Schwachstellen Zoom Konferenzen
Check Point gibt Sicherheitstipps für Zoom-Konferenzen
Von Dietmar Schnabel, Regional Director Central Europe bei Check Point Software Technologies Ltd GmbH
Trotz negativer Schlagzeilen über mangelnde Sicherheit und Lücken beim Datenschutz, ist die Zahl der aufgesetzten Konferenzen bei Zoom weiterhin ungebrochen hoch, denn technisch funktioniert der Streaming-Dienst gut. Dennoch machten Berichte die Runde, dass sich Fremde in Telefonkonferenzen einwählen konnten, wenn diese nicht als private Sitzungen eingerichtet wurden.
Der Begriff ‚Zoomboming‘ breitet sich in den Vereinigten Staaten aus. Außerdem wurde bekannt, dass die iOS-Anwendung des Dienstes einige Informationen über das benutzte Gerät – wie Modell, freier Speicherplatz und Display-Größe – an Facebook übermittelte. Zoom nannte Facebook-Werkzeuge bei der Anmeldung als Grund und entfernte die Datenweitergabe. Man muss den Kaliforniern keine Böswilligkeit vorwerfen, denn der enorme Zuwachs von Nutzern in den letzten Wochen kann schnell die Strukturen überfordern und manche Lücke wird übersehen. Die schnelle Einsicht und Reaktion des Unternehmens unterstreichen diese Interpretation.
Dennoch lohnt es sich, diese sechs Ratschläge zu beachten, um ruhigen Gewissens die nächste Konferenz aufsetzen zu können.
- Zoom reagierte umgehend auf die Kritik und sendete zum ersten April ein neues Update raus, dass viele Probleme beim Datenschutz löst und bessere Richtlinien für Gruppen einführt. Die Installation empfiehlt sich also umgehend.
- Der Zugang zu Konferenzen sollte durch Passwörter geschützt sein, am besten über SSO, falls das Unternehmen diese Methode unterstützt.
- Zoom hat nun Warteräume eingeführt, die aktiviert werden können. Dorthin gelangen dann neue Nutzer zuerst und der Gastgeber kann sie überprüfen, bevor er sie zur eigentlichen Sitzung zulässt. Ungebetene Gäste können so ferngehalten werden.
- Gastgeber sollten von ihren Werkzeugen Gebrauch machen, um die Video- und Audio-Übertragungen der Teilnehmer zu kontrollieren. So können ungewollte Nebengeräusche oder Videos abgeschaltet werden.
- Alle Teilnehmer sollten stets daran denken, dass für Zoom das gleiche gilt, wie für jeden Online-Dienst: Im Zweifel bleibt nichts privat und nur innerhalb des Dienstes zurück, sondern kann nach außen gelangen. Es lohnt sich daher, das eigene Verhalten in Bezug auf die preisgegebenen Informationen dauernd zu prüfen.
- Aufgrund der zunehmenden Phishing-Attacken über gefälschte Links empfiehlt es sich, die Zoom-Webseite oder -Anwendung direkt aufzurufen und die Meeting-ID dort einzugeben, statt Links zur Konferenz zu folgen. Mittlerweile ist bekannt, dass 90 Prozent aller Cyber-Angriffe mit einem Phishing-Versuch beginnen und 25 Prozent mehr Zoom-Domänen in den letzten zwei Wochen registriert wurden, wovon 4 Prozent bereits als gefälscht gelten. Viele weitere stehen unter Verdacht.
Es mag zwar der eine oder andere Ratschlag den Komfort beschneiden, doch gibt man lieber die Meeting-ID manuell ein, statt auf einen Phishing-Link zu drücken; oder man macht sich als Gastgeber mehr Mühe, um seine Rolle auszufüllen und die Sitzung wirklich zu kontrollieren, statt ungewollte Gäste zu dulden. Im besseren Fall stören diese die Konferenz, im schlimmsten Fall stehlen sie Informationen und richten einen hohen Schaden an.