Zürich, 2. April 2020, 2. April 2020, 6. April 2020, 6. April 2020
Lieber Dr. Assaloni, lieber Dr. Niebler
Da die FMPP mutmasslich Zoom als tele-medizinisches Werkzeug empfiehlt, möchte ich kurz auf sichheitsrelevante Aspekte dieser Software eingehen; Zoom verbreitet sich durch die Pandemie gerade wie ein Lauffeuer, was in Anbetracht Ihrer eklatant missbräuchlichen Sicherheitsvorkehrungen und der verwendeten Dark Patterns 1 leider sehr zu bedauern ist. Also:
Sie finden zu all diesen Punkten im Anschluss an dieses Schreiben eine Vielzahl von Quellen, die diese Punkte mit Fakten unterlegen – teilweise von namhaften Verbraucherschutzorganisationen und Sicherheits-Experten oder -Behörden.
Ich hoffe, Sie verstehen, dass ich deshalb bis auf Weiteres gerne auf den Einsatz von Zoom verzichten möchte. Wie bereits erwähnt verschlüsselt Apple FaceTime-Streams end-zu-end. 11 Ebenso wird dies von der frei verfügbare Platform Jitsi behauptet, deren Quellcode offen 12 liegt und deshalb von Dritten auf Sicherheitslücken untersucht werden kann. Inwiefern dies tatsächlich der Fall ist, muss vorerst die Zeit weisen. 13
Mit besten Grüssen,
Moritz Zimmer
P.S. Ich bitte Sie hiermit gerne, dieses Schreiben auch unter Kollegen, wie bspw. Frau Rahel Sprecher (im CC), zu verbreiten. Sie finden es deshalb auch unter der Adresse http://j.mp/tele-medizin-und-zoom.
P.P.S. Aufgrund der Aktualität des Themas habe ich mir erlaubt noch einige andere Personen aus meinem Freundes- und Familienkreis ins BCC zu nehmen.
P.P.P.S. Leider ist es nicht ganz leicht, Zoom von seinem Rechner zu entfernen. Ein weiteres Dark Pattern. Technisch versierte Mac-Benutzer finden hier Angaben, wo sich Zoom eingenistet hat.
Selbstverständlich haben sich nicht nur die oben genannten Herren Doktoren bei mir nach Alternativen erkundigt. Deshalb habe ich mir die Mühe gemacht, die meist-genannten Alternativen zu Zoom, Skype, FaceTime und Co. unter die Lupe zu nehmen. Hier eine Liste, geordnet nach dem vermuteten Grad an Sicherheit:
Die End-Zu-End-Verschlüsselung von Video- und Audio-Daten ist leider kein einfaches und billiges Unterfangen. Deshalb bleibt diese und mit Abstand sicherste Methode des Privatsphärenschutzes meist grossen Anbietern vorbehalten. Also:
Wer nur mit Leuten eine Video-Konferenz plant, die ebenfalls mit Apple-Geräten daran teilnehmen möchten, ist FaceTime wärmstens zu empfehlen; Apples verschlüsselt iMessage- und FaceTime-Daten komplett end-zu-end, was meint, nicht mal Apple kann diese Daten noch lesen. Selbst wenn sie wollten. (Siehe Erläuterungen zu iCloud in der Cloud-Fussnote.) Zudem wurde sowohl iMessage und FaceTime einem Security Audit 14 unterzogen.
FaceTime unterstützt gemäss Apple unter diesen Voraussetzungen bis zu 32 Teilnehmer.
Webex Teams, nicht zu verwechseln mit Webex Meet, bietet laut dieser Quelle ebenfalls End-Zu-End-Verschlüsselung der Video- und Audio-Daten an. Vertrauen kann man dabei Cisco, die den Dienst aufkauft hat und sich seit Jahrzehnten als grosse Infrastruktur- und Softwaredienstleistungs-Anbieterin in sehr sensiblen Märkten behaupten konnte, u.a. in der Diplomatie und in Firmen, die sich gegen Betriebsspionage wappnen müssen. Im Unterschied zu kleinen Anbieterinnen hätte Cisco eine Menge potenter Kunden zu verlieren, käme raus, dass ihre Systeme Datenlecks aufweisen.
