Cybersicherheit

Eurogruppe tagte mit umstrittener App Zoom

In Zeiten der Coronakrise finden selbst hochrangige EU-Treffen über Videokonferenz statt. Die Vorstellungen, was sichere Kommunikation bedeutet, liegen dabei allerdings weit auseinander.

Videochatfenster von Eurogruppentreffen
Heiße Verhandlungen, nicht allzu geheim: Ein Eurogruppentreffen via Zoom-Videochat Alle Rechte vorbehalten Edward Scicluna

Treffen der Eurogruppe finden in normalen Zeiten im streng vertraulich kleinen Kreis statt. Die Coronakrise ändert jedoch alle Gewohnheiten: Am Dienstag trafen sich die Minister*innen virtuell per Videochat.

In Zeiten der alltäglichen Videokonferenz wird deutlich, dass die EU-Staaten längst keine Patentlösung für die sichere Kommunikation untereinander haben. In Brüssel sorgt für Aufsehen, dass zumindest ein Teilnehmer am Treffen der Euro-Finanzminister*innen, der maltesische Minister Edward Scicluna, für den Chat den umstrittenen Videodienst Zoom verwendet.

Ein Tweet von Scicluna während des Treffens zeigte seinen Bildschirm inklusive der Meeting-ID des Zoom-Chats, quasi der virtuellen Raumnummer für das Treffen. Wenn der Chat nicht per Passwort gesichert ist, konnte bis zu einem gestern ausgerollten Update mit dieser ID praktisch jede oder jeder in den Chat einsteigen. (Der ursprüngliche Tweet ist inzwischen gelöscht, stattdessen tweetete Scicluna später einen kleinere Ausschnitt des selben Bildes.)

Uneinigkeit in Europa

Zoom erfreut sich seit Ausbruch der Corona-Pandemie rasant wachsender Beliebtheit. Selbst das britische Kabinett hielt letztens eine Sitzung über den Videodienst ab. Doch innerhalb der EU sind Staaten geteilter Meinung über Zoom.

Screenshot of Eurogroup video chat
Inzwischen gelöscht: Bild aus dem ursprünglichen Tweet Alle Rechte vorbehalten Edward Scicluna

Das Auswärtige Amt verbietet seinen Beschäftigten aus Sicherheitsgründen die Verwendung von Zoom. Das Ministerium betont in einem Rundschreiben an das eigene Haus, aus dem das Handelsblatt zitiert, dass die Nutzung von Zoom international weit verbreitet sei. Ein völliger Verzicht auf Zoom sei schwer, die umstrittene Plattform sei jedoch nach Möglichkeit zu meiden.

Die deutsche Bundesregierung ist generell unzufrieden mit der Infrastruktur des Rates der Europäischen Union. Derzeit seien aus technischen Gründen mehr als ein oder zwei Videokonferenzen am Tag unmöglich, berichtete der Spiegel unter Berufung auf ein Schreiben des Botschafters Michael Clauß an seine Vorgesetzten in Berlin.

„Im System des Ratssekretariats wird derzeit nur eine kommerzielle Ende-zu-Ende-Verschlüsselung genutzt“, schreibt Clauß. Dies bedeute: „die Sitzungen finden über offene Leitungen statt.“ Auf Anfrage von netzpolitik.org wollte die deutsche Vertretung in Brüssel das Schreiben nicht kommentieren.

Das Ratssekretariat betont, es betreibe kein einheitliches Videokonferenzsystem über alle Mitgliedstaaten hinweg. „Jede nationale Regierungsabteilung verbindet sich mit dem Hub des Rates über ihr eigenes Videokonferenzsystem“, sagte ein Ratssprecher gegenüber netzpolitik.org.

Das Ratssekretariat sei sich der Risiken von Videokonferenzsystemen bewusst, wolle aber keine Details seiner Sicherheitsmaßnahmen kommentieren. Der Sprecher antwortete nicht auf unsere Nachfrage, ob noch weitere Regierungsvertreter*innen über Zoom an EU-Sitzungen teilnahmen.

Die maltesische Regierung bestätigte auf Anfrage, dass der Finanzminister für „den ersten Teil des Treffens“ Zoom verwendet habe. Für gewöhnlich verwende die Regierung Microsoft Teams, schrieb Pressesprecher Keith Caruana an netzpolitik.org.

