Zoom für Videokonferenzen im Unternehmen – sicher möglich?

Möchtest Du Zoom in Deinem Unternehmen für Videokonferenzen einsetzen? Fragst Du Dich aber, ob das sicher und datenschutzzechnisch sauber machbar ist?

Die Corona-Situation hat viele Unternehmen dazu gezwungen, die Digitalisierung schnell voranzutreiben. Gerade kleine Unternehmen sind in der Pflicht, Ihre Dienstleistungen online anzubieten.

Videokonferenzen sind dabei ein unerlässliches Hilfsmittel.

Nicht für alle Situationen sind die privatsphäre-freundlichen Alternativen hilfreich. Oft scheitert es an der Akzeptanz auf Seiten der Mitarbeiter oder der Kunden. Oder an den technischen Möglichkeiten. Dann muss auf die bekannten und prominenten Alternativen zugegriffen werden.

Die bekannteste Alternative ist Zoom.

Die Corona-Krise hat bei dem US-amerikanischen Unternehmen zu einem Boom geführt, der seinesgleichen sucht. Von 10 Mio täglichen Benutzern im Dezember 2019 zu 200 Millionen Benutzern pro Tag (sic!) im März 2020.

Und das alles mit einer beeindruckenden Qualität der Verbindung und der Verfügbarkeit.

Willst Du in Deinem Unternehmen Zoom einsetzen?

Willst Du als Unternehmer Zoom einsetzen und fragst Dich, ob das datenschutztechnisch sauber und auch sicher zu machen ist?

Ist Zoom sicher, aber auch geheim?

Ich zeige Dir, wie Du Deine Videokonferenzen so aufsetzt, dass sie sicher sind. Zoombombing und andere Sicherheitsprobleme gingen durch die Presse, wurden aber von Zoom oft auch schnell aufgegriffen und angegangen.

Ich zeige Dir aber auch, wo Zoom noch Nachholbedarf hat. Denn nicht für alle Geschäftsgeheimnisse ist Zoom geeignet.

Wie die DSGVO umsetzen

Wichtig für Dich als Unternehmer ist, wie Du die Anforderungen der DSGVO mit Zoom umsetzen kannst. Das ist einfacher, als Du vielleicht befürchtest. Ich zeige Dir wie das geht.

praktisch im Alltag

Neben Datenschutz- und Sicherheitsaspekten muss eine Videokonferenzlösung vor allem auch benutzbar sein. Stabil und verfügbar soll sie sein, kostengünstig und leicht zu bedienen.

Sicherheit Deiner Daten bei der Nutzung von Zoom

Die Sicherheit Deiner Daten ist einer der wesentlichen Punkte bei der Auswahl einer Videokonferenz-Lösung. Aber was heisst “Sicherheit” im Kontext einer Videokonferenz-Lösung?

Datensicherheit bei Videokonferenzen

Es gibt in dem Zusammenhang zwei Aspekte, die Du betrachten solltest:

  • Deine Videokonferenzen und Webinare mit Zoom sollen ungestört laufen. Unter dem Stichwort Zoombombing sind hier viele Zwischenfälle aufgetreten, wo Menschen fremde Videokonferenzen betreten haben, und durch zum Teil rassistische oder sexistische Bilder und Kommentare gestört haben.
  • Deine Daten dürfen Unbefugten nicht in die Hände fallen. Zoom geht da recht weit, ich erkläre Dir aber auch, wo die Limitierungen sind und worauf Du achten musst.

Schütze Deine Videokonferenzen bei Zoom

Mit der rasant steigenden Zahl an Teilnehmern in Zoom-Konferenzen stieg auch die Zahl von Meldungen zu Sicherheitsproblemen. Die wichtigsten Themen sind:

  • Das Entern von Videokonferenzen durch Unbefugten, dem Zoombombing.
  • Die Sicherheit Deiner Daten vor Fremden
  • Die Übermittlung von Benutzerdaten an Facebook

Schutz vor Zoombombing für ungestörte Videokonferenzen

Einer der wesentlichen Kritikpunkte ist das so genannte Zoombombing, also das unerlaubte Betreten einer fremden Zoom-Konferenz und das Bombardieren mit störenden Bildern und Nachrichten.