WebEx unterstützt laut eigenen Angaben bis zu 100 Teilnehmer.
Noch keine Angaben.
Jitsi ist ein Projekt, dessen Quellcode offen liegt und das deshalb auch sicherheitstechnisch Erwähnung verdient. (Siehe dazu die Fussnote zu Open-Source.) Wie Whereby basiert Jitsi auf einer Technologie namens WebRTC, die noch keine End-zu-End-Verschlüsselung erlaubt. Die Steams selbst könnten laut den Angaben eines Jitsi-Entwicklers zwar verschlüsselt werden, ob und inwiefern dies beim jeweiligen Betreiber der Fall ist, ist jedoch schwer nachzuvollziehen.
Jitsi unterstützt laut einem findigen Blogger 15-20 Teilnehmer.
Laut Angaben von A. von Gunten meist eher ungenügend. Eventuell besser auf dem Schweizer Provider https://www.cyon.ch/tools/meet.
Der Dienst Whereby läuft komplett im Browser und ist deshalb besonders praktisch. Wie andere Browser-basierte Lösungen verwendet er den WebRTC-Standard, der technisch zurzeit nur ungenügend abgesichert werden kann; der Verkehr vom Browser zum Server und zurück kann zwar verschlüsselt werden, die Daten zirkulieren jedoch innerhalb der Cloud 16 des Dienstanbieters meist unverschlüsselt. Bei einem Gratisdienst wie Whereby muss schon alleine aufgrund der Tatsache, dass Verschlüsselungsverfahren, die sich für Cloud-Daten eigenen 17 , in grösserem Umfang sehr rechen- und damit kostenintensiv sind, ebenfalls davon ausgehen, dass die Daten nicht verschlüsselt werden.
Whereby unterstützt laut eigenen Angaben bis zu 50 Teilnehmer.
Laut A. Von Gunten meist exzellent.
Laut dieser Quelle von Microsoft werden Skype-Daten gut verschlüsselt. Jedoch ist auch darin explizit nicht von End-zu-End-Verschlüsselung die Rede, was nahe legt, dass die Daten, vor allem bei Gruppenanrufen, in der Cloud von Microsoft zumindest teilweise unverschlüsselt verarbeitet werden könnten. (Ich werde diesen Einrag selbstverständlich überarbeitet, sollte sich die Faktenlage ändern.)
Skype unterstützt laut eigene Angaben bis zu fünf Teilnehmer.
Meist gut bis genügend.
Starleaf, vor allem bekannt aus dem Unternehmensbereich, erwähnt die End-zu-End-Verschlüsselung nur in einem ihrer Hardware-Produkte, dem StarLeaf Huddle, weshalb man davon ausgehen muss, dass ihre Dienste in neueren Versionen zwar gut, aber nicht vollumfänglich abgesichert sind. (Wer mehr dazu weiss, melde sich gerne bei Moritz.)
StarLeaf dürfte sehr viele Teilnehmer unterstützen, wieviel genau, war bis dato (noch?) nicht öffentlich verbrieft.
Noch eine Angaben.
