Channel

Apps

Sicherheit und Datenschutz

Videocall mit Zoom: Chef kann prüfen, ob Mitarbeiter aufpassen

Ein Meeting via Zoom Call © Zoom
Ein Meeting via Zoom Call © Zoom

Kaum eine Software hat in der Coronavirus-Krise so einen Boom erlebt wie Zoom. Der Anbieter des Video-Conferencing-Tools ging vergangenes Jahr an die Börse – im Jänner stand der Kurs noch nahe des Startkurses von rund 67 Euro und im März ging es dann steil bergauf auf mittlerweile 148 Euro. Zoom ist am besten Weg, zum Standard für Videocalls zu werden. Datenschützer warnen allerdings, denn Zoom sammelt persönliche Daten und bietet Administratoren zahlreiche Möglichkeiten, die nicht jeder Mitarbeiter mögen wird.

„Attention Tracking“: Wer passt auf?

„Zoom überwacht die Aktivität auf eurem Computer und sammelt Daten über die laufenden Programme und hält fest, welches Fenster man gerade im Fokus hat“, schreibt der US-Software- und Game-Developer Wolfgang Wozniak auf Twitter und löst damit eine lange Debatte aus, in die sich auch Zoom selbst einschaltet und die Vorwürfe zu zerstreuen versucht. Im Zentrum der Diskussion steht die Funktion „Attention Tracking“, die es ermöglicht, festzustellen, ob ein Teilnehmer dem Call gerade aufmerksam folgt, oder nicht. Darüber, welche Einblicke diese Funktion wem gewährt, herrscht Uneinigkeit.

„Wenn du die Anrufe managst, kannst du überwachen, welche Programme die Teilnehmer des Anrufs gerade ausführen“, behauptet Wozniak. „It’s fucked up“. Zoom streitet das ab: „Es (die Funktion, Anm.) trackt keine Aspekte der Audio-/Video- oder anderer Anwendungen in eurem Fenster“, antwortet das Unternehmen auf Twitter und verweist auf die Support-Seite zu „Attention Tracking“.

Demnach muss die Funktion von dem Host des Calls aktiviert werden und gibt dann Auskunft darüber, welcher Teilnehmer das Zoom-Fenster auf seinem Gerät gerade im Vordergrund hat, also im Fokus. Die Funktion kann zudem ausschließlich im Screen-Sharing genutzt werden – offenbar, um die häufige Frage danach, ob gerade alle Teilnehmer auf die Präsentation schauen, automatisch zu beantworten.

Ist das Feature nun hilfreich und harmlos oder ein Sicherheits- und Privatsphäre-Risiko? „Soweit wir sehen konnten, erfasst das Feature nur, ob die Zoom Applikation gerade am Bildschirm im Fokus ist. Auch die Aussage von Zoom, dass das Feature per Default deaktiviert ist, ist unserer Analyse nach richtig“, erklärt Sebastian Bicchi von Sec Research gegenüber Trending Topics. Restlos sicher, dass „Attention Tracking“ nur das tut, ist aber auch Bicchi nicht.

„Eine vollständige Analyse der App war in dieser kurzen Zeit nicht möglich. Der Netzwerkverkehr der App ließ sich in dieser kurzen Zeit ebenfalls nicht vollständig analysieren bzw. entschlüsseln, daher können wir hier keine fundierte, vollständige Aussage treffen. So wurden zum Beispiel Log-Files verschlüsselt vom Zoom Client an den Server gesendet, das bedeutet, wir konnten diese nicht einsehen“.

Empfehlung: Browser statt App

Wer der App misstraut, kann sie problemlos deinstallieren, denn es gibt auch eine Web-Version, die im Browser läuft. Und: „Grundsätzlich gilt: Client-Programme können mehr Daten über den Benutzer erheben als eine Web-Applikation dazu in der Lage wäre“, erklärt Bicchi. Erhält man eine Einladung zu einem Zoom-Call, ist der Link, mit dem man per Browser an dem Call teilnehmen kann, ein wenig versteckt – in einer eigenen Zeile unter dem viel prominenteren Download-Link für das Programm. Als Host eines Meetings oder Gruppen-Admin kann man in den Einstellungen der App den „Join from your browser“-Link in den Meeting-Einladungen aktivieren.

Die vielen Möglichkeiten der Admins

Unabhängig von der Debatte um das „Attention Tracking“ ist Zoom aber auch in einigen anderen Punkten in die Kritik geraten. Die Datenschützer-NGO Electronic Frontier Foundation (EFF) listet etliche Möglichkeiten auf, die ein Administrator hat. Deren sollten sich Nutzer bewusst sein. Gruppen-Administratoren, also in vielen Fällen die Chefin oder der Chef, haben Zugriff auf detaillierte Dashboards, in denen zu sehen ist, wie, wann und wie lange Nutzer Zoom verwenden (hier im Zoom Support).

Laut EFF gibt es sogar ein Ranking der Nutzer (also auch Mitarbeiter) nach der Dauer, die sie in Zoom verbracht haben. Und: Administratoren können demnach offenbar sogar auf Aufzeichnungen von Telefonaten zugreifen, die ein Nutzer durchgeführt hat und Nutzerdaten aller Teilnehmer einsehen, darunter auch den Standort. Das Sicherheits-Software-Unternehmen Proton warnt ebenfalls, dass Administratoren Zugriff auf Videochat-Protokolle haben. Die Firma empfiehlt, ein zweites Gerät – etwa ein Smartphone – als Second Screen zu verwenden, um „Attention Tracking“ auszutricksen.

Datenschutz

Zoom sammelt zweifelsohne auch zahlreiche Daten seiner Nutzer, wie in der Privacy Policy nachzulesen ist – darunter fallen Account-Daten wie Name, Adresse, Firma, Telefonnummer, aber auch „alle Informationen“, die Nutzer über Zoom hochladen und teilen. Die Frage ist, wie das US-Unternehmen mit den Daten umgeht. Um mit EU-Datenschutzregeln kompatibel zu sein, hat Zoom ein Zertifikat des Privacy Shields für den Datentransfer von der EU in die USA.

Dass Daten an Dritte weitergegeben werden, bestreitet Zoom: „Wir gestatten Dritten nicht, die von uns erhaltenen persönlichen Daten für ihre eigenen Zwecke zu verwenden, es sei denn, Sie (der Nutzer, Anm.) stimmen dem zu (z.B. wenn Sie eine App vom Marktplatz herunterladen)“. Davon ausgenommen seien Standard-Dienste wie Google Analytics zur Web-Traffic-Analyse oder Google Ads.

Springe zu:

Ganzen Artikel lesen
Corona-Krise