Es gibt dazu Tools die es erlauben, pro Stunde etwa 100 gültige Zoom-Videokonferenz-Kennungen herauszufinden. Mit diesen IDs kann man einfach eine Videokonferenz betreten, wenn für diese Konferenz kein Passwort gesetzt wurde.

Zoom hat darauf reagiert und zumindest versucht, das zu erschweren.

Trotzdem solltest Du die folgenden Sicherheitsmaßnahmen auf jeden Fall beherzigen und zum Schutz vor Zoombombing umsetzen:

  • Setze ein Passwort für Deine Videokonferenz

Das passiert mittlerweile automatisch, kann aber auch in Deinen Einstellungen geändert werden. Das Passwort kannst Du Deinen Teilnehmer auf einem gesonderten Kanal zukommen lassen. In der Einladung sieht das folgendermaßen aus:

  • Teile keine Einladungslinks öffentlich z.B. in Social Media

Mit einem Klick auf den Einladungslink können die Teilnehmer, auch ohne das Passwort einzutippen, der Konferenz beitreten. Damit kann jeder, der den Link besitzt, auch an der Konferenz teilnehmen. Entsprechend vorsichtig sei mit dem Teilen der Zugangsdaten, sie sind der wesentliche Schutz für Deine Konferenz.

  • Nutze den virtuellen Warteraum

Du kannst bei dem Erstellen einer Videokonferenz einstellen, dass neue Teilnehmer erst in einen Warteraum kommen. Erst wenn sie durch Dich freigeschaltet werden, können sie der Konferenz folgen.

Das ist natürlich ein wenig Mehraufwand für Dich, und erfordert Disziplin, aber dafür eine super Möglichkeit, unerwünschte Schnüffler auszuschliessen.

Zoom hat nach den letzten Meldungen auch dieses Feature als Standardeinstellung aktiviert. Aber auch hier hilft, immer zu kontrollieren, ob das bei Dir auch so ist.

  • verbiete “vor dem Veranstalter beitreten”

Wenn Du ein Meeting planst und nicht möchtest, dass Teilnehmer schon vor Dir sich einwählen können, lasse diese Funktion deaktiviert. Dann können Teilnehmer nicht vor Dir den Konferenzraum betreten und vielleicht unerkannt teilnehmen.

  • Stummschalten von Teilnehmern beim Beitreten

Neue Teilnehmer an der Videokonferenz sollten direkt beim Zugang stummgeschaltet werden. Das hilft auch gegen das “Morgen” bei 100 Teilnehmern, aber auch wenn im Büro dann doch nicht die Ruhe im Hintergrund herrscht, die man sich für seine Veranstaltung auch auf der Gegenseite wünscht.

Wie schützt Zoom Deine Daten?

Neben der im vorherigen Abschnitt beschriebenen Maßnahmen, die Du selber zum Schutz Deiner Videokonferenzen ergreifen kannst, tut auch Zoom einiges.

  • dem unerlaubten Mithören-/-sehen Deiner Videokonferenz und
  • der Weitergabe Deiner Daten an andere Firmen
Schutz vor unerlaubtem Mithören: Verschlüsselung

Im vorherigen Kapitel hast Du gelernt, wie Du Deine Videokonferenzen vor unerwünschten Teilnehmern und Störern schützen kannst. Nachdem aber die Daten Deiner Videokonferenz durch das Internet fließen, kann theoretisch jeder die Daten mitlesen. Und zudem müssen Deine Daten ja auch über die Computer von Zoom, auch da könnte jemand neugierig sein und reinschauen.

Die Lösung dafür ist typischerweise “Ende-zu-Ende-Verschlüsselung”, also die Sicherheit, dass Daten nur von den beiden Endpunkten einer Kommunikation (hier: den Teilnehmern der Besprechung“) entschlüsselt, also eingesehen, werden können. Und hier fällt Zoom leider zurück.