Dark Patterns; engl. für “Dunkle Muster”; Unter Dark Patterns versteht man im Design eine Gestaltung von Benutzeroberflächen oder Bedienelementen, die unter Benutzern ein vom Produzenten gewünschtes Verhalten begünstigen ohne das sie sich dessen bewusst sind und welches auch nicht im Interesse der Benutzerschaft sein dürfte. ↩︎
Server; Unter einem Server versteht man in der Informationstechnologie eine Anwendung die selbst keine Benutzeroberfläche hat und ständig mit dem Internet oder anderen Netzwerken kommunizieren kann und soll. ↩︎
Malware; engl. für “Schad-Software”, also ein Programm, dass dazu dienen kann die Funktionsweise eines Rechners zum Schaden seines Benutzers zu verändern. ↩︎
John Gruber zu einer Geschichte von BuzzFeed. ↩︎
Unter End-zu-End-Verschlüsselung versteht man die Verschlüsselung von Daten an den jeweiligen Endpunkten, also vom Ursprungs- bis zu den Zielgeräten ohne dass die Verschlüsselung auf dem Weg aufgebrochen wird. (Selbst die Service- und Softwareanbieter selbst können damit die entsprechenden Daten nicht mehr lesen.) Derartige Verfahren sind für Video- und Ton-Daten äusserst aufwendig und benötigen deshalb entsprechend optimierte und leistungsfähige Hard- und Software in der gesamten Übertragungskette eines Informationssystems. ↩︎
John Gruber zu einer Geschichte von The Intercept. ↩︎
John Gruber zu einer Geschichte von Motherboard. ↩︎
John Gruber zu einer Geschichte von Motherboard. ↩︎
Zooms Aktivitäten in China wurden durch eine Geschichte von The Intercept bekannt. ↩︎
Sicherheitsexperte Bruce Schneier über das von Zoom verwendete Verschlüsselungsverfahren AES-256-ECB. Eine Visualisierung findet man in der Geschichte von The Intercept. ↩︎
Siehe Website von Apple, sowie einem Statement in einem einschlägigen Forum. ↩︎
Open-Source-Software, also Software deren Quellcode offen vorliegt, ist in Sachen Sicherheit meist geschlossenen Systemen, auch proprietär genannt, vorzuziehen; zusätzlich zu Security Audits können solche Systeme auch von Hackern und Programmier-Experten auf Fehler abgeklopft werden. (So wurde beispielsweise eine 2018 eine Schwachstelle in einer Technologie entdeckt, die weltweit zum Einsatz kommt und eigentlich fast jeden Internet-Dienst absichert; OpenSSH. Ohne dass der Quellcode dieser Anwendung offen gelegen hätte, wäre diese Schaltstelle wohl noch über Jahre, wenn nicht Jahrzehnte, unbeachtet geblieben.) ↩︎
Ein schlauer Basler Internetanbieter hat die Zeichen der Zeit wohl erkannt und bietet eine eigene, frei zugängliche Video-Konferenzen-Lösung an, deren Daten mutmasslich gänzlich in der Schweiz verarbeitet werden sollen. (Ich gehe davon aus, dass diese Instanz auf Jitsi aufbaut.) ↩︎
Unter Security Audit versteht man die Prüfung eines Dienstes und seiner Softwarekomponenten durch, meist externe, Sicherheitsexperten. Da viele Verschlüsselungstechnologien viel Geld wert sind und Schwachstellen offen legen können, finden diese leider meist selten statt. Einen Überblick über Messenger-Dienste mit Security Audits findet man bei der Electronic Frontier Foundation. ↩︎
Bei vielen dieser Anbieter sind die Sicherheitsvorkehrungen nebulös bis mehrheitlich ungeklärt. Die meisten erwähnen jedoch in ihren eigene Dokumentationen, dass sie zumindest den Verkehr zwischen Teilnehmern und Dienst verschlüsseln. Wie stark die Verschlüsselung dabei ausfällt, bleibt jedoch ebenfalls meist ungeklärt. ↩︎
Als Cloud wird allgemein eine ganze Farm von Servern bezeichnet, die Benutzerdaten aus dem Internet verarbeitet und speichert. Prominente Diente sind Office 365 (eigentlich Microsoft Azure), iCloud von Apple, Google Drive und AWS von Amazon. Ob und inwiefern Daten in Clouds verschlüsselt werden, ist meist ein gut gehütetes Geschäftsgeheimnis. Von Apple gibt es eine Vielzahl von Hinweisen, dass Daten in iCloud verschlüsselt werden, jedoch ausgerechnet die iCloud-Backups von Geräten nicht. (Man nimmt an, dass Apple diesbezügliche, geplante Schritte verworfen hat, seit der amerikanische Staat schon mehrmals versucht hat, Apple dazu zu nötigen ihre Verschlüsselungstechnologie für den amerikanischen Staat zu druchlöchern.) ↩︎
Das Verschlüsseln von Daten, die mehreren Teilnehmern zugänglich sein sollen, ist technisch besonders aufwendig, da mit den herkömmlichen Verfahren die Sicherheit mit jedem Teilnehmer theoretisch abnimmt. Apple und andere Anbieter setzten deshalb wohl einerseits Verfahren der Differential Privacy oder sogenannte Homomorphe Verschlüsselung ein. ↩︎