90-Tage-Sicherheitsplan Fortschrittsbericht: 20. Mai

90-Tage-Sicherheitsplan Fortschrittsbericht: 20. Mai

Während wir weiter an unserem 90-Tage-Plan zur Verbesserung von Sicherheit und Datenschutz auf unserer Plattform arbeiten, konzentrierte sich unser „Fragen Sie Eric“-Webinar diese Woche auf die Sicherheit von Meetings, die FedRAMP-Autorisierung von Zoom Phone und das Zoom Prämienprogramm für gefundene Sicherheitslücken (Bug Bounty Program).

Unterstützt wurde Zoom CEO Eric S. Yuan diese Woche von Zoom CPO Oded Gal, Lynn Haaland, Deputy General Counsel, Chief Compliance and Ethics Officer, sowie Katie Moussouris, Gründerin und CEO von Luta Security. Zoom CTO Brendan Ittelson und Lea Kissner, die früher bei Google die globale Leitung der Datenschutztechnologie verantwortete und Zoom in Datenschutz- und Verschlüsselungsfragen berät, waren bei der Q&A-Sitzung dabei.

Aktualisierungen der vergangenen Woche und Pläne für die nächsten Wochen:

Wichtigste Erkenntnisse dieser Woche

FedRAMP Autorisierung für Zoom Phone genehmigt

Wir haben heute bekanntgegeben, dass die Autorisierung von Zoom Phone  nach dem US-amerikanischen FedRAMP genehmigt wurde. Dank dieser Autorisierung können US-amerikanische Bundesbehörden und Auftragnehmer nun Zoom Phone im Rahmen unseres vorhandenen, breiteren Angebots „Zoom für Behörden“ nutzen. Zoom für Behörden bietet US-amerikanischen Regierungsbehörden eine vollumfängliche Zoom UCaaS-Plattform, einschließlich Zoom-Meetings und Chat, Zoom Videowebinaren, Konferenzraumlösungen und nun auch Zoom Phone.

Sicherheit von Meetings

Lynn Haaland sprach darüber, was Zoom in den letzten paar Monaten unternommen hat, um zu verhindern, dass Meetings von böswilligen Akteuren gestört werden. Dazu gehört das Hinzufügen von standardmäßigen Sicherheitseinstellungen wie Kennwörter und Warteraum für bestimmte Benutzer, die Verlegung der Bedienelemente für die Sicherheit während Meetings auf die Oberfläche in einem Sicherheitssymbol, das Hinzufügen von Meldemechanismen, die enge Zusammenarbeit mit den Strafverfolgungsbehörden und anderen Online-Plattformen sowie die Aufklärung der Benutzer über bewährte Sicherheitsmethoden.

Lynn unterstrich erneut die folgenden Tipps zur Sicherung Ihrer Zoom-Meetings:

  • Geben Sie Ihre Meeting-ID und/oder Ihre Kennwörter nicht öffentlich frei.
  • Lassen Sie die standardmäßigen Sicherheitseinstellungen angeschaltet – dazu gehören Warteräume, Kennwörter und eingeschränkte Bildschirmfreigabe.
  • Machen Sie sich mit Ihren Datenschutz- und Sicherheitsfunktionen als Host vertraut, wie Video ausschalten, Teilnehmer stummschalten, Teilnehmer entfernen und Meeting sperren.
  • Nutzen Sie Meeting-Registrierung.

Lynn erklärte, dass Zoom-Meetings nicht für groß angelegte oder öffentliche Events konzipiert sind, bei denen Einladungen im Internet veröffentlicht werden. Wir empfehlen dringend, dass Sie stattdessen Zoom Videowebinare nutzen, die Ihnen größere Kontrolle über Ihr Publikum und das Erlebnis selbst geben. Finden Sie ausführlichere Informationen zu Meeting und Webinar im Vergleich auf unserer Support-Seite.

Das Zoom Prämienprogramm für gefundene Sicherheitslücken (Bug-Bounty-Program)

Katie Moussouris, die Gründerin und CEO von Luta Security und Sicherheitsberaterin von Zoom, sprach darüber, wie das Bug Bounty Program von Zoom funktioniert. Sie erklärte, dass es ein Crowdsourcing-Modell nutzt, das darauf angewiesen ist, dass alle Beteiligten, einschließlich Sicherheitsforscher, Fehler finden und melden. Sie bemerkte außerdem, dass Zoom Feedback zur Optimierung des Programms von der weiteren Community sammelt, bevor irgendwelche Änderungen am Bug Bounty Program vorgenommen werden.

