Update: Medienecho zu Webconferencing-Tool Zoom

Erhöhung der Sicherheit

17.04.2020

Erneut berichten Medien über angebliche Sicherheitslücken beim Videokonferenz-Anbieter Zoom. Um die Sicherheit von Webkonferenzen zu erhöhen, hatte der Anbieter des Cloud-Dienstes bereits entsprechend reagiert und die relevanten Einstellungen wie auch die Software angepasst.

In den neuesten Meldungen geht es nun um im Netz angebotene Daten, die aus einem nicht neuen Hack stammen und nicht direkt aus der Nutzerdatenbank von Zoom abgegriffen wurden. Vielmehr haben die Täter vermutlich im Rahmen einer sogenannten „Credential-Stuffing-Attacke“ die Daten zusammengetragen. Bei einem solchen Angriff werden bereits im Netz kursierende Log-in-Daten aus alten Hacks anderer Webangebote verwendet, um diese automatisiert auf ein neues Ziel, in diesem Fall Zoom, anzuwenden. Immer dann, wenn eine bereits bekannte Kombination aus E-Mail-Adresse und Passwort dabei als funktionierend erkannt wird, wird sie in den auf diese Weise neu entstehenden Datensatz aufgenommen. Es handelt sich also um ein grundsätzliches Problem. Daher wird empfohlen seine Passworte regelmäßig zu wechseln.

Zusätzlich wird seit dem 15. April auf zwei Sicherheitslücken in der Videochat-App Zoom hingewiesen, die es Angreifern ermöglichen, auf dem Computer ihrer Opfer Schadsoftware auszuführen. Damit könnten Zoom-Anrufe und möglicherweise auch weitere private Informationen auf dem Computer ausspioniert werden. Diese Schwachstelle kann aber nur genutzt werden, wenn der Angreifer auch Teil der Videokonferenz ist. Das HRZ empfiehlt daher immer ein Passwort für Ihre Videokonferenz zu vergeben, sodass keine Unbefugten Zugriff auf Ihre Videokonferenz bekommen.

Das HRZ hat die Meldungen und die technische Entwicklung bei Zoom sehr genau im Blick und passt Voreinstellungen und Empfehlungen für die Nutzer_innen regelmäßig an.

Bereits vorgenommene Konfigurationen

Darüber hinaus hatte das HRZ bereits zusätzliche Konfigurationen vorgenommen, mit denen die Sicherheit erhöht wird. So ist nicht nur eine PIN bei Einwahl über das Telefon zwingend notwendig, auch eine Authentisierung und Integration von Kontakten/Kalendern in das Zoom-System ist nicht möglich. Möglich und manchmal sinnvoll ist es jedoch, als Nutzer_in Sicherheitseinstellungen zu verändern. Bitte nehmen Sie solche Änderungen nur dann vor, wenn Sie genau wissen, was und warum Sie es verändern!

Falls Sie über die vom HRZ verteilten, kostenpflichtigen Lizenzen hinaus weitere kostenlose Basic-Lizenzen bei Zoom eingerichtet haben, sind Sie dafür verantwortlich, dass Sie dort beispielsweise nicht Ihr Passwort der TU-ID hinterlegen, um Kontakte und Daten aus der Groupware in das Zoom-System zu laden.

In einem weiteren Schritt können wir demnächst auch Ihre Basic-Lizenzen in die Verwaltung durch das HRZ überführen, dann gelten auch für diese Lizenzen die erweiterten Einstellungen durch das HRZ. Zwingende Voraussetzung für eine solche Verwaltung durch das HRZ ist, dass Sie Ihre Lizenz mit Ihrer E-Mail-Adresse der Grundversorgung (vorname.nachname@tu-darmstadt.de) angemeldet haben.

Weitere Informationen zum Nachlesen finden Sie in unseren FAQ.