Mit dem Ausbruch der Coronapandemie und den damit verbundenen Kontaktbeschränkungen stieg der Bedarf an Videokonferenzsystemen immens. Vor allem das System ZOOM stach schnell aus der Masse heraus, nicht zuletzt wegen dessen großer Performance.
Gleichwohl war ZOOM auch schnell in der Kritik, gab es in den ersten Versionen keine Ende-zu-Ende-Verschlüsselung und Einfallstore für verschiedene Angriffsszenarien (z. B. Zoom-Bombing).
Jetzt hat ZOOM ein Common Criteria-Zertifikat erhalten. Aber was bedeutet das?
Was ist Common Criteria?
Common Criteria ist ein internationaler Standard für die Prüfung und Bewertung von Sicherheitseigenschaften in IT-Produkten. Um ein Common Criteria Zertifikat zu erhalten, wird ein zweistufiger Prüf- und Zertifizierungsprozess durchgeführt, in dem zunächst im Rahmen einer Common Criteria-Evaluierung von einer Prüfstelle das Produkt geprüft wird. Anschließend führt eine Zertifizierungsstelle die Zertifizierung durch. Zertifizierungsstelle war im Fall von Zoom das Bundesamt für Sicherheit in der Informationstechnik (BSI). Zertifizierungsgegenstand war der Video Communications Client „Zoom Application“, Version 5.6.6, der Firma Zoom Video Communications, Inc. Die Zoom Application wurde gem. Common Criteria EAL2 geprüft.
Was ist EAL2?
Das EAL (Evaluation Assurance Level) gibt an, wie intensiv eine Prüfung erfolgte. Es gibt insgesamt 7 EAL-Stufen, EAL2 ist also eher im niedrigen Prüfbereich anzusiedeln. Das Prüflevel umfasst die
- Entwicklungsdokumentation (Sichere Architektur und Funktionale Spezifikation)
- Handbücher, damit das Produkt auch sicher betrieben werden kann
- sichere Auslieferung
- Tests (des Herstellers und unabhängige Tests der Prüfstelle)
- Schwachstellenbewertung gegen ein „Basic“-Angriffspotential
Was wurde genau geprüft?
Der Umfang der Prüfung ergibt sich aus der Definition des Untersuchungsgegenstands, dem Target of Evaluation (TOE), welches im Security Target (ST) angegeben ist. Das ST ist hier zu finden:
Demnach wurde ausschließlich die „Zoom Application“, Version 5.6.6, nicht jedoch das Zoom Backend oder die kommunizierenden Clients bzw. die auf diesen laufenden Betriebssysteme geprüft.
Ist damit der Zoom-Client sicher?
Natürlich nicht! Er wurde lediglich zum Zeitpunkt der Prüfung gegen die Anforderungen des ST und die Vertrauenswürdigkeitsanforderungen von EAL2 geprüft. Jederzeit können Schwachstellen auftreten, die im Rahmen der Prüfung nicht aufgefallen sind. Übrigens gilt das Zertifikat typischerweise nur für eine bestimmte Version, hier Version 5.6.6.
Das Security Target macht zudem Ausführungen, welche konkreten Auflagen an den sicheren Betrieb der Zoom Application vorausgesetzt werden. In diesem Fall werden acht Auflagen definiert, so etwa zum ZOOM-Backend. Aber auch der Benutzer muss die Auflagen, so zur sicheren Verwahrung von Passwörtern und einem sicheren vertrauenswürdigen Betriebssystem, auf dem der ZOOM-Client läuft, beachten.
Was bedeutet das für einen datenschutzkonformen Einsatz?
Durch die Zertifizierung wird attestiert, dass die Zoom Application die Sicherheitsanforderungen des Security Targets erfüllt und dass dies in Common Criteria, EAL2 geprüft wurde, sofern die entsprechenden Auflagen umgesetzt sind.
Die datenschutzrechtliche Problematik des Einsatzes, gerade im Bereich der Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheits- oder Beratungsdaten), wird hierdurch nicht berührt. Selbst bei Verwendung der Ende-zu-Ende-Verschlüsselung besteht immer ein Restrisiko, weil die Zoom Video Communications, Inc. ein US-amerikanisches Unternehmen ist, sodass die US-Gesetze, beispielsweise der CLOUD Act, zur Anwendung kommen. Der CLOUD Act verpflichtet US-amerikanische Internet-Firmen und IT-Dienstleister den US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt.
Fazit
Das Ergebnis fällt also durchaus ernüchternd aus: Es gibt zig Auflagen zu beachten, der Scope ist nur auf die Client-Seite beschränkt und die Prüfung ist mit EAL2 etwa oberflächlich. Zudem ist die datenschutzrechtliche Problematik überhaupt nicht adressiert – aber hier geht es auch um Informationssicherheit, weniger um Datenschutz.
Was man nicht vergessen sollte: Eine derartige Zertifizierung – die gewiss aufwändig und teuer war – ist besser als nix.