Zoom führt Ende-zu-Ende-Verschlüsselung ein

Wir freuen uns, ankündigen zu können, dass die Ende-zu-Ende-Verschlüsselung (E2EE) bei Zoom ab nächster Woche als technische Vorschau verfügbar sein wird. In den ersten 30 Tagen werden wir dazu proaktiv Feedback von Benutzern einholen. Zoom-Benutzer mit kostenlosen und kostenpflichtigen Konten weltweit können auf Zoom E2EE-Meetings mit bis zu 200 Teilnehmer hosten und so Datenschutz und Sicherheit Ihrer Zoom-Sitzungen erhöhen.

Im Mai hatten wir unseren Plan angekündigt, Ende-zu-Ende-Verschlüsselung als Meetingoption in unsere Plattform zu integrieren – zusätzlich zu der bereits starken Verschlüsselung und den fortschrittlichen Sicherheitsfunktionen von Zoom. Wir freuen uns, jetzt in die ersten von vier Phasen unseres E2EE-Angebots einzutreten. Sie bietet bereits robuste Schutzmaßnahmen gegen das Abfangen von Entschlüsselungsschlüsseln, die zur Überwachung von Meetinginhalten verwendet werden könnten.

Um es klar zu sagen: Die E2EE von Zoom verwendet die gleiche leistungsstarke GCM-Verschlüsselung, die Sie jetzt bereits in Zoom Meetings erhalten. Der einzige Unterschied besteht darin, wo sich diese Verschlüsselungsschlüssel befinden.

In typischen Meetings generiert die Cloud von Zoom Verschlüsselungsschlüssel und verteilt sie über die Zoom Anwendung an die Meeting-Teilnehmer, sobald sie beitreten. Bei unserer E2EE jedoch generiert der Meeting-Host die Verschlüsselungsschlüssel und verteilt sie mittels eines Public-Key-Kryptosystems an die anderen Meeting-Teilnehmer. Die Server von Zoom werden damit zu „ahnungslosen“ Zwischenstationen und bekommen die Verschlüsselungsschlüssel nie zu sehen, die zum Entschlüsseln der Meetinginhalte erforderlich sind.  

„Die Ende-zu-Ende-Verschlüsselung ist ein weiterer Schritt, um Zoom zur sichersten Kommunikationsplattform der Welt zu machen“, sagte Eric S. Yuan, CEO von Zoom. „Diese Phase unseres E2EE-Angebots bietet die gleiche Sicherheit wie bestehende Ende-zu-Ende-verschlüsselte Messaging-Plattformen – aber mit der Videoqualität und der Skalierbarkeit, die Zoom zur Kommunikationslösung der Wahl für hunderte Millionen Menschen und die größten Unternehmen der Welt gemacht haben.“

E2EE von Zoom wird nächste Woche als technische Vorschau verfügbar sein. Um die Funktion nutzen zu können, müssen Kunden E2EE-Meetings auf Kontoebene aktivieren und E2EE dann für einzelne Meetings aktivieren.

Wie stellt Zoom Ende-zu-Ende-Verschlüsselung bereit?

Zooms E2EE nutzt ein Public-Key-Kryptosystem. Das bedeutet, dass die Schlüssel für Zoom-Meetings von den Geräten der Teilenehmer und nicht von Zoom-Servern generiert werden. Verschlüsselte Daten, die über die Zoom-Server weitergeleitet werden, können von Zoom nicht entziffert werden, da die Zoom-Server nicht über den erforderlichen Entschlüsselungsschlüssel verfügen. Diese Schlüsselverwaltungsstrategie gleicht der, die von den meisten Chatplattformen mit Ende-zu-Ende-Verschlüsselung genutzt wird.

Wie aktiviere ich E2EE?

Die E2EE-Einstellung kann von Hosts auf Konto-, Gruppen- und Benutzerebene aktiviert werden, und sie kann auf der Konto- oder Gruppenebene gesperrt werden. Teilnehmer müssen diese Option aktiviert haben, um an einem E2EE-Meeting teilnehmen zu können. In Phase 1 müssen alle Meeting-Teilnehmer über die Zoom Desktopanwendung, die mobile App oder Zoom Rooms beitreten.

Wann sollte ich E2EE verwenden?

E2EE ist dann die beste Lösung, wenn Sie sich für Ihre Meetings besonders viel Privatsphäre und optimalen Datenschutz wünschen. Es ist ein zusätzlicher Risikoschutz insbesondere für vertrauliche Meetinginhalte. E2EE bietet zwar eine verbesserte Sicherheit, allerdings sind einige Zoom-Funktionen in der ersten E2EE-Version eingeschränkt (mehr dazu weiter unten). Zoom-Benutzer sollten vor der Aktivierung dieser E2EE-Version entscheiden, ob sie diese Funktionen wirklich benötigen.

