de

Bedenken zu Zoom

Hallo CityLight,

wie viele von euch vielleicht mitbekommen haben ist Zoom in den letzten Tagen unter heftiger Kritik aufgrund von Sicherheitsbedenken. Unter anderem wurden über 500000 Email-Passwort Kombinationen im Klartext und Meeting ID’s online zum Kauf angeboten und teilweise sogar verschenkt. Viele stellen sich jetzt vielleicht die Frage ob wir Zoom noch ohne Bedenken nutzen können oder es lieber sein lassen. In dieser Mail möchte ich darauf eingehen und erklären was für Sicherheitsbedenken es gibt und was sie für uns bedeuten.

Warum nutzten wir überhaupt Zoom?

In dieser Zeit von Social Distancing wollen wir als Gemeinde näher zusammenrücken. Wir glauben, dass Gott diese Zeit gebrauchen möchte um uns neue Dinge über sich aber auch über uns als Gemeinde zu zeigen.  Von Anfang an war uns klar, dass es wichtig ist, in dieser Zeit als Gemeinde zusammen zu rücken um gemeinsam zu beten und so gut wir können Gemeinschaft zu haben.

Es gibt mittlerweile viele Anbieter von Online-Meeting Plattformen. Wir haben uns für Zoom entschieden, weil man als Nutzer keinen Account anlegen muss. Du musst also nirgends deine Emailadresse angeben. Du musst noch nichtmal das Programm auf deinen Computer herunterladen, sondern kannst theoretisch gleich aus deinem Browser oder sogar per Telefon teilnehmen. Das macht es sehr einfach in die Gemeinschaft mit anderen Christen zu treten und darum geht es uns primär in dieser Zeit.

Aber was ist mit der Kritik und den Sicherheitsbedenken? Die wollen wir sehr ernst nehmen und nicht herunterspielen. Deshalb haben wir uns eingehend damit beschäftigt und möchten Euch gerne unsere Ergebnisse vorstellen.

Kurz zu mir

Zunächst einmal kurz zu mir. Die meisten werden wissen, dass ich Software Entwickler bin. Ich arbeite in einem mittelgroßen Hamburger Software Unternehmen und bin hauptsächlich damit beschäftigt Online Shops zu entwickeln. Datenschutz und IT Sicherheit sind in Online Shops natürlich unglaublich wichtig, da wir ja mit sensiblen Daten der Kunden zu tun haben. Auch wenn ich kein „Security-Experte“  bin habe ich also ein gutes Verständnis zu diesem Thema.

Google und andere Unternehmen verbieten Zoom. Sollte ich es auch nicht mehr nutzen?

Viele Firmen verbieten jetzt die Nutzung von Zoom für ihre Mitarbeiter. Das liegt daran, weil ein Konzern wie Google sehr viel verlieren kann. Wer möchte nicht die Geheimnisse von Google ans Licht bringen und online posten/verkaufen? Da viele kein Passwort für ihre Zoom Meetings vergeben kann theoretisch ein Unbefugter an einem Meeting teilnehmen und Geheimnisse abhören. Das ist gefährlich für jedes Unternehmen. Auch nutzt Zoom keine richtige End-To-End Verschlüsselung, sodass Zoom jedes Meeting theoretisch aufzeichnen könnte und Behörden Zoom um diese Mitschnitte bitten könnte. Bei Skype oder selbst normalen Telefon Anrufen ist das übrigens nicht anders.

Es wurden Zoom Email-Passwort Kombinationen online veröffentlicht. Bin ich dadurch gefährdet?

Kürzlich wurden im Internet über 500000 Email-Passwort Kombinationen veröffentlicht. Die Daten waren hierbei im Klartext und konnten also direkt genutzt werden um sich bei Zoom anzumelden. Das hört sich erst mal nach einem Sicherheits Problem bei Zoom an. Tatsächlich ist es das aber nicht.

Es handelt sich hier stattdessen um einen Credential-Stuffing-Angriff. Bei dem werden bereits durch alte Leaks (von anderen Websites) bekannte und in Umlauf gekommenen Email Passwort Kombinationen bei Zoom zum Login ausprobiert in der Hoffnung, dass Leute bei Zoom das gleiche Passwort genutzt haben wie bei der Website mit den geleakted Passwörtern. Viele Nutzer benutzen für mehrere Plattformen das gleiche Passwort. Genau dieses Vorgehen ist eine riesige Sicherheitslücke. Wenn das Passwort auf einer Plattform gehackt wird, ist auch dein Login auf der andere Plattform gefährdet.

Wenn du also einen Zoom Account hast und das gleiche Passwort auch noch für einen anderen Account benutzt dann ist es grundsätzlich eine gute Idee beide Passwörter zu Ändern. Da man sich nie alle Passwörter merken kann bietet sich dann hier die Nutzung eines Passwort Managers an (einfach mal googeln).

Es gibt aber doch noch weiter Sicherheitslücken bei Zoom oder?

Es gab noch einige weiter Sicherheitslücken oder Datenschutzbedenken die bekannt wurden. So wurden z.B. Daten an Facebook geschickt (machen viele Websites) ohne dass das in den Datenschutzbestimmungen aufgeführt war. Auch wurden auf Macs zusätzliche Software installiert ohne dass der Nutzer etwas davon mitbekam. Diese und weitere Probleme wurden aber bereits von Zoom behoben und Zoom arbeitet auch daran ihr Produkt immer sicherer zu machen. Das sieht man auch an den ganzen Ändernungen die Zoom über Updates in der letzten Woche bereitgestellt hat. Im Übrigen ist es ein ganz normales Katze-Maus Spiel, dass Hacker Sicherheitslücken finden und Software Entwickler diese schließen.