Erinnerung für Zoom 5.0

Zoom 5.0 ist seit 27. April für die Öffentlichkeit verfügbar und eine systemweite Kontenaktivierung der AES 256-Bit-GCM-Verschlüsselung wird am 30. Mai 2020 durchgeführt. Ab diesem Tag können nur noch Zoom-Clients mit mindestens Version 5.0, sowie Zoom Rooms an Zoom-Meetings teilnehmen. Wir bitten alle Benutzer, noch heute ein Update auf Zoom 5.0 oder höher durchzuführen, falls dies noch nicht geschehen ist. Zoom-Admins erhalten auf unserer IT-Administratoren-Seite mehr Informationen über die Verwaltung dieses Updates in ihrer Umgebung. Auf zoom.us/testgcm können die Benutzer die GCM-Verschlüsselung testen.

Entwurf für End-to-End-Verschlüsselungsdesign kommt am Freitag

Wir werden einen ausführlichen Entwurf für das kryptografische Design für unser End-to-End-Verschlüsselungsangebot diesen Freitag auf GitHub veröffentlichen. Wir werden Diskussionen mit Kryptografie-Experten, Kunden, Interessengruppen und anderen veranstalten, um Feedback für die Bewertung des endgültigen Designs zu sammeln.

Fragen und Antworten

Nachstehend finden Sie einige Fragen der Webinar-Teilnehmer, die diese Woche live angesprochen wurden:

Wie meldet man eine Sicherheitslücke?

Gehen Sie zu zoom.us/security oder senden Sie eine E-Mail an security@zoom.us.

Wenn kann ich den Zoom 5.0 Client herunterladen, wenn ich ein Chromebook benutze?

Chromebook-Benutzer können die Zoom Chromebook-Anwendung vom Google App Store herunterladen oder den Zoom Web-Client benutzen, der immer auf dem neuesten Stand ist.

Werden Konto-Admins benachrichtigt, wenn ein Benutzer an Zoom gemeldet wurde?

Wenn ein Host oder Co-Host die Funktion einen Benutzer melden verwendet, um einen Meetingteilnehmer zu melden, wird ein Bericht an das Vertrauens- und Sicherheitsteam von Zoom gesendet. Wir planen allerdings in Zukunft die Konto-Admins für bestimme Konten zu benachrichtigen, wenn einer ihrer Benutzer in gewissen Situationen gemeldet wird.

Kann jemand anderes als der Host Meetings aufzeichnen?

Der Host kann einem anderen Teilnehmer Zugriff für Aufzeichnungen gewähren, aber niemand kann eine Zoom-Aufzeichnung ohne die Zustimmung des Hosts starten.

Können Sie genauere Angaben zum End-to-End-Verschlüsselung-Designentwurf vom 22. Mai geben?

Der Entwurf, der am 22. Mai veröffentlicht wird, gibt Aufschluss darüber, wie unser Plan und Design für den Aufbau eines verschlüsselten Videodienstes aussieht. Dieser Entwurf wird keinen tatsächlichen Code enthalten. Wir wollen Feedback sammeln und bewerten, bevor wir unser End-to-End-Verschlüsselungsangebot entwickeln.

Gibt es Pläne die Funktion privater Chat mit einem Benutzer im Warteraum zuzulassen, um leichter seine Identität überprüfen zu können?

Oded sagte, dies sei eine der meist verlangten Verbesserungen und sie sei bereits auf unserem Fahrplan.

Warum wurde Alle stummschalten entfernt und gibt es Pläne, diese Funktion wiederzubeleben?

Wir haben Alle stummschalten von der Benutzeroberfläche entfernt, weil Hosts damit Teilnehmer ohne deren Zustimmung stummschalten konnten. Wir werden diese Funktion in der Zukunft wiederherstellen. Hosts werden jedoch die Zustimmung eines Teilnehmers einholen müssen, bevor sie dessen Stummschaltung während eines Meetings aufheben.

Vielen Dank für Ihre Unterstützung

Wir bedanken uns für Ihre Teilnahme an der Sitzung dieser Woche und danken allen, die uns ihre Fragen geschickt haben! Wir freuen uns sehr darüber, dass Sie uns bei unserem Vorhaben, Zoom zur weltweit sichersten Kommunikationsplattform für Unternehmen zu machen, unterstützen.

Sollten Sie die Sitzung diese Woche verpasst haben, können Sie sich hier eine Aufzeichnung ansehen:

Um Feedback einzureichen oder Zoom eine Frage zu stellen, senden Sie uns via answers@zoom.us eine E-Mail. Melden Sie sich gleich für das „Fragen Sie Eric“-Webinar nächste Woche an.

Vergessen Sie nicht, diesen Post zu teilen