Habe ich Zugriff auf alle Funktionen eines normalen Zoom-Meetings?

Nein, derzeit nicht. Die Aktivierung der aktuellen Version von Zooms E2EE deaktiviert einige Meetingfunkionen, darunter Beitritt vor Host, Cloud-Aufzeichnung, Streaming, Live-Transkription, Breakout-Räume, Abstimmungen, private Einzelchats und Meeting-Reaktionen.

Können Benutzer mit kostenlosen Zoom Konten Ende-zu-Ende-Verschlüsselung nutzen?

Ja. Benutzer, die von der Zoom Desktopanwendung, der mobilen App oder von einem Zoom Room aus beitreten, können E2EE-Meetings hosten oder an ihnen teilnehmen, wenn dies in den Kontoeinstellungen aktiviert ist.

Worin liegt der Unterschied zur erweiterten Verschlüsselung von Zoom?

Bei Zoom-Meetings und -Webinare wird bei Audio-, Video- und Anwendungsfreigabe (d. h. Bildschirmfreigabe und virtuelle Whiteboards) für Übertragungen zwischen Zoom-Anwendungen, Clients und Connectors standardmäßig die 256-Bit-AES-GCM-Verschlüsselung genutzt. In Meetings, für die E2EE nicht aktiviert wurde, werden Audio- und Videoinhalte, die zwischen den Zoom Anwendungen der Benutzer ausgetauscht werden, erst dann entschlüsselt, wenn Sie das Endgerät des Empfängers erreichen. Allerdings werden die Verschlüsselungsschlüssel für alle Meetings von den Zoom-Servern generiert und verwaltet. In Meetings, in denen E2EE aktiviert ist, hat niemand außer dem jeweiligen Teilnehmer Zugang zu den Schlüsseln, die zur Verschlüsselung des Meetings genutzt werden, nicht einmal die Zoom-Server.

Woran erkenne ich, dass für mein Meeting Ende-zu-Ende-Verschlüsselung verwendet wird?

Überprüfen Sie als Teilnehmer, ob sich links oben im Meetingfenster ein grünes Schildsymbol mit Vorhängeschloss befindet. Wenn dieses Symbol angezeigt wird, ist Ihr Meeting E2E-verschlüsselt. Es ähnelt dem Symbol für GCM-Verschlüsselung, aber anstelle eines Häkchens wird ein Schloss angezeigt.

Die Teilnehmer sehen zudem den Sicherheitscode der Meetingleitung, den sie zur Überprüfung der sicheren Verbindung verwenden können. Der Host kann diesen Code vorlesen und die Teilnehmer können überprüfen, ob sie denselben Code sehen.

Wie gewährleistet Zoom auch in Zukunft die Sicherheit seiner Plattform?

Die obersten Prioritäten von Zoom sind das Vertrauen und die Sicherheit seiner Benutzer. Mit der Implementierung von E2EE können wir die Sicherheit auf unserer Plattform noch weiter verbessern. Benutzer von kostenlosen bzw. Basic-Konten, die E2EE nutzen möchten, müssen sich einer einmaligen Überprüfung unterziehen. Dabei werden die Benutzer um zusätzliche Informationen gebeten, wie die Verifizierung einer Telefonnummer per SMS. Viele führende Unternehmen führen vergleichbare Schritte durch, um die massenhafte Einrichtung missbräuchlicher Konten zu unterbinden. Wir sind zuversichtlich, dass wir die Sicherheit unserer Benutzer auch weiterhin verbessern können, und zwar durch die Einführung risikobasierter Authentifizierung in Kombination mit unserer aktuellen Auswahl an Tools – darunter unsere Zusammenarbeit mit Menschenrechts- und Kindersicherheitsorganisationen und die Möglichkeiten für Benutzer, Meetings abzuschließen, Missbrauch zu melden sowie zahlreiche andere Funktionen, die Teil unseres Sicherheitssymbols sind.

Wie sieht der weitere Zeitplan für E2EE aus?

Wir planen die Einführung eines besseren Identitätsmanagements und einer E2EE-SSO-Integration in Phase 2, die bisher für 2021 vorgesehen ist. 

Um mehr über die Ende-zu-Ende-Verschlüsselung und andere Sicherheitsfunktionen für Ihre Zoom-Meetings zu erfahren, besuchen Sie die Sicherheitswebseite von Zoom.

Anmerkung der Redaktion: Dieser Blogeintrag wurde am 3. August 2021 mit den neuesten Informationen zur Zoom-Verschlüsselung zu aktualisiert.