Die von Zoom ursprünglich als „Ende-zu-Ende-Verschlüsselung“ vermarktete Sicherheit ist leider nicht wirklich durchgängig Ende-zu-Ende. Damit besteht die Möglichkeit, dass Zoom Deine Daten entschlüsseln und mitlesen/-hören/-sehen kann. Ausser bei Chats, in dem Fall scheint wirklich Ende-zu-Ende-verschlüsselt zu sein. Aber wer nutzt Zoom primär dafür?

Elon Musk, Google und die NASA haben aufgrund dieser und anderer Sicherheitsthemen die Verwendung vom Zoom im Unternehmen bzw. der Behörde verboten.

Ist Zoom sicher genug?

Bei der Verwendung von Zoom vertraust Du im wesentlichen auf zwei Punkte:

  • Zoom selber könnte Einblick in Deine Daten erhalten. Entweder aus eigenem Antrieb oder von staatlicher Seite dazu gezwungen werden. Ob jetzt die Tatsache, dass die Firma in den USA sitzt oder die, dass die Entwicklung von chinesischen Firmen betrieben wird, da besser oder schlechter ist, mag jeder selber entscheiden.

Wichtig ist, Zoom kann Deine Daten einsehen, wenn Zoom will. Ist das wichtig für Dich? Das hängt von dem Sicherheitsniveau ab, auf dem Du unterwegs bist.

  • Mit technischem Aufwand scheint die Verschlüsselung von Zoom in bestimmten Fällen kompromitierbar. Das erfordert Aufwand, ist aber zumindest nicht unmöglich. Das Citizen Lab folgert damit dann auch, das Zoom für Geheimnisse nicht geeignet ist.

Auch hier ist wichtig, auf welchem Niveau betreibst Du sonst die Sicherheit in Deiner Firma?

Damit würde ich stark davon abraten, Zoom für Geschäftsgeheimnisse zu verwenden: Geschäftsprognosen, Entwicklungen, kritische Patente … da würde es mir zu gefährlich. Für den Alltag, Webinare … mag Zoom eine Lösung sein, wenn Dich vor allem die anderen Kriterien überzeugen und Sicherheit nicht Deine größte Sorge ist.

Zoom hat auf die Vorwürfe übrigens reagiert und angekündigt, sich die nächsten 90 Tage auf den Fix von Fehlern und Verbesserung der Sicherheit zu konzentrieren.

Weitergabe von Daten an Facebook

Ebenfalls durch die Presse ging die Weitergabe von Zoom-Daten an Facebook bei der Verwendung der iOS-App.

Das wurde dann aber auch abgestellt und damit erklärt, dass die Funktion “Single Sign On” (also das Einloggen in Zoom mit den Facebook-Benutzerdaten) zu dieser Begleiterscheinung geführt hat.

Auch hier scheint das Prinzip “Nutzbarkeit” vor “Sicherheit” gegangen zu sein. Fairerweise muss man sagen, diese Art der Datenübertragung sieht man bei vielen Apps. Toll ist das deswegen immer noch nicht, aber zumindest bei Zoom erstmal abgestellt.

Auf der Zoom-Webseite werden auch noch andere “Tracker” eingesetzt. Auf jeden Fall ist Google Analytics dabei. Zoom spricht aber auch von ihren Webseiten als “Marketing Webseiten”, und rechtfertigt damit die Datenerfassung Auch hier gilt, das ist im kommerziellen Umfeld absolut Usus.

Im Hinblick auf Datenschutz und Privatsphäre bin ich strikt dagegen. Aber aus wirtschaftlicher Sicht ist das nicht zwingend ein Grund, Zoom nicht zu verwenden. Wichtig ist, dass Du rechtlich sauber bist.

Willst Du Deine Privatsphäre im Internet schützen?

https://www.datenwache.de/38

DSGVO Anforderungen mit Zoom umsetzen

Um Unternehmen ist die DSGVO, wie alle anderen gesetzlichen Vorgaben, für Dich als Unternehmer einzuhalten. Entsprechend muss natürlich auch Deine Videokonferenzlösung die Vorgaben der DSGVO erfüllen.

