Nicht zuletzt durch die Corona-Pandemie hat die Nutzung von Videokonferenz-Tools in den letzten 1½ Jahren einen enormen Zulauf bekommen. Dass die Entwickler hiervon selbst überrascht und möglicherweise auch überrannt worden sind, kann man ganz gut an der Entwicklung von Zoom erkennen, vor allem wie schnell und proaktiv dort auf Kritik und identifizierte Schwachstellen reagiert wurde.
Eine weitere große Plattform ist sicherlich Microsoft Teams (MS Teams). Microsoft ließ auf seinem Blog https://news.microsoft.com/ Ende März aufhorchen, als angekündigt wurde:
„Daher führen wir in Kürze eine zusätzliche Ende-zu-Ende-Verschlüsselung (E2EE) für 1:1-Anrufe in Microsoft Teams ein. Die E2EE-Funktion sorgt dafür, dass die Daten nur über die Endgeräte der Personen lesbar sind, die miteinander kommunizieren. Die übertragenden Informationen werden von der/dem Sender*in verschlüsselt und erst wieder bei der/dem Empfänger*in entschlüsselt. (https://news.microsoft.com/de-de/im-daten-dschungel-ende-zu-ende-verschluesselung-in-microsoft-teams/)“
Bei MS Teams bislang alles unverschlüsselt?
Ganz so schlimm ist es nicht. Für die Kommunikation zwischen den End-Geräten werden bislang die Standards Transport Layer Security (TLS) und Mutual TLS (MTLS) genutzt. Das bedeutet, dass die Kommunikation durch das Internet verschlüsselt übertragen wird. Allerdings haben diese Standards auch Schwächen. Der Transport von Datenpaketen über das Netz erfolgt über verschiedene Knotenpunkte. Diese Punkte dienen dazu, den schnellsten Weg zwischen Sender und Empfänger bereitzustellen. Dieser Weg muss nicht immer der kürzeste sein. So kann beispielsweise eine E-Mail von Hamburg nach München auch über Peking geleitet werden, wenn diese dadurch schneller beim Empfänger ankommt. An diesen Knotenpunkten erfolgt in der Regel eine Entschlüsselung des Datenpakets und eine anschließende Neuverschlüsselung. Die Daten liegen dann temporär unverschlüsselt vor. Mit einem so genannten „Man-in-the-Middle-Angriff“ könnten die Datenpakete abgefangen, kopiert oder verändert werden. Auch die Anbieter der verwendeten Programme könnten auf die Daten in unverschlüsselter Form zugreifen und wie bei Microsoft – als US-amerikanischem Unternehmen – auch US-Behörden auf Grundlage des Patriots Acts.
Ergänzung 25.06.2021: Der vorstehende Absatz soll deutlich machen, dass Transportverschlüsselung nur zwischen den kommunizierenden Systemen schützt. Wenn aber eines der Systeme dem Dienstanbieter untersteht, erhält jener die kommunizierten Daten im Klartext.
Was ist bei E2EE anders?
Bei E2EE sind nicht nur die einzelnen Etappen des Kommunikationsweges verschlüsselt, sondern die Datenpakete selbst. Nur die Kommunikationspartner können diese im Klartext lesen, sofern sie über den notwendigen Schlüssel verfügen.
Hier setzt Microsoft künftig an. Allerdings soll die E2EE erst für 1:1-Teams-VoIP-Anrufe kommen. Für die Nutzung von E2EE in Online-Meeting wird keine Prognose erstellt. Hier wird eher vage mitgeteilt, dass daran gearbeitet wird, die Funktion in einem späteren Schritt auch hierfür freigeben zu können.
Zoom auf EM-Kurs
Hier liegt Zoom ganz klar von. Sowohl 1:1-Videokonfenrenzen als auch Gruppen-Meetings sind mittlerweile Ende-zu-Ende verschlüsselt durchführbar. Kritiker halten dem zwar entgegen, dass eine Überprüfung mangels verfügbarem Quellcode nicht möglich ist und man auf die Aussagen der Zoom Video Communications, Inc. vertrauen muss. Mit derartigen Einwänden muss man aber immer leben (auch außerhalb der Software-Welt), wenn der Hersteller eines Produkts nicht alle Karten offen auf den Tisch legen will.
Zu erwähnen ist an dieser Stelle, dass es neben Microsoft Teams und Zoom weitere Videokonferenztools gibt, die sich mit der Ende-zu-Ende-Verschlüsselung auseinandergesetzt haben oder dies noch tun (keine abschließende Aufzählung). Das Tool Webex von der Cisco Systems, Inc. ist – richtig konfiguriert – auch eine Ende-zu-Ende-Verschlüsselung möglich. Bei BigBlueButton ist derzeit „nur“ eine Transportverschlüsselung gegeben.
24. Juni 2021 @ 15:45
Die Transportverschlüsselung ist nicht das Thema. Die ist sicher. Das Problem ist Zoom selbst. Zoom arbeitet mit einer MCU (Erklärung unter https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Kompendium-Videokonferenzsysteme.pdf). Das bedeutet, dass die Firma dort sämtliche Inhalte mitlesen kann und das natürlich auch macht. So wurden von linientreuen chinesischen Mitarbeitern bei Zoom mindestens vier Konferenzen gekappt, die sich mit dem Gedenken an das Tiananmen-Massaker befassten: https://edition.cnn.com/2020/12/18/tech/videoconference-app-chinese-government/index.html
Das ist Zensur. Die wird eben dadurch möglich, dass Zoom über die Metadaten hinaus auf ALLE INHALTE zugreifen kann. Zoom? NEVER!
30. Juni 2021 @ 22:43
Kurze Frage: Wie soll bei einer Ende-zu-Ende-Verschlüsselung zoom auf die Inhalte zugreifen können?
https://hilfe.uni-paderborn.de/Zoom_-_Verschluesselung_(Ende-zu-Ende)_nutzen
24. Juni 2021 @ 10:24
Sorry, aber ich bezweifle die Richtigkeit dieser (extrem wichtigen) Aussage:
„An diesen Knotenpunkten erfolgt in der Regel eine Entschlüsselung des Datenpakets und eine anschließende Neuverschlüsselung.“
Mit diesem Thema hatte ich mich vor einiger Zeit intensivst beschäftigt, und dort kam ich zu dem Ergebnis, dass es sich hier um Punkt-zu-Punkt-Verschlüsselungen handelt, die auf dem Weg durch das Internet NICHT gestört werden. Das wäre auch – konkret weitergedacht – ein absoluter Hammer.
25. Juni 2021 @ 8:40
Sehr geehrter Herr Vollmer,
danke für Ihren Hinweis, die Formulierung war missverständlich dargestellt, wir haben eine klärende Ergänzung in den Text aufgenommen.
Mit freundlichen Grüßen
Ihre Blogredaktion