Kategorie | Zoom | Jitsi | Einschätzung / Bemerkungen |
---|---|---|---|
Serverstandort | USA | Dort wo die Jitsi-Instanz betrieben wird | |
End-Zu-End-Verschlüsselung | Zoom hatte früher behauptet, der Dienst sei End-Zu-End-verschlüsselt, musste dann allerdings zugeben, dass dies nicht der Fall ist. Alle Videodaten sind von Zoom einsehbar. | Auch Jitsi ist derzeit nicht End-zu-Ende-verschlüsselt, sobald mehr als zwei Teilnehmende an einer Konferenz teilnehmen. (https://jitsi.org/blog/security/). Der Betreiber der entsprechenden Jitsi-Instanz kann somit die Videodaten einsehen. | |
Unhöfliche Geschäftspraktiken und technische Vorgehensweisen: |
|
||
User-Tracking durch Dritte (Datenschutz) |
Die Firma Zoom hat in der Vergangenheit unter iOS Nutzungsdaten an Facebook weitergegeben (siehe heise.de) . Ende März hat Zoom mitgeteilt, dass dies nun nicht mehr geschehe. | Jitsi sendet in den Apps für iOS und Android ebenfalls Tracking-Daten an Dritte und will dies anscheinend nicht abstellen. | Im Detail ist die Lage kompliziert. Aber es ist mindestens nicht so, dass Zoom als böser Dienst Daten an Dritte weitergibt, während dies Jitsi nicht tut. |
User-Überwachung durch Konferenzleitung (Datenschutz) |
Der Veranstalter (host) einer Videokonferenz konnte bis 2. April 2020 eine Aufmerksamkeitsüberwachung der Teilnehmenden aktivieren. Dabei wurde kontrolliert, ob die TN die Videokonferenz wirklich beachten (bzw. im Vordergrund hatten) oder nur auf dem Computer laufen liessen. Per 2. April wurde dieses Feature aus Zoom entfernt. | Sitzungsleiter können die automatisch erfassten Sprechzeiten aller Sitzungsteilnehmer abrufen. | Während Zoom nach öffentlicher Kritik gewisse Überwachungsfunktionen entfernt hat, ist es in Jitsi weiterhin möglich, die automatisch erfassten Sprechzeiten der Sitzungsteilnehmer abzurufen. |
Sicherheitslücken der Software (IT-Sicherheit) |
Es wurde bekannt, dass die Software in der Vergangenheit einige Sicherheitsprobleme hatte und die Firma sich teilweise lange Zeit liess, um die Probleme zu beheben.
|
Viele Programme weisen Sicherheitslücken auf. Wird eine Software stärker genutzt, so kann dies dazu führen, dass die Software besser untersucht wird und mehr Sicherheitslücken entdeckt werden. Problematisch sind somit nicht die Berichte, dass Sicherheitslücken entdeckt worden sind (das passiert überall laufend), sondern dass gewisse Lücken längere Zeit nicht beschlossen worden sind. | |
Zugangsdaten zum Dienst im Netz verfügbar | In letzter Zeit haben verschiedene Medien darüber berichtet, dass im Darknet hunderttausende Zoom-Accounts aufgetaucht seien. Es ist jedoch unklar, ob das mit einer Nachlässigkeit der Firma Zoom oder mit der Nachlässigkeit der Zoom-User zu tun hat, für verschiedene Dienste das gleiche Passwort zu verwenden (was Credential-Stufing ermöglicht). | Im Netz kursierende Zugangsdaten müssen nicht zwingend auf Nachlässigkeit des Dienstbetreibers zurückzuführen sein: Wenn Leute ihre BMW-Schlüssel rumliegen lassen kann die Firma BMW auch wenig dafür. | |
Missbrauchspotenzial durch unsachgemässe Nutzung: | Wenn die Sitzungsnummer einer öffentlichen Zoomkonferenz bekannt ist, können sich Unbekannte einklinken, die Videokonferenz anschauen, aufnehmen und bei entsprechenden Einstellungen die Videokonferenz aktiv stören (u.a. mit unerwünschten Inhalten). Zoom hat die Standardeinstellungen der Software geändert, so dass die Gefahr durch unsachgemässe Nutzung geringer wird. | Vor Usern, die unsorgfältig mit ihren Zugangsdaten umgehen, ist praktisch kein Dienst gefeit. Es lassen sich aber gewisse Standardeinstellungen entsprechend vorsichtig setzen (was Zoom unterdessen getan hat). | |
Warnungen oder Verbote von Zoom: | Eine wichtige Person oder eine Organisation warnt vor Zoom.
|
Warnungen vor der Nutzung einer Software sind ein Indix, aber kein Beweis für ein Problem der Software. Während in Deutschland verschiedene Datenschützverantwortliche die Nutzung von Zoom verbieten oder mindestens davor warnen, hat der datenschutzverantwortliche des Kantons Zürich Zoom während der Pandemie-Situation erlaubt. In der Folge nutzt z.B. die Universität Zürich die Software (ausser im medizinischen Kontext). |
Wir werden die Situation weiter beobachten und diese Hinweise und Empfehlungen weiter beobachten.
Weitere Einschätzung: Der deutsche Rechtsanwalt & Fachanwalt für IT-Recht Stephan Hansen-Oest zur Frage Hilfe…ist „Zoom“ etwa eine Datenschleuder?.Neben den Medienberichten von Unternehmen, welche die Nutzung von Zoom verbieten (z.B. Tesla, Google) gibt es auch Hochschulen, die Zoom während der Corona-Krise einsetzen und empfehlen: