Zoom als tele-medizinisches Werkzeug

Zürich, 2. April 2020, 2. April 2020, 6. April 2020, 6. April 2020

Lieber Dr. Assaloni, lieber Dr. Niebler

Da die FMPP mutmasslich Zoom als tele-medizinisches Werkzeug empfiehlt, möchte ich kurz auf sichheitsrelevante Aspekte dieser Software eingehen; Zoom verbreitet sich durch die Pandemie gerade wie ein Lauffeuer, was in Anbetracht Ihrer eklatant missbräuchlichen Sicherheitsvorkehrungen und der verwendeten Dark Patterns 1 leider sehr zu bedauern ist. Also:

  1. Kennt Zoom eine Einstellung, welche es erlaubt, die Kamera anderer Zoom-Anwender anzuschalten ohne deren Einwilligung einzuholen und in gewissen Fällen sogar, ohne das die Kamera diesen Umstand anzeigt. (Quellen, siehe 2. bis 4.)
  2. Ist diese Funktion weder im hauptsächlichen Interface der Anwendung sichtbar, noch kann sie in den Einstellungen deaktiviert werden. Um sie auszuschalten müssen Anwenderinnen sich explizit auf der Website von Zoom unter “Mein Konto” anmelden und unter “Einstellungen” die Option “Kamerafernsteuerung” ausschalten. (Inwiefern diese Option die unter 1. bis 4. beschriebenen Sicherheitsmängel [auch unter Windows und älteren Versionen von macOS] tatsächlich unterbindet, bleibt bis heute ungeklärt.)
  3. Installiert Zoom auf Desktop-Rechnern eine sogenannte Server 2 -Anwendung, die schwerwiegende Sicherheitslücken aufweist und die Aktivierung von Kamera und Mikrofon auch erlaubt, wenn der entsprechende Rechner nicht bedient wird. (Quelle, siehe Fussnote zu 4.)
  4. Hat Zoom im vergangenen Jahr argumentiert, dieser Server sei durchaus im Interesse ihrer Benutzerschaft, realisiere er doch die tatsächlich praktischen, öffentlich zugänglichen Links zu Zoom-Meetings. Dass dies bedeutet, dass grundsätzlich jeder andere Inhaber eines dieser Links mit wenig Fachwissen die Kamera und das Mikrofon eines anderen Rechners dazu missbrauchen kann, dessen Anwender übers Internet auszuspionieren, hat Zoom tunlichst verschwiegen. (Die neuste Versionen des Betriebssystems macOS von Apple stuft diese Server-Anwendung mittlerweile als Malware 3 ein und sorgt dafür das sie automatisch deaktiviert und/oder gelöscht wird.) 4
  5. Wurde vor wenigen Tagen bekannt, dass die von Zoom behauptete End-zu-End-Verschlüsselung 5 technisch gar nicht realisiert wird; tatsächlich werden Video- und Ton-Daten in der “Zoom-Cloud” unverschlüsselt verarbeitet und übermittelt, was dem Unternehmen faktisch die Möglichkeit gibt, diese Daten zu sichten, zu analysieren und Dritten zur Verfügung zu stellen. 6
  6. Wurde gerade vor wenigen Tagen bekannt, dass Zoom Daten mit Facebook austauscht ohne das davon in ihren Datenschutzbestimmungen im geringsten die Rede wäre. 7
  7. Wurde vor wenigen Tagen bekannt, dass Zoom unter bestimmten Voraussetzungen E-Mail-Adressen und Fotos von Zoom-Sitzungsteilnehmern ins Internet stellt, ohne dass diese dazu ihre Einwilligung gegeben haben. 8
  8. Wurde vor wenigen Tagen bekannt, dass Zoom teilweise in China entwickelt wird und auch Streams über chinesische Server gelaufen sind. 9
  9. Wurde vor wenigen Tagen bekannt, dass Zoom ein Verschlüsselungsverfahren benutzt, dass laut Experten gänzlich ungeeignet für Bild- und wohl auch Audiodaten zu sein scheint. 10

Sie finden zu all diesen Punkten im Anschluss an dieses Schreiben eine Vielzahl von Quellen, die diese Punkte mit Fakten unterlegen – teilweise von namhaften Verbraucherschutzorganisationen und Sicherheits-Experten oder -Behörden.

Ich hoffe, Sie verstehen, dass ich deshalb bis auf Weiteres gerne auf den Einsatz von Zoom verzichten möchte. Wie bereits erwähnt verschlüsselt Apple FaceTime-Streams end-zu-end. 11 Ebenso wird dies von der frei verfügbare Platform Jitsi behauptet, deren Quellcode offen 12 liegt und deshalb von Dritten auf Sicherheitslücken untersucht werden kann. Inwiefern dies tatsächlich der Fall ist, muss vorerst die Zeit weisen. 13

Mit besten Grüssen,
Moritz Zimmer

P.S. Ich bitte Sie hiermit gerne, dieses Schreiben auch unter Kollegen, wie bspw. Frau Rahel Sprecher (im CC), zu verbreiten. Sie finden es deshalb auch unter der Adresse http://j.mp/tele-medizin-und-zoom.

P.P.S. Aufgrund der Aktualität des Themas habe ich mir erlaubt noch einige andere Personen aus meinem Freundes- und Familienkreis ins BCC zu nehmen.

P.P.P.S. Leider ist es nicht ganz leicht, Zoom von seinem Rechner zu entfernen. Ein weiteres Dark Pattern. Technisch versierte Mac-Benutzer finden hier Angaben, wo sich Zoom eingenistet hat.

Alternativen

Selbstverständlich haben sich nicht nur die oben genannten Herren Doktoren bei mir nach Alternativen erkundigt. Deshalb habe ich mir die Mühe gemacht, die meist-genannten Alternativen zu Zoom, Skype, FaceTime und Co. unter die Lupe zu nehmen. Hier eine Liste, geordnet nach dem vermuteten Grad an Sicherheit:

Dienste mit End-Zu-End-Verschlüsselung

Die End-Zu-End-Verschlüsselung von Video- und Audio-Daten ist leider kein einfaches und billiges Unterfangen. Deshalb bleibt diese und mit Abstand sicherste Methode des Privatsphärenschutzes meist grossen Anbietern vorbehalten. Also:

FaceTime

Wer nur mit Leuten eine Video-Konferenz plant, die ebenfalls mit Apple-Geräten daran teilnehmen möchten, ist FaceTime wärmstens zu empfehlen; Apples verschlüsselt iMessage- und FaceTime-Daten komplett end-zu-end, was meint, nicht mal Apple kann diese Daten noch lesen. Selbst wenn sie wollten. (Siehe Erläuterungen zu iCloud in der Cloud-Fussnote.) Zudem wurde sowohl iMessage und FaceTime einem Security Audit 14 unterzogen.

Anzahl unterstützte Teilnehmer

FaceTime unterstützt gemäss Apple unter diesen Voraussetzungen bis zu 32 Teilnehmer.

Übertragungsqualität

Webex Teams

Webex Teams, nicht zu verwechseln mit Webex Meet, bietet laut dieser Quelle ebenfalls End-Zu-End-Verschlüsselung der Video- und Audio-Daten an. Vertrauen kann man dabei Cisco, die den Dienst aufkauft hat und sich seit Jahrzehnten als grosse Infrastruktur- und Softwaredienstleistungs-Anbieterin in sehr sensiblen Märkten behaupten konnte, u.a. in der Diplomatie und in Firmen, die sich gegen Betriebsspionage wappnen müssen. Im Unterschied zu kleinen Anbieterinnen hätte Cisco eine Menge potenter Kunden zu verlieren, käme raus, dass ihre Systeme Datenlecks aufweisen.

Anzahl unterstützte Teilnehmer

WebEx unterstützt laut eigenen Angaben bis zu 100 Teilnehmer.

Übertragungsqualität

Noch keine Angaben.

Dienste mit möglicher 15 Verschlüsselung zwischen Benutzer und Anbieter

Jitsi

Jitsi ist ein Projekt, dessen Quellcode offen liegt und das deshalb auch sicherheitstechnisch Erwähnung verdient. (Siehe dazu die Fussnote zu Open-Source.) Wie Whereby basiert Jitsi auf einer Technologie namens WebRTC, die noch keine End-zu-End-Verschlüsselung erlaubt. Die Steams selbst könnten laut den Angaben eines Jitsi-Entwicklers zwar verschlüsselt werden, ob und inwiefern dies beim jeweiligen Betreiber der Fall ist, ist jedoch schwer nachzuvollziehen.

Instanzen
Anzahl unterstützte Teilnehmer

Jitsi unterstützt laut einem findigen Blogger 15-20 Teilnehmer.

Übertragungsqualität

Laut Angaben von A. von Gunten meist eher ungenügend. Eventuell besser auf dem Schweizer Provider https://www.cyon.ch/tools/meet.

Whereby

Der Dienst Whereby läuft komplett im Browser und ist deshalb besonders praktisch. Wie andere Browser-basierte Lösungen verwendet er den WebRTC-Standard, der technisch zurzeit nur ungenügend abgesichert werden kann; der Verkehr vom Browser zum Server und zurück kann zwar verschlüsselt werden, die Daten zirkulieren jedoch innerhalb der Cloud 16 des Dienstanbieters meist unverschlüsselt. Bei einem Gratisdienst wie Whereby muss schon alleine aufgrund der Tatsache, dass Verschlüsselungsverfahren, die sich für Cloud-Daten eigenen 17 , in grösserem Umfang sehr rechen- und damit kostenintensiv sind, ebenfalls davon ausgehen, dass die Daten nicht verschlüsselt werden.

Anzahl unterstützte Teilnehmer

Whereby unterstützt laut eigenen Angaben bis zu 50 Teilnehmer.

Übertragungsqualität

Laut A. Von Gunten meist exzellent.

Skype

Laut dieser Quelle von Microsoft werden Skype-Daten gut verschlüsselt. Jedoch ist auch darin explizit nicht von End-zu-End-Verschlüsselung die Rede, was nahe legt, dass die Daten, vor allem bei Gruppenanrufen, in der Cloud von Microsoft zumindest teilweise unverschlüsselt verarbeitet werden könnten. (Ich werde diesen Einrag selbstverständlich überarbeitet, sollte sich die Faktenlage ändern.)

Anzahl unterstützte Teilnehmer

Skype unterstützt laut eigene Angaben bis zu fünf Teilnehmer.

Übertragungsqualität

Meist gut bis genügend.

StarLeaf

Starleaf, vor allem bekannt aus dem Unternehmensbereich, erwähnt die End-zu-End-Verschlüsselung nur in einem ihrer Hardware-Produkte, dem StarLeaf Huddle, weshalb man davon ausgehen muss, dass ihre Dienste in neueren Versionen zwar gut, aber nicht vollumfänglich abgesichert sind. (Wer mehr dazu weiss, melde sich gerne bei Moritz.)

Anzahl unterstützte Teilnehmer

StarLeaf dürfte sehr viele Teilnehmer unterstützen, wieviel genau, war bis dato (noch?) nicht öffentlich verbrieft.

Übertragungsqualität

Noch eine Angaben.

  1. Dark Patterns; engl. für “Dunkle Muster”; Unter Dark Patterns versteht man im Design eine Gestaltung von Benutzeroberflächen oder Bedienelementen, die unter Benutzern ein vom Produzenten gewünschtes Verhalten begünstigen ohne das sie sich dessen bewusst sind und welches auch nicht im Interesse der Benutzerschaft sein dürfte↩︎

  2. Server; Unter einem Server versteht man in der Informationstechnologie eine Anwendung die selbst keine Benutzeroberfläche hat und ständig mit dem Internet oder anderen Netzwerken kommunizieren kann und soll.  ↩︎

  3. Malware; engl. für “Schad-Software”, also ein Programm, dass dazu dienen kann die Funktionsweise eines Rechners zum Schaden seines Benutzers zu verändern.  ↩︎

  4. John Gruber zu einer Geschichte von BuzzFeed↩︎

  5. Unter End-zu-End-Verschlüsselung versteht man die Verschlüsselung von Daten an den jeweiligen Endpunkten, also vom Ursprungs- bis zu den Zielgeräten ohne dass die Verschlüsselung auf dem Weg aufgebrochen wird. (Selbst die Service- und Softwareanbieter selbst können damit die entsprechenden Daten nicht mehr lesen.) Derartige Verfahren sind für Video- und Ton-Daten äusserst aufwendig und benötigen deshalb entsprechend optimierte und leistungsfähige Hard- und Software in der gesamten Übertragungskette eines Informationssystems.  ↩︎

