90-Tage-Sicherheitsplan – Fortschrittsbericht: 24. Juni

Wir arbeiten weiter an unserem 90-Tage-Plan, um die Sicherheit und Datenschutz auf unserer Plattform zu verbessern. Die neueste Ausgabe unseres wöchentlichen Webinars „Fragen Sie Eric“ handelte von aktuellen Sicherheitsaktualisierungen, einschließlich unserer Bemühungen rund um das Bug-Bounty-Programm und die Aktualisierungen in Verbindung mit der Client-Version 5.1.1.

Eric S. Yuan, CEO von Zoom, trat gemeinsam mit Velchamy Sankarlingam (President of Product and Engineering bei Zoom), Oded Gal (CPO bei Zoom) und Randy Barr (Head of Product Security bei Zoom) auf.

Außerdem nahmen Brendan Ittelson (CTO bei Zoom), Alex Stamos (Privacy and Security Advisor und Deputy General Counsel bei Zoom) sowie Lynn Haaland (Chief Compliance and Ethics Officer) an der Fragerunde teil.

Ankündigung: Jason Lee wird neuer CISO

Eric Yuan begann das Webinar mit der Ankündigung, dass Zoom Jason Lee zum 29. Juni 2020 als neuen Chief Information Security Officer angestellt hat. Als ehemaliger Senior Vice President of Security Operations bei Salesforce und Principal Director of Security Engineering bei Microsoft bringt Lee 20 Jahre Erfahrung in den Bereichen Informationssicherheit und der Umsetzung unternehmenskritischer Dienstleistungen mit. Im Zuge unserer Bemühungen für Sicherheit und Datenschutz unseres Produkts wird Jason eine entscheidende Rolle bei der Weiterentwicklung unserer Plattform spielen.

Produktaktualisierungen

Dieses Wochenende werden wir unser Version 5.1.1 des Clients und für das Web mit den folgenden Änderungen einführen:

• Zentral verwaltete virtuelle Hintergründe: Konto-Admins können die virtuellen Hintergründe, die ihr Unternehmen nutzt, verwalten und eine Liste von genehmigten Hintergründen für Benutzer zur Verfügung stellen.
• Sicherheitskopfzeile im Webportal für Meeting-Einstellungen: In den Meeting-Einstellungen im Webportal wird eine Sicherheitskopfzeile erscheinen, wo sicherheitsrelevante Einstellungen wie Kennwörter, Warteraum und Authentifizierungsverfahren bequem an einem Ort zu finden sind.
• Aktualisierungen für Zoom Team Chat: Benutzer können ihren Anwesenheitsstatus vor externen Kontakten verbergen und haben die Möglichkeit, externe Kontakte daran zu hindern, neue Benutzer zu einem Kanal- oder Gruppenchat hinzuzufügen.

Vorstellung von Velchamy Sankarlingam

Yuan stellte Velchamy Sankarlingam, den ehemaligen Senior Vice President of Cloud Service Development and Operations bei VMware, vor, der bei Zoom nun die Rolle des President of Product and Engineering übernehmen wird. Als alter Hase im Bereich Cloud- und Collaboration-Software mit über zwei Jahrzehnten Erfahrung bringt Sankarlingam einen großen Erfahrungs- und Wissensschatz mit in unser Team. Wir freuen uns, dass er ab jetzt unsere Teams bei der Arbeit an Produkt, Engineering und DevOps beaufsichtigen wird.

Neue Sicherheitsanforderungen für Meetings

Ab dem 19. Juli müssen bei allen Meetings auf kostenpflichtigen wie auch kostenlosen Konten entweder ein Kenncode oder ein Warteraum aktiviert werden, um mehr Sicherheit für die Meetings zu garantieren. Falls keine der beiden Optionen aktiviert ist, aktiviert Zoom automatisch einen Warteraum. Falls Sie bereits einen Kenncode oder Warteraum nutzen, wird sich an der Planung von Meetings für Sie nichts ändern. Wenn Sie einen Kenncode zu einem bestehenden Meeting hinzufügen, müssen Sie Kalender-Einladungen mit dem Kenncode erneut an Ihre Teilnehmer versenden; bei neu erstellten Meetings mit aktiviertem Kenncode ist der Kenncode bereits automatisch in der Einladung enthalten. Bei aktiviertem Warteraum ändert sich an der Planung von Meetings für Sie nichts.

