90-Tage-Sicherheitsplan – Fortschrittsbericht: 10. Juni

90-Tage-Sicherheitsplan – Fortschrittsbericht: 10. Juni

Während wir weiter an unserem 90-Tage-Plan zur Verbesserung von Sicherheit und Datenschutz auf unserer Plattform arbeiten, standen bei unserem „Fragen Sie Eric“-Webinar diese Woche die jüngsten Aktualisierung zur Produktsicherheit, Fakten zur Verschlüsselung von Zoom und zur Sicherung von Meetings mit Kennwörtern und Warteräumen im Mittelpunkt.

Neben Eric S. Yuan, CEO von Zoom, nahmen Oded Gal, CPO bei Zoom, und Lea Kissner, ehemalige Global Lead of Privacy Technology bei Google, die Zoom in Sachen Datenschutz und Verschlüsselung berät, an der Sitzung dieser Woche teil.

An der F&A-Sitzung nahmen außerdem Brendan Ittelson, CTO bei Zoom, Max Krohn, Head of Security Engineering bei Zoom, und Lynn Haaland, Deputy General Counsel, Chief Compliance und Ethics Officer bei Zoom, teil.

Wichtigste Erkenntnisse dieser Woche

Fakten über die Verschlüsselung von Zoom

Zoom hat auf seiner Plattform Verschlüsselungstechnologie für alle Benutzer verwendet – und verwendet diese auch weiterhin.

Die AES-256-Bit-GCM-Verschlüsselung, die zu den sichersten heute verwendeten Verschlüsselungsstandards gehört, ist derzeit systemweit aktiviert und steht allen Benutzern – mit kostenlosen und kostenpflichtigen Konten – zur Verfügung. Ein paar weitere Dinge, die wir hervorgehoben haben:

  • Zoom reagiert nur auf berechtigte Anfragen von Strafverfolgungsbehörden. Wenn eine Informationsanfrage gestellt wird, folgen wir dem Grundsatz, ihr nur dann nachzukommen, wenn die Anfrage einem gültigen rechtlichen Verfahren folgt und eine angemessene Gerichtsbarkeit vorhanden ist.
  • Zoom bietet der Regierung keinen direkten und uneingeschränkten Zugang zu den Daten unserer Benutzer, und wir stellen der Regierung unsere Verschlüsselungsschlüssel nicht zur Verfügung.

Zooms Plan in Sachen Verschlüsselung

Wir kündigten am 7. Mai an, dass Zoom beabsichtigt, End-to-End-Verschlüsselung anzubieten. Wir veröffentlichten den kryptografischen Original-Entwurf am 22. Mai auf GitHub, um Feedback einzuholen. Kissener kündigte an, dass eine aktualisierte Version des Dokuments in Kürze verfügbar sein wird. E2E-Verschlüsselung ist ein wichtiges Sicherheitswerkzeug, und eine respektvolle, umfassende Umsetzung für ein Produkt wie Zoom ist noch nie zuvor erfolgt. Wir wollen die E2E-Verschlüsselung weithin verfügbar machen und suchen nach Möglichkeiten, dies sicher zu tun.

Produktaktualisierungen – Warteräume und Kennwörter

Wir haben in den vergangenen Monaten unsere Sicherheitsfunktionen verbessert, um sicherzustellen, dass unsere Benutzer die volle Kontrolle über die Plattform und ihre Meeting-Erfahrung haben. Gal diskutierte einige der Vorteile der Verwendung von Warteräumen und Kennwörtern:

Im April nahmen wir die Änderung vor, dass die Warteräume standardmäßig eingeschaltet sind und für kostenlose Basic-Konten und Konten für Schulklassen bis Stufe 13 Passwörter erforderlich sind. Bald werden wir auch verlangen, dass bei allen Meetings, die unter kostenpflichtigen Konten stattfinden, entweder der Warteraum oder Kennwörter aktiviert werden. Das Datum für die Einführung dieser Anforderung steht noch nicht fest.

Bei Meetings, die vor dem Datum des Inkrafttretens ohne Kennwort geplant wurden, sind die Warteräume standardmäßig aktiviert. Admins und Benutzer können jedoch wählen, ob sie entweder ein Kennwort, den Warteraum oder beides verlangen möchten. Wir werden in den kommenden Wochen weitere Aktualisierungen bereitstellen.

FRAGEN UND ANTWORTEN

Kann ich einen Bericht über Benutzer auf meinem Konto erhalten, die keine Kennwörter aktiviert haben?

Kunden mit mehr als 50 bezahlten Lizenzen können auf einen Bericht zugreifen, der die geplanten Meetings ihrer Organisation ohne Kennwörter anzeigt.

Müssen die Teilnehmer beim Betreten eines Meetings ein Kennwort eingeben?