Um jetzt Zoom DSGVO-konform in Deinem Unternehmen einzusetzen, solltest Du:

  • Einen AV-Vertrag für die Auftragsverarbeitung mit ZOOM abschliessen
  • Die Verarbeitungstätigkeit in Dein Verzeichnis der Verarbeitungstätigkeiten aufnehmen und
  • die Teilnehmer der Konferenzen/Webinare informieren.

AV-Vertrag mit Zoom

Den Auftragsverarbeitungs-Vertrag mit Zoom (also im Wesentlichen die Erklärung, dass Ihr trotz der Nutzung von Zoom für die Datenverarbeitung verantwortlich bleibt), findet Ihr hier als Data Processing Addendum. Bis vor kurzem war es so, dass Du den Vertrag unterschreiben und an Zoom schicken solltest, jetzt wird der wohl automatisch bei der Registrierung aktiv.

Schnelllebige Zeiten, denn klar kommuniziert wird das noch nicht. Zoom verweist aber in ihrer Datenschutzerklärung auf ihre Rolle als Verarbeiter.

Verzeichnis von Verarbeitungstätigkeiten

Die DSGVO erfordert ja von Dir, dass Du ein “Verzeichnis von Verarbeitungstätigkeiten” führst. Deinen Videokonferenzanbieters solltest Du dann auch aufnehmen Dazu gibt es auch Muster-Vorlagen.

Nutzer informieren

Du musst die Nutzer der Videokonferenz auch noch vor der Datenweitergabe über die Datenverarbeitung informieren. Dazu gibt es eine sehr schöne Vorlage beim Datenschutzguru, auf diese verweise ich hier gerne. Wichtig ist, informiere den Benutzer vor der Datenweitergabe, z.B. mit der Einladung.

Zoom kann meiner Meinung nach durchaus DSGVO-konform eingesetzt werden. Das erfordert natürlich ein wenig Arbeit, unterscheidet sich aber nicht wesentlich von jedem anderen Cloud-Dienst, den Du verwendest.

Noch ein Hinweis:

Auch wenn die “Aufmerksamkeitsüberwachung” (attendee attention tracking) von ZOOM dauerhaft entfernt wurde: Lass die Finger vor solchen Themen. Wenn diese in die Überwachung Deiner Mitarbeiter münden, hast Du auf jeden Fall Erklärungsbedarf, und ob das den Nutzen wirklich wert ist… Denn laut DSGVO gelten “datenschutzfreundliche Voreinstellungen” als Pflicht.

Disclaimer: Du weisst ja, hier gibts natürliche keine Rechtsberatung, dafür sind Anwälte da. Und Dein Datenschutzbeauftragter kann Dir helfen und Dich beraten. Das hier ist sehr allgemeingültig als Info rausgegeben, mehr nicht.

Stabilität und Verfügbarkeit von Zoom

Das ist sicher neben den Kosten der Hauptpunkt für den Erfolg von Zoom. Selbst in Zeiten von Corona, mit einem Anstieg der täglichen Konferenzen von 10 Millionen auf 200 Millionen, ist die Plattform mir und meinem Bekanntenkreis noch nicht als nicht verfügbar oder durch schlechte Qualität aufgefallen. Aus technischer Sicht durchaus beeindruckend.

Kosten

Die aktuellen Kosten für Zoom liegen pro Moderator bei 13,99 EUR pro Monat. Mehr Features kosten auch noch mehr, die kostenlose Variante hat natürlich Einschränkungen. Die wesentliche ist die Beschränkung auf 40 Minuten bei mehr als zwei Teilnehmern. Aber im Ernst, für ein kommerziell genutztes Produkt darf auch Geld gezahlt werden.

Einfachheit der Lösung

Auch hier trumpft Zoom auf. Egal ob technisch vorgebildet oder eher unbedarft, die Verwendung des Zoom-Clients oder der Apps ist nahezu selbsterklärend. Das ist sicher auch ein wesentlicher Grund für den durchschlagenden Erfolg dieser Lösung.