Aktualisierungen beim Bug-Bounty-Programm

Randy Barr stellte eine Aktualisierung für das Bug-Bounty-Programm zur Offenlegung von Schwachstellen vor. Als Teil unseres 90-Tage-Plans haben wir unsere internen Prozesse bei der Bearbeitung von Schwachstellen und die Effektivität der von uns genutzten Bug-Bounty-Plattformen ausgewertet. Um unser Bug-Bounty-Programm und unsere Bemühungen, Schwachstellen offenzulegen, zu verbessern, haben wir ein zentrales Bug-Repository entwickelt, zusammen mit dazugehörigen Workflow-Prozessen, die sich an ISO 29147 und 30111 orientieren. Dieses Repository wird von HackerOne, Bugcrowd und security@zoom.us gespeist (letzteres erfordert keine Geheimhaltungsvereinbarung) und durch Praetorian vorselektiert. Wir haben einen fortlaufenden Überprüfungsprozess mit täglichen Meetings eingeführt und unsere Kommunikation mit Sicherheitsexperten und externen Gutachtern verbessert.

FRAGEN UND ANTWORTEN

Wie meldet man Zoom eine Bug-Bounty?

Sie können Ihre Bug-Bounty-Einsendung bei security@zoom.us einreichen, wo unser engagiertes Team jede Einsendung überprüft und jemanden mit der Lösung des Problems beauftragt.

Stellt Zoom immer noch eine Verschlüsselung für kostenpflichtige und kostenlose Konten zur Verfügung?

Ja, alle Meetings werden mit AES 256 bit GCM verschlüsselt, und zwar sowohl bei kostenpflichtigen als auch bei kostenlosen Konten. Außerdem werden wir End-to-End-Verschlüsselung für kostenlose und kostenpflichtige Konten verfügbar machen, um ein absolut sicheres Umfeld für Meetings zu schaffen.

Erfasst oder verkauft Zoom Benutzerdaten?

Bei der Nutzung unserer Plattform erfasst Zoom die Informationen, die notwendig sind, um unseren Service auszuführen, wie zum Beispiel IP-Adressen; Zoom verkauft jedoch keine Benutzerdaten verkaufen und beabsichtigt auch nicht, dies zu tun.

Kann Zoom eine Option für Admins hinzufügen, um die Einstellungen von Kenncode und Warteraum für alle Meetings gleichzeitig zu ändern?

Als Konto-Admin können Sie diese Einstellungen auf der Kontoebene (auch dauerhaft) aktivieren, sodass diese Sicherheitseinstellungen automatisch für alle Meetings und Benutzer gelten. Sie können Kenncodes und Warteraum auch auf der Gruppen- oder Benutzerebene aktivieren.

Wie funktioniert der Warteraum?

Wenn der Warteraum aktiviert ist, werden die Teilnehmer beim Betreten zunächst in eine virtuelle Lobby geschickt, wo der Host überprüfen kann, wer dem Meeting beitreten möchte, und die Teilnehmer dann entweder einzeln oder gesammelt zum Meeting zulassen kann. Die Warteraum-Funktion kann auf der Konten-, Gruppen-, Benutzer- oder Meeting-Ebene aktiviert werden.

Vielen Dank für Ihre Unterstützung

Wir bedanken uns für Ihre Teilnahme an der Sitzung dieser Woche und danken allen, die uns ihre Fragen geschickt haben! Wir freuen uns sehr darüber, dass Sie uns bei unserem Vorhaben, Zoom zur weltweit sichersten Kommunikationsplattform für Unternehmen zu machen, unterstützen.

Sollten Sie die Sitzung diese Woche verpasst haben, können Sie sich hier eine Aufzeichnung ansehen:

Um Feedback einzureichen oder Zoom eine Frage zu stellen, senden Sie uns via answers@zoom.us eine E-Mail. Melden Sie sich gleich für das „Fragen Sie Eric“-Webinar nächste Woche an.