Nicht zuletzt durch die Corona-Pandemie hat die Nutzung von Videokonferenz-Tools in den letzten 1½ Jahren einen enormen Zulauf bekommen. Dass die Entwickler hiervon selbst überrascht und möglicherweise auch überrannt worden sind, kann man ganz gut an der Entwicklung von Zoom erkennen, vor allem wie schnell und proaktiv dort auf Kritik und identifizierte Schwachstellen reagiert wurde.

Eine weitere große Plattform  ist sicherlich Microsoft Teams (MS Teams). Microsoft ließ auf seinem Blog https://news.microsoft.com/ Ende März aufhorchen, als angekündigt wurde:

„Daher führen wir in Kürze eine zusätzliche Ende-zu-Ende-Verschlüsselung (E2EE) für 1:1-Anrufe in Microsoft Teams ein. Die E2EE-Funktion sorgt dafür, dass die Daten nur über die Endgeräte der Personen lesbar sind, die miteinander kommunizieren. Die übertragenden Informationen werden von der/dem Sender*in verschlüsselt und erst wieder bei der/dem Empfänger*in entschlüsselt. (https://news.microsoft.com/de-de/im-daten-dschungel-ende-zu-ende-verschluesselung-in-microsoft-teams/)“

Bei MS Teams bislang alles unverschlüsselt?

Ganz so schlimm ist es nicht. Für die Kommunikation zwischen den End-Geräten werden bislang die Standards Transport Layer Security (TLS) und Mutual TLS (MTLS) genutzt. Das bedeutet, dass die Kommunikation durch das Internet verschlüsselt übertragen wird. Allerdings haben diese Standards auch Schwächen. Der Transport von Datenpaketen über das Netz erfolgt über verschiedene Knotenpunkte. Diese Punkte dienen dazu, den schnellsten Weg zwischen Sender und Empfänger bereitzustellen. Dieser Weg muss nicht immer der kürzeste sein. So kann beispielsweise eine E-Mail von Hamburg nach München auch über Peking geleitet werden, wenn diese dadurch schneller beim Empfänger ankommt. An diesen Knotenpunkten erfolgt in der Regel eine Entschlüsselung des Datenpakets und eine anschließende Neuverschlüsselung. Die Daten liegen dann temporär unverschlüsselt vor. Mit einem so genannten „Man-in-the-Middle-Angriff“ könnten die Datenpakete abgefangen, kopiert oder verändert werden. Auch die Anbieter der verwendeten Programme könnten auf die Daten in unverschlüsselter Form zugreifen und wie bei Microsoft – als US-amerikanischem Unternehmen – auch US-Behörden auf Grundlage des Patriots Acts.

Ergänzung 25.06.2021: Der vorstehende Absatz soll deutlich machen, dass Transportverschlüsselung nur zwischen den kommunizierenden Systemen schützt. Wenn aber eines der Systeme dem Dienstanbieter untersteht, erhält jener die kommunizierten Daten im Klartext.

Was ist bei E2EE anders?

Bei E2EE sind nicht nur die einzelnen Etappen des Kommunikationsweges verschlüsselt, sondern die Datenpakete selbst. Nur die Kommunikationspartner können diese im Klartext lesen, sofern sie über den notwendigen Schlüssel verfügen.

Hier setzt Microsoft künftig an. Allerdings soll die E2EE erst für 1:1-Teams-VoIP-Anrufe kommen. Für die Nutzung von E2EE in Online-Meeting wird keine Prognose erstellt. Hier wird eher vage mitgeteilt, dass daran gearbeitet wird, die Funktion in einem späteren Schritt auch hierfür freigeben zu können.

Zoom auf EM-Kurs

Hier liegt Zoom ganz klar von. Sowohl 1:1-Videokonfenrenzen als auch Gruppen-Meetings sind mittlerweile Ende-zu-Ende verschlüsselt durchführbar. Kritiker halten dem zwar entgegen, dass eine Überprüfung mangels verfügbarem Quellcode nicht möglich ist und man auf die Aussagen der Zoom Video Communications, Inc. vertrauen muss. Mit derartigen Einwänden muss man aber immer leben (auch außerhalb der Software-Welt), wenn der Hersteller eines Produkts  nicht alle Karten offen auf den Tisch legen will.

Zu erwähnen ist an dieser Stelle, dass es neben Microsoft Teams und Zoom weitere Videokonferenztools gibt, die sich mit der Ende-zu-Ende-Verschlüsselung auseinandergesetzt haben oder dies noch tun (keine abschließende Aufzählung). Das Tool Webex von der Cisco Systems, Inc. ist – richtig konfiguriert – auch eine Ende-zu-Ende-Verschlüsselung möglich. Bei BigBlueButton ist derzeit „nur“ eine Transportverschlüsselung gegeben.