Stellungnahme des Studierendenparlamentes zur Verwendung von Zoom an der Stiftung Universität Hildesheim
Im Sommersemester 2020 ist vieles anders als sonst. Die Veranstaltungen können nicht als Präsenzveranstaltungen im üblichen Sinne durchgeführt werden. Stattdessen ist mensch gezwungen, auf Onlineveranstaltungen und selbst organisiertes Lernen umzustellen. Diese Veränderung kam für alle plötzlich und es mussten schnell Entscheidungen getroffen und Strukturen umgewandelt werden. Doch was dabei vernachlässigt wurde ist der Datenschutz. Einige Lehrende entschieden sich bewusst für das Tool „Zoom“. „Zoom“ ist in den letzten Wochen, seit die Verwendung von Videokonferenz Tools angestiegen ist, immer wieder in die Kritik geraten. So ist zum Beispiel die Übertragung mittel Ende-zu-Ende-Verschlüsselung, mit der geworben wird, nicht gegeben und die Übertragung findet unverschlüsselt statt. „Zoom“ schreibt dazu:
[Wir erkennen an], dass eine Unstimmigkeit zwischen der allgemein akzeptierten Definition von End-to-End-Verschlüsselung und der Art und Weise, wie wir den Begriff benützen, besteht. [1]
Des Weiteren nutzt Zoom eine veraltete SSL-Version (Secure Sockets Layer: Stellt sicher, dass zwischen Benutzer*innen und Websites oder zwischen zwei Systemen übertragene Daten nicht gelesen werden können), in der sich bekannte Sicherheitslücken befinden und die nicht mehr aktualisiert wird. Dadurch kann Schadcode auf dem betroffenen Computer eingeschleust und erheblicher Schaden angerichtet werden. [2, 6]
Bis vor Kurzem wurden von der iOS-App noch Daten an Facebook übertragen. Dieses „Feature“ wurde mittlerweile abgestellt, doch schienen die Entwickler*innen davon nichts gewusst zu haben.
Man sei kürzlich darauf aufmerksam gemacht worden, dass die Facebook Programmierumgebung unnötige Daten sammle, schreibt Zoom in seinem Blog: „Wir entschuldigen uns aufrichtig für dieses Versehen.“ [2]
Aktuell ermittelt die New Yorker Generalstaatsanwältin Letitia James mit einer angehängten Sammelklage wegen dieser Datenweitergabe. [7]
Durch eine weitere Sicherheitslücke können Hacker sich unbemerkt Zugriff auf die Webcams von Mac-Nutzer*innen verschaffen. Auch diese Lücke ist mittlerweile geschlossen, allerdings nur unzureichend. [3]
Bei „Zoom“ handelt es sich um keine Open-Source-Software. Das bedeutet, dass neben den aufgezählten Dingen nicht klar ist, was sich noch unter der Oberfläche verbirgt. Hinzu kommt außerdem noch, dass „Zoom“ Sicherheitslücken nur notdürftig und das auch nur aufgrund öffentlichen Drucks stopft
Thilo Weichert, ehemaliger Datenschutzbeauftragter von Schleswig-Holstein und Gründer des Netzwerks Datenschutzexpertise schreibt dazu:
Die Firma setze sich „über sämtliche Regeln der Datensicherheit und des Datenschutzes hinweg. […] Aus meiner Sicht darf niemand andere dazu veranlassen, Zoom zu nutzen.“ Das gelte insbesondere für Behörden, Schulen, Arbeitgeber, politische Parteien, Veranstalter und Gesundheitsdienstleister. [4]
Dies sind nur wenige, allerdings sehr anschauliche Beispiele dafür, dass „Zoom“ kein Tool ist mit dem sicher Videokonferenzen gehalten werden können.
Zwar arbeitet „Zoom“ mit Hochdruck an Lösungen und die aktuelle Version bringt einige Besserungen mit sich, damit reagiert „Zoom“ jedoch nur auf öffentlichen Druck. „Zoom“ hatte diese Sicherheit nicht von Anfang an vorgesehen und bearbeitet nur die aufgedeckten Lücken.
Es ist bedenklich, dass an alten Strukturen fest gehalten wird – auf Kosten des Datenschutzes. Denn trotz schneller Entscheidungen hätte es die Möglichkeit gegeben eine datenschutzkonforme Lösung aufzubauen. Dies wurde von den Lehrenden, die „Zoom“ nutzen bewusst nicht umgesetzt. Die Studierenden haben dadurch keine andere Möglichkeit als ein Tool zu nutzen, welches ihre Privatsphäre verletzt und ein großes Sicherheitsrisiko darstellt. Das ist zu kritisieren. Die Lehrenden sind dazu angehalten zum Wohle der Studierenden zu handeln, was hier allerdings nicht geschehen ist.
Daher fordern fordern wir als Studierendenparlament der Stiftung Universität Hildesheim, die Verwendung des Videokonferenztools zu Lehrzwecken zu untersagen. Des Weiteren schließen wir uns der Petition und dem offenen Brief von Moritz Hüper an. [8, 9]
Quellen:
[1] Die Fakten rund um Zoom und die Verschlüsselung für Meetings/Webinare : https://blog.zoom.us/wordpress/de/2020/04/01/die-fakten-rund-um-zoom-und-die-verschluesselung-fuer-meetings-webinare/ Abgerufen am 2.5.20 um 13:00. [2] Dank Zoom kann dein Computer zum Spionage-Tool werden: https://www.riffreporter.de/vr-reporterin/dank-zoom-kann-dein-computer-zum-spionage-tool-werden/ Abgerufen am 2.5.20 um 13:00. [3] Zoom erlaubt Zugriff auf Computerkamera: https://www.golem.de/news/sicherheitsluecke-zoom-erlaubt-zugriff-auf-die-webcam-von-mac-nutzern-1907-142422.html Abgerufen am 2.5.20 um 13:30. [4] „Zoom“ und die Corona-Krise: Bild an, Datenschutz aus – taz.de : https://taz.de/Zoom-und-die-Corona-Krise/!5674593/. [5] Zoom reicht Daten heimlich an Facebook weiter : https://www.heise.de/mac-and-i/meldung/Bericht-Zoom-App-fuer-iOS-reicht-Daten-heimlich-an-Facebook-weiter-4691613.html Abgerufen am 2.5.20 um 13:00. [6] Zoom Endpoint-Security Considerations: https://dev.io/posts/zoomzoo/ Abgerufen am 2.5.20 um 14:00. [7] Neue Sicherheitslücken in Zoom entdeckt : https://www.golem.de/news/homeoffice-neue-sicherheitsluecken-in-zoom-entdeckt-2004-147670.html Abgerufen am 2.5.20 um 14:00. [8] Petition : https://www.openpetition.de/petition/online/kein-zoom-an-der-uni-hildesheim. [9] Offener Brief : https://kein-zoom-an-der-uni-hildesheim.de/offener-brief-zoom-an-der-uni-hildesheim.pdf.