Blogbeitrag

Videokonferenzen und Datenschutz in der Corona-Krise

Der Ausbruch der COVID-19-Pandemie hat unsere Gesellschaft vor neue Herausforderungen gestellt. Die zur Verhinderung der Ausbreitung eingeführten Maßnahmen und die damit verbundenen sozialen Einschränkungen führten dazu, dass persönliche Kontakte nicht mehr wie gewohnt stattfinden konnten.

Viele Unternehmen setzen aus diesem Grund nunmehr auf Homeoffice und führen Besprechungen digital durch. Stark betroffen sind zudem auch Schulen und Hochschulen, da der Unterricht an diesen nicht wie gewohnt stattfinden kann. Eines ist klar: In Zeiten der Krise ist die Bedeutung der Informatik und der Bedarf an Digitalisierung erneut stark in den Fokus gerückt. Anbieter von Videokonferenzsystemen dürften diese Veränderung besonders gespürt haben: Allein im März verzeichnete Microsoft bei der Anzahl von Videoanrufen einen Anstieg um 1000 % (Reuters). Die Palette an verschiedenen Anbietern ist dementsprechend breit gefächert.

Besonderer Beliebtheit erfreut sich dabei vor allem das Tool Zoom: Das System ist einfach nutzbar und auch bei hohen Teilnehmerzahlen zuverlässig. Dabei hat ausgerechnet Zoom in den letzten Wochen wegen Sicherheitsbedenken für Aufsehen gesorgt. So warnte etwa der baden-württembergische Datenschutzbeauftragte Stefan Brink im April noch davor, dass eine datenschutzkonforme Nutzung von Zoom für den Unterricht nicht möglich sei (heise). Grund dafür waren zum Teil gravierende Sicherheitslücken, die ans Licht kamen: Beispielsweise ermöglichte ein beim macOS-Client mitinstallierter Webserver Angreifern ohne Zustimmung der Nutzenden, auf die Webcam zuzugreifen (Objective-See). Zudem wurden Videokonferenzen unverschlüsselt übertragen, obwohl der Anbieter explizit mit einer E2E-Verschlüsselung geworben hatte (The Intercept). Doch auch andere kommerzielle Tools, etwa Microsoft Teams, standen zuletzt in der Kritik (PC Magazin, Windowsunited.de).

Unabhängig vom verwendeten Tool hängt die Sicherheit aber in hohem Maße von der Verantwortung der Nutzenden selbst ab. Zum Beispiel ist wichtig, Meetings ausreichend durch Passwörter zu sichern und Links nicht öffentlich zu verbreiten, damit ungebetene Gäste keinen Zutritt erhalten. Genau aus diesem Grund ist es aus Sicht der Informatik wichtig, Aufklärung über die korrekte und sichere Nutzung zu schaffen und Unklarheiten zu beseitigen. Einen guten Anhaltspunkt liefert dabei das vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammengestellte Kompendium für Videokonferenzsysteme (bsi.bund.de).

Zoom reagierte schnell auf die enthüllten Lücken und lieferte Updates nach, um diese zu beheben, außerdem habe man die Datenschutzrichtlinien aktualisiert, um für mehr Transparenz zu sorgen (Zoom Blog). Auch die fehlende E2E-Verschlüsselung wolle man bald für alle nachliefern (Zoom Blog), obwohl anfangs angekündigt war, diese Funktion kostenlosen Konten vorzuenthalten, um die Zusammenarbeit mit Sicherheitsbehörden zu erleichtern (The Guardian).

Ist das Recht auf Privatsphäre nunmehr eine zubuchbare Option geworden? Trotz der Datenschutzgrundverordnung (DSGVO) gibt in vielen Fällen keine hundertprozentige Klarheit, wie IT-Konzerne mit den Daten ihrer Kundinnen und Kunden vorgehen. Anders sieht es hingegen bei selbstgehosteter Open-Source-Software aus: Hier haben Nutzerinnen und Nutzer eine deutlich bessere Kontrolle über ihre eigenen Daten; zudem entfallen entsprechende Lizenzgebühren. Die aktuelle Situation bietet eine gute Gelegenheit, auf Alternativen setzen. Besonders die Tools Jitsi Meet und BigBlueButton erfreuen sich großer Beliebtheit.

Problematisch und vermutlich der entscheidende Faktor dürfte wohl die Komplexität sein, die mit dem Einsatz dieser Systeme verbunden ist. Viele Unternehmen und Schulen waren aufgrund des Zeitdrucks an einer Lösung interessiert, die möglichst kurzfristig einsetzbar ist. Während kommerzielle Tools wie Zoom oder Microsoft Teams direkt startklar sind, muss hier bei den oben genannten Tools zuerst die benötigte Infrastruktur geschaffen werden.

Um diese Hürde zu beseitigen, sind bereits einige Initiativen hervorgegangen, die den Nutzerinnen und Nutzern den Umstieg auf Open-Source-Tools erleichtern sollen. Ein solches Projekt ist das vom Computerwerk Darmstadt initiierte senfcall, welches auf BigBlueButton basiert und kostenlos zur Verfügung steht. Besonders ist hier der Fokus auf Privatsphäre: man gibt an, den Datenschutz als „first-class citizen“ zu behandeln, zudem werden alle Daten auf Servern in Deutschland verarbeitet (senfcall).

Ein weiteres Angebot wird von Freifunk München zur Verfügung gestellt. Diese Jitsi-Installation unterstützt nach eigenen Angaben mehrere Tausend gleichzeitig Teilnehmende. In einzelnen Räumen soll es bis zu 30 Personen gut funktionieren (ffmuc.net). Speziell an das Bildungswesen richtet sich außerdem der Verein cyber4edu, welcher beim Chaos Communication Congress 2019 gegründet wurde. Als Ziel setzt man sich hier den datenschutzkonformen Einsatz freier Tools an Schulen und die Aufstellung der dazu benötigten Infrastruktur (cyber4edu).

Abschließend kann man in der aktuellen Situation auch optimistisch in die Zukunft blicken: Kann die Krise den teilweise lang überfälligen Digitalisierungsschub herbeiführen oder zumindest beschleunigen? Eine neu geschaffene digitale Lerninfrastruktur ist eine langfristige Investition, von der man auch nach der Krise profitieren kann. Um eine solche digitale Transformation zu ermöglichen ist es deswegen wichtig, Chancen zu erkennen und diese richtig umzusetzen.

Diesen Beitrag hat Informatik-Student Patryk Brzoza (TU München) verfasst. Er beschäftigt sich derzeit im Rahmen des Seminars „Ethics for Nerds“ mit Videokonferenzlösungen. Vielen Dank!

CC-BY 4.0 Jugend hackt, Foto: Leonard Wolf