Gefahren für die Privatsphäre

Einige Möglichkeiten von Zoom sehe ich zumindest als potentielle Gefahr für die Privatsphäre. Ob diese relevant für die Verwendung von Zoom in Deinem Unternehmen sind, ist Deine Entscheidung. Aber ganz im Sinne der Datenwache, wo es ja auch um den Schutz Deiner Privatsphäre geht, müssen wir uns das ansehen:

Audiosignaturen

Zoom erzeugt im Audiosignal ein so genanntes digitales Wasserzeichen und ermöglicht damit, aufgenommene und veröffentliche Audioschnipsel (länger als 2 Min) auf den Urheber bzw. den “Whistleblower” zurückzuführen. Jetzt kann man argumentieren, dann soll halt niemand was veröffentlichen, trotzdem ein Feature, das unter Umständen gefährlich sein kann. Hier wird das nochmal erklärt (youtube).

Aufzeichnung von Veranstaltungen

Zoom stellt die Möglichkeit zur Verfügung, die Konferenzen aufzuzeichnen. Man sieht das als Teilnehmer zwar im Client, aber die Gefahr das zu übersehen oder zu ignorieren ist da.

Du solltest Deine Teilnehmer auf jeden Fall auf eine Aufnahme konkret und in den Datenschutzhinweisen aufklären. Im Idealfall unterlasse die Aufzeichnung, wenn nicht wirklich notwendig.

Attendee attention tracking

Wie schon beschrieben, diese Aufmerksamkeitsmessung diente dazu zu bewerten, ob die Teilnehmen auf die Konferenz schauen oder nebenbei im Netz surfen.

Das ist aktuell (und nach Wortlaut Zoom permanent) entfernt.

Sicher besser so, wenn solche und ähnliche Features wieder auftauchen, solltest Du sehr genau überlegen, ob Du die einsetzen möchtest. Deine Teilnehmer klar drauf hinweisen ist dann Pflicht. Ich kenne Beispiele aus Unternehmen, wo so etwas schwer in die Hose gegangen ist …

Watermarking von Freigaben

Ähnlich wie die digitalen Wasserzeichen im Ton werden auch Bildschirmfreigaben mit einem Wasserzeichen versehen, um unerlaubte Veröffentlichungen nachverfolgen zu können.

Auch dieses Feature ist für meinen Geschmack zu wenig kommuniziert und setzt die Teilnehmer einer Gefahr für ihre Privatsphäre aus, die nicht sein muss. Allerdings erkennt man dieses Wasserzeichen visuell. Dafür wird dann ein Teil der Email-Adresse des Benutzers als Wasserzeichen verwendet. Wer da nicht drauf achtet …

Zusammenfassung: Ist ZOOM eine Alternative für Videokonferenzen?

Ob ZOOM als Alternative zu den datenschutz- und privatsphärefreundlichen Alternativen durchgeht, hängt stark von Deinen Anforderung ab.

  • Datenschutztechnisch bekommst Du Zoom in Deinem Unternehmen ziemlich sicher vernünftig eingesetzt. Dein Rechtsanwalt oder Datenschutzbeauftragter machen es möglich.
  • Vom Sicherheitsniveau ist Zoom nicht für alle Bereiche geeignet. Vor allem, wenn es wirklich um Geheimhaltung und sehr sensitive Themen geht solltest Du überlegen, ob Du Zoom und ihrer aktuellen Technik traust.
  • Kosten, Verfügbarkeit und die leichte Anwendbarkeit auch für technisch wenig versierte Menschen sind eindeutig auf der Habenseite. Aber auch da haben die alternativen Videkonferenzsysteme mittlerweile aufgeholt.

Ähnliche Artikel

Mobile Tracker: Was machen Werbe-IDs auf deinem Smartphone? (52)

Malware/Schadsoftware & Virenscanner auf dem Smartphone (50)

Schutz vor Verlust oder Diebstahl deines Handys: Datensicherung, Backup, Handy-Ortung & Zugriffschutz (49)

Handy sicher entsperren: die besten Methoden für sichere Display-Sperre und zuverlässigen Zugriffsschutz beim Smartphone (48)

Leave a Reply 0 comments

←Previous post Next post→