Cybersicherheit ist in den EU-Institutionen nicht erst seit der Coronakrise ein Thema. Erst im Februar wurde bekannt, dass die EU-Kommission ihren Beschäftigten zur Verwendung des Messengerdienstes Signal für die Alltagskommunikation rät. Allerdings ist unklar, inwiefern Alternativen zu WhatsApp und anderen potenziell unsicheren Diensten tatsächlich breit genutzt werden.

Zoom-Probleme

Expert*innen warnen nachdrücklich vor der Verwendung von Zoom für sensible Kommunikation. Die Plattform hat unter anderem mit Trollen zu kämpfen, die in ungesicherte Chats eindringen. Inzwischen hat sich sogenanntes „Zoom-Bombing“ fast schon zum Massensport entwickelt, mit eigenem Wikipedia-Eintrag.

Forscher*innen des Citizen Lab an der Universität von Toronto deckten außerdem eine schwere Sicherheitslücke in der Verschlüsselung von Zoom auf. Ein Problem war demnach, dass Schlüssel teils auf chinesischen Servern angelegt waren, was dortigen Sicherheitsbehörden womöglich Zugang verschaffen könnte. Auch in einem Bericht der Investigativplattform The Intercept wird die mangelhafte Ende-zu-Ende-Verschlüsselung bei Zoom kritisiert.

Das Citizen Lab rät wegen der Sicherheitsmängel Regierungen explizit von Zoom ab. Die App eigne sich lediglich für die Verwendung mit Freunden und Bekannten, wenn keine vertraulichen Dinge besprochen würden. Selbst dann sollten zusätzliche Sicherheitseinstellungen getroffen werden, damit nicht trotzdem vertrauliche Informationen im Internet landen.

Die Forscher*innen lobten allerdings die rasche Bereitschaft von Zoom, auf die Beschwerden über Sicherheitsmängel einzugehen. Inzwischen hat der Dienst den Ex-Sicherheitschef von Facebook und Yahoo, Alex Stamos, als Berater an Bord geholt. Verbesserungsbedarf besteht zudem bei der Installationsroutine der Software, die laut Sicherheitsexperten dem Verhalten von Malware entspricht.

Auch die Datenschutzpraktiken des Unternehmens lassen Zweifel aufkommen. Bis 29. März war in der deutschsprachigen Datenschutzerklärung von Zoom etwa die Frage zu lesen: Verkauft Zoom personenbezogene Daten? Die Antwort darauf lautet wortwörtlich: „Das hängt von Ihrer Definition von ‚verkaufen‘ ab.“ Der Text ist inzwischen geändert, er macht aber deutlich, dass das Geschäftsmodell von Zoom darauf beruht, Daten von Nutzer*innen kommerziell auszuwerten. Die US-Justiz kündigte indes eine Prüfung der Datenschutzpraktiken von Zoom an. Der US-Senat rät seinen Abgeordneten, die Videoplattform zu meiden.

Europäische Datenschutzbehörden haben sich bisher nicht zu Zoom geäußert. Der Europäische Datenschutzbeauftragte, der für die Prüfung der EU-Institutionen zuständig ist, hat seine Untersuchung von Teleworking-Tools vorerst verschoben. Derzeit habe der Datenschutzbeauftragte genug mit Corona-Tracking und anderen möglichen Grundrechtseingriffen zu tun, heißt es in Brüssel.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

2 Ergänzungen
  1. Datenschutz ist de fakto tot. Wenn es nichtmal auf EU-Ebene möglich ist, die eigene Datensouveränität zu gewährleisten und Programmschrott wie diesen aus amerikanischen Landen in Europa konsequent zu verbieten, dann brauch ich mich hier als kleiner Mann auch nicht bemühen.

    Die Vorteile von Open Source Software und der eigenen Souveränität über die eigenen Daten werden seit Jahren propagiert. Doch geschehen ist seither nichts. Wir alle wissen, was zu tun ist. Doch wir tun es nicht. Warum nicht? Weil Bequemlichkeit siegt – immer und überall.

    Deswegen setzt der EU-Verwaltungsapparat weiterhin auf Windows 10 und Software wie Zoom und deswegen interessiert es den kleinen Mann nicht die Bohne, ob amerikanische Firmen alle Daten abfischen.

    Gleichzeitig ist es mit der Alternativebewegung in Sachen Datenschutz wie mit dem Veganismus – sie wird sich nicht durchsetzen. Es fehlen die gesellschaftlichen Richtlinien seitens der Führung.

    Es bleibt festzuhalten: Datenschutz ist tot und wird nie wieder lebendig.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.