Die Meeting-Kennwörter sind in die Einladungs-URL eingebettet. Wenn Sie also auf die Einladungs-URL klicken, müssen Sie kein Kennwort eingeben. Wenn Sie jedoch an einem kennwortgeschützten Meeting teilnehmen, indem Sie die Meeting-ID direkt eingeben (und nicht auf den Link klicken), müssen Sie das Kennwort manuell eingeben.

Wie funktionieren Kennwörter bei der Einwahl per Telefon?

Teilnehmer, die per Telefon beitreten, nehmen an der Sitzung mit einem kürzeren numerischen Kennwort teil, das sie über die Tastatur ihres Telefons eingeben können.

Wie funktionieren Kennwörter und Warteräume bei kostenpflichtigen Konten für Benutzer mit einem kostenlosen Konto?

Alle Teilnehmer (ganz gleich, ob sie ein kostenloses oder kostenpflichtiges Konto haben), die an einem Zoom Meeting teilnehmen, müssen die Sitzungsanforderungen des Hosts (der in diesem Fall über ein kostenpflichtiges Konto verfügt) erfüllen, zu denen ein Kennwort, ein Warteraum oder beide Funktionen gehören können.

Wann können wir mit der Multi-Faktor-Authentifizierung (MFA) bei Zoom rechnen?

Sie können MFA heute über jeden Identitätsprovider (IDP) verwenden, der einmaliges Anmelden mit SAML unterstützt.

Gilt Zoom als HIPAA-konform?

Ja, wir können medizinische Dienstleister bei der Einhaltung von HIPAA unterstützen. Wir bieten eine Reihe von Funktionen, die eine HIPAA-konforme Umgebung schaffen, darunter das Verbot von Aufzeichnungen und die Erstellung von Partnervereinbarungen (BAA). Wir haben Zoom bereits vor COVID-19 für diese Anwendungsfälle entwickelt. Kontaktieren Sie uns, damit wir Ihnen bei der Einrichtung helfen können.

Gibt es eine Möglichkeit, Webinarinhalte gegen Bildschirmaufnahme-Software zu schützen?

Zoom bietet Wasserzeichenfunktionen. Wenn Teilnehmer während der Bildschirmfreigabe Bildschirmaufnahmen machen, werden diese mit Informationen zur Identifizierung versehen, damit Sie nachverfolgen können, wer die Inhalte des Meetings weitergegeben hat. Wir bieten auch Audio-Wasserzeichen-Funktionen zum Schutz vor Shadow-Recording und zur Identifizierung von Benutzern, die möglicherweise eine Audioaufzeichnung freigegeben haben.

Wann endet der 90-Tage-Plan?

Der 90-Tage-Zeitraum endet am 1. Juli. Doch unser Engagement für Sicherheit und Datenschutz hat stets höchste Priorität und ist ein integraler Bestandteil der DNA unseres Unternehmens.

Können wir virtuelle Hintergründe auf der Konto- oder Gruppenebene kontrollieren?

Wir fügen eine Option für Admins hinzu, um zu kontrollieren, welche virtuellen Hintergründe verwendet werden. Der Admin kann vorab genehmigte Hintergründe hochladen und den Hosts/Teilnehmern erlauben, nur diese Hintergründe zu verwenden. Wir werden diese Funktion in den kommenden Wochen entwickeln.

Während Zoom „zoomt“, wie wollen Sie Ihre Kunden zufriedenstellen?

Yuan sagte, dass es letztlich auf unsere Unternehmenskultur hinausläuft, in der das Wohlergehen unserer Kunden an erster Stelle steht. Wir sind weiterhin bestrebt, die Herausforderungen der Geschäftskommunikation unserer Kunden zu lösen, und wir ergreifen auf der Grundlage von Feedback sorgfältige Maßnahmen, um unsere Kunden zu bedienen und zu unterstützen.

Vielen Dank für Ihre Unterstützung

Wir bedanken uns für Ihre Teilnahme an der Sitzung dieser Woche und danken allen, die uns ihre Fragen geschickt haben! Wir freuen uns sehr darüber, dass Sie uns bei unserem Vorhaben, Zoom zur weltweit sichersten Kommunikationsplattform für Unternehmen zu machen, unterstützen.

Sollten Sie die Sitzung diese Woche verpasst haben, können Sie sich hier eine Aufzeichnung ansehen:


Um Feedback einzureichen oder Zoom eine Frage zu stellen, senden Sie uns eine E-Mail an answers@zoom.us. Melden Sie sich gleich für das „Fragen Sie Eric“-Webinar nächste Woche an.

PDF-Version dieses Beitrags herunterladen

Vergessen Sie nicht, diesen Post zu teilen