  6. John Gruber zu einer Geschichte von The Intercept↩︎

  7. John Gruber zu einer Geschichte von Motherboard↩︎

  8. John Gruber zu einer Geschichte von Motherboard↩︎

  9. Zooms Aktivitäten in China wurden durch eine Geschichte von The Intercept bekannt.  ↩︎

  10. Sicherheitsexperte Bruce Schneier über das von Zoom verwendete Verschlüsselungsverfahren AES-256-ECB. Eine Visualisierung findet man in der Geschichte von The Intercept.  ↩︎

  11. Siehe Website von Apple, sowie einem Statement in einem einschlägigen Forum↩︎

  12. Open-Source-Software, also Software deren Quellcode offen vorliegt, ist in Sachen Sicherheit meist geschlossenen Systemen, auch proprietär genannt, vorzuziehen; zusätzlich zu Security Audits können solche Systeme auch von Hackern und Programmier-Experten auf Fehler abgeklopft werden. (So wurde beispielsweise eine 2018 eine Schwachstelle in einer Technologie entdeckt, die weltweit zum Einsatz kommt und eigentlich fast jeden Internet-Dienst absichert; OpenSSH. Ohne dass der Quellcode dieser Anwendung offen gelegen hätte, wäre diese Schaltstelle wohl noch über Jahre, wenn nicht Jahrzehnte, unbeachtet geblieben.)  ↩︎

  13. Ein schlauer Basler Internetanbieter hat die Zeichen der Zeit wohl erkannt und bietet eine eigene, frei zugängliche Video-Konferenzen-Lösung an, deren Daten mutmasslich gänzlich in der Schweiz verarbeitet werden sollen. (Ich gehe davon aus, dass diese Instanz auf Jitsi aufbaut.)  ↩︎

  14. Unter Security Audit versteht man die Prüfung eines Dienstes und seiner Softwarekomponenten durch, meist externe, Sicherheitsexperten. Da viele Verschlüsselungstechnologien viel Geld wert sind und Schwachstellen offen legen können, finden diese leider meist selten statt. Einen Überblick über Messenger-Dienste mit Security Audits findet man bei der Electronic Frontier Foundation.  ↩︎

  15. Bei vielen dieser Anbieter sind die Sicherheitsvorkehrungen nebulös bis mehrheitlich ungeklärt. Die meisten erwähnen jedoch in ihren eigene Dokumentationen, dass sie zumindest den Verkehr zwischen Teilnehmern und Dienst verschlüsseln. Wie stark die Verschlüsselung dabei ausfällt, bleibt jedoch ebenfalls meist ungeklärt.  ↩︎

  16. Als Cloud wird allgemein eine ganze Farm von Servern bezeichnet, die Benutzerdaten aus dem Internet verarbeitet und speichert. Prominente Diente sind Office 365 (eigentlich Microsoft Azure), iCloud von Apple, Google Drive und AWS von Amazon. Ob und inwiefern Daten in Clouds verschlüsselt werden, ist meist ein gut gehütetes Geschäftsgeheimnis. Von Apple gibt es eine Vielzahl von Hinweisen, dass Daten in iCloud verschlüsselt werden, jedoch ausgerechnet die iCloud-Backups von Geräten nicht. (Man nimmt an, dass Apple diesbezügliche, geplante Schritte verworfen hat, seit der amerikanische Staat schon mehrmals versucht hat, Apple dazu zu nötigen ihre Verschlüsselungstechnologie für den amerikanischen Staat zu druchlöchern.)  ↩︎

  17. Das Verschlüsseln von Daten, die mehreren Teilnehmern zugänglich sein sollen, ist technisch besonders aufwendig, da mit den herkömmlichen Verfahren die Sicherheit mit jedem Teilnehmer theoretisch abnimmt. Apple und andere Anbieter setzten deshalb wohl einerseits Verfahren der Differential Privacy oder sogenannte Homomorphe Verschlüsselung ein.  ↩︎