Was ist mit diesen Trolls die Meetings beitreten und Unfug treiben?

Es gibt viele Berichte über Unbefugte die einem Zoom Meeting beitreten und dort Unfug treiben. So wurde z.B. in Schulklassen anstößige Bilder über die Share-Funktion geteilt oder in Anonymen Alkoholiker Treffen reingerufen wie toll doch Alkohol ist. Das ist möglich, da man in der Regel nur eine 9-11 Stellige Meeting-ID raten muss um einem Meeting beizutreten. Viele nutzen Meetings ohne Passwort Sicherung.

Dieser Punkt ist tatsächlich für uns als CityLight relevant. Wir haben uns absichtlich dafür entschieden eine Software zu nutzen bei der man Meetings schnell und einfach beitreten kann. Wir möchten ja das möglichst viele an unseren Treffen teilnehmen können. Auch Leute die vielleicht noch nie bei CityLight waren. Trotzdem wollen wir nicht das anstößige Bilder oder Ähnliches in den Meetings verbreitet wird. Deshalb gibt es folgende Dinge die wir anpassen werden:

Was macht CityLight um seine Meetings sicherer zu machen?

• bis auf bei dem Gottesdienst Meeting werden wir in den Meetings einen Warteraum aktivieren. Wenn jemand neues dem Meeting beitritt wird der Moderator benachrichtig und muss die Person zulassen. Dadurch kann nicht mehr jeder einfach so beitreten.

• wir deaktivieren die „vor dem Host beitreten“ Funktion. Das bedeutet dass der Host das Meeting zunächst starten und beitreten muss bevor die Teilnehmer beitreten können.

• Wir deaktivieren die Screen-Share-Funktion. Der Host wird dann wenn nötig einzelnen Personen die Berechtigung geben seinen Screen zu teilen.

• über eine Einstellung wird verhindert dass jemand den wir aus dem Meeting rauswerfen wieder neu beitreten kann.

• Das Gottesdienst Meeting bleibt öffentlich. Wir möchten dass Gäste daran teilnehmen können. Wir werden jedoch ein Auge darauf wer dem Meeting beitritt um möglichst schnell handeln zu können. Sowohl Janos als auch ich haben die Zoom Berechtigung um jemanden aus dem Meeting zu entfernen.

• Um einem Zoom Meeting beizutreten musstest du noch nie einen Zoom Account anlegen. Die Zoom Accounts die potentiell „gehackt“ werden können sind also nur die wenigen Spotlight-Leiter Accounts. Hier bitte ich alle Spotlight Leiter sicherheitshalber einfach mal ein neues Passwort zu vergeben. Am besten ein generiertes und in einem Passwort Manager gespeichertes Passwort.

Fazit

Wir werden als Gemeinde weiterhin Zoom nutzen. Es besteht kein Grund zur Sorge, dass irgendjemand durch die Nutzung von Zoom „gechackt“ werden könnte. Sicherlich gibt es Sicherheits- und Datenschutzbedenken die es aber genauso auch in vielen anderen Anwendungen gibt die die meisten von uns auch weiter nutzen. Wir werden unsere Meetings sicherer machen, trotzdem wollen wir das zumindest der Gottestdienst öffentlich ist. Wir wollen ja Menschen besonders auch in dieser Zeit begegnen. In unseren Meetings werden auch keine geheimen Firmen Informationen diskutiert die ein Angreifer unter Umständen nutzen könnte. Und wenn jemand es schafft trotz unserer Sicherheitsmaßnahmen einem Spotlight Meeting beizutreten wird das ja schnell auffallen so dass schnell gehandelt werden kann. Spotlights haben ja nur eine begrenzte Teilnehmeranzahl.

Ich bin kein Freund davon Dinge zu spiritualisieren. Denk trotzdem mal drüber nach: Wer freut sich am meisten, wenn wir durch Angst vor Sicherheitslücken bei Zoom jetzt nicht mehr zusammen kämen? Das ganze Thema könnte gut auch einfach ein geistlicher Angriff sein…

Ich hoffe ich konnte ein paar Dinge erklären und euch ein wenig die Sorge bei der Nutzung von Zoom nehmen. Solltest du noch Fragen zu dem Thema haben, dass schreib mich gerne an und wir können weiter darüber sprechen.

Ich hoffe wir sehen uns alle Sonntag bei unserem Zoom Gebetstreffen. Wenn du noch nicht Teil einer Spotlight bist möchte ich dich zudem ermutigen dich einer anzuschließen. Das ist einfach ein so genialer Ort um Freundschaften zu bauen, gemeinsam Gottes Wort zu lesen und für einander im Gebet einzutreteten. Wenn du daran interesse hast kannst du dich gerne bei uns melden.

Viele Grüße,

Tim

Quellen:

• https://www.heise.de/security/meldung/Videokonferenz-Plattform-Zoom-Veroeffentlichte-Login-Daten-aus-Credential-Stuffing-Angriffen-4702677.html

• https://www.heise.de/security/meldung/Zugangsdaten-fuer-hunderttausende-Zoom-Accounts-zum-Kauf-im-Darknet-entdeckt-4701838.html

• https://www.heise.de/security/meldung/Videokonferenz-Software-Ist-Zoom-ein-Sicherheitsalptraum-4695000.html

• https://www.heise.de/select/ct/2019/3/1549009783045427

• https://www.latimes.com/business/technology/story/2020-04-13/is-zoom-safe-to-use-heres-what-you-need-to-know

• https://blog.zoom.us/wordpress/2020/03/20/keep-uninvited-guests-out-of-your-zoom-event/