oder Big Blue Button einrichten lassen, werden diese auch in Nach-Corona-Zeiten genutzt werden - aus Kostengründen und weil man sich daran gewöhnt haben wird. In den Hochschulen seien die beiden Open-Source-Systeme in Konzepte für die digitale Lehre integriert worden und könnten künftig Präsenzveranstaltungen ergänzen. Was vor 20 Jahren mal als Konzept für Blending Learning begonnen wurde, entwickele sich weiter und werde auch diese Krisenzeiten überstehen, so Schramm. Jitsi und Big Blue Button würden weiterhin eine Rolle spielen, weil Anwender sehr viel datenschutzsensibler geworden sein.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.