Bundesdatenschutzbeauftragter Kelber warnt vor Zoom wegen fehlender Ende-zu-Ende-Verschlüsselung

Im Interview mit dem Handelsblatt rät er von Zoom und ähnlichen Tools ab, wenn personenbezogene Daten im Spiel sind.

Sind Bild und Ton in Videokonferenzen personenbezogen?

Mit einer Ausnahme: Passive Teilnahme an einer Videokonferenz, z.B. in der Online-Lehre – sofern ein Pseudonym gewählt und sowohl Mikro als auch Kamera ausgeschaltet bleiben.

Auf der Webseite des Bundesdatenschutzbeauftragten findet man eine Übersicht von Messenger-Diensten mit Video-Funktion, die er vom niederländischen Datenschutzbeauftragte übernahm.

Währenddessen hat Zoom in einem White paper angekündigt, dass sie weiter an der Sicherheit arbeiten, u.a. auch Ende-zu-Ende-Verschlüsselung einführen wollen.

Verschlüsselung

Bislang wird bei einigen Kommunikationstools nur die Übertragung zwischen den Clients und der Zoom-Cloud verschlüsselt, so dass dort auf die Audio- und Video-Daten zugegriffen werden kann.

Bei echter Ende-zu-Ende-Verschlüsselung kann niemand außer den Teilnehmern einer Videokonferenz auf die Audio- und Video-Daten zugreifen, d.h. weder bei der Übertragung noch die Software auf den Endgeräten (Browser oder Apps). Und das ist die eigentliche Herausforderung, es erscheint auf den ersten Blick technisch unmöglich:

  1. In jedem Fall wird eine Hardware- und/oder Software-Komponente auf dem Endgerät benötigt, die die Ver- und Entschlüsselung umsetzt – und dieser muss man vertrauen (können).
  2. Die Übertragung der Schlüssel dafür muss ebenfalls sicher sein.

Alle beteiligten Endgeräte müssen sicher sein.

D.h. sie dürfen keine Sicherheitslücken aufweisen und es dürfen keine Überwachungs- oder andere Backdoor-Programme installiert sein, die ungefragt Daten an Dritte übertragen.

Und damit nicht genug.

Das Schlüssel-Management ein weiteres zentrales Problem.

Die zumeist eingesetzte asymmetrische Verschlüsselung nutzt einen privaten und einen öffentlichen Schlüssel, ideal für die Kommunikation zwischen zwei Teilnehmern, da bei dieser jeweils die Daten mit dem öffentlichen Schlüssel des Partners verschlüsselt, so dass die Dtaen und nur mit dem passenden privaten Schlüssel entschlüsselt werden können.

Das Videokonferenz-Tool muss dafür sorgen, dass für jedes Meeting unterschiedliche Schlüssel generiert und nur den an einem Meeting zugelassenen Teilnehmern bekannt sind. Die Verteilung dieses Schlüssels könnte mittels  asymmetrischer Verschlüsselung sicher erfolgen.

Webbrowser

Zudem besteht bei der Nutzung von Webbrowsern das Problem, dass es bislang noch keine Technologie gab, bei der die Daten dort durchgängig verschlüsselt sind. Auch aus diesem Grund setzen Anbieter wie Zoom auf eigene Apps, bei der sie die Implementierung vollständig unter Kontrolle haben.

Die gute Nachricht ist:

In Chromium und verwandten Browsern gibt es ein neues Feature, dass die Übertragung von verschlüsselten Streams mittels WebRTC ermöglicht.

Bei Jitsi wird mit Hochdruck daran gearbeitet, echte Ende-zu-Ende-Verschlüsselung mittels WebRTC umzusetzen. Noch offen ist die konkrete Implementierung des Schlüsselmanagements.

Weitere Informationen

Ergänzung vom 3. Juni

Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert