CEO-Bericht: Nach 90 Tagen – was steht jetzt bei Zoom an?

CEO-Bericht: Nach 90 Tagen – was steht jetzt bei Zoom an?

In den ersten Monaten dieses Jahres hat das Zoom Team rund um die Uhr gearbeitet, um den immensen Zustrom neuer und verschiedener Benutzer auf unserer Plattform zu unterstützen. Die plötzlichen und erhöhten Anforderungen an unsere Systeme waren ungleich allem, was Unternehmen zuvor erlebt hatten. Ende März stellten wir fest, dass unsere wichtigste Aufgabe, Hunderten von Millionen täglicher Meeting-Teilnehmer eine reibungslose Videokommunikation zu ermöglichen, um einen ebenso wichtigen Schwerpunkt zu Sicherheit und Datenschutz erweitert werden musste. An diesen Bereichen mussten wir noch mehr arbeiten. 

Am 1. April 2020 verpflichteten wir uns dazu, eine Reihe von Verbesserungen vorzunehmen, um Sicherheit und Datenschutz zu gewährleisten. In unserem 90-Tage-Programm richtete sich unser Unternehmen an sieben Verpflichtungen neu aus. Diese sollten Sicherheit und Datenschutz endgültig in der DNA von Zoom verankern. Heute will ich Ihnen mitteilen, wie weit wir mit den einzelnen Verpflichtungen gekommen sind, und Ihnen einen Ausblick auf die Zukunft geben. 

Verpflichtung 1: Ab dem 1. April entwickeln wir keine neuen Funktionen mehr und alle unsere Entwicklungsressourcen konzentrieren sich auf unsere größten Probleme im Bereich Vertrauen, Sicherheit und Datenschutz.

Status: 90 Tage lang entwickelten wir keine neuen Funktionen mehr, die nicht mit Datenschutz und Sicherheit zu tun haben. Seit alle unsere Entwicklungs- und Produktressourcen auf diese Ziele ausgerichtet sind, haben wir über 100 Funktionen veröffentlicht, darunter:

  • Zoom 5.0
    • AES 256-Bit-GCM-Verschlüsselung für alle Meetings aktiviert (verfügbar für alle Benutzer, kostenlose wie kostenpflichtige Konten) Weitere Informationen finden Sie unter https://support.zoom.us/hc/de/articles/360043555772
    • Aktualisierungen der Benutzeroberfläche: Sicherheitssymbol, grüner Verschlüsselungsschild mit Klick zum Standort des Rechenzentrums
    • Einen Benutzer melden
    • Standardeinstellungen für Meetings: Kenncode, Warteraum und eingeschränkte Bildschirmfreigabe
    • Weitere Funktionen: Deaktivierung der Anmeldung über mehrere Geräte durch den Host, Zustimmung zur Deaktivierung der Stummschaltung, Ablauf der Cloud-Aufzeichnung, strengere Kontrollen für den Zoom Chat und mehr
  • Übernahme von Keybase und Aufbau der End-to-End-Verschlüsselung (für alle Benutzer, kostenlose und kostenpflichtige Konten)
  • Angebot des individuellen Daten-Routing nach Region

Für die Zukunft haben wir Mechanismen eingerichtet, um sicherzustellen, dass Sicherheit und Datenschutz bei jeder Phase unserer Produkt- und Funktionsentwicklung weiterhin oberste Priorität haben:

  • Designphase: Sicherheitsanforderungen, Risikobewertung, Gefahrenmodellierung 
  • Entwicklung: Richtlinien für sicheren Code, Selbstbedienungs-Scans, CI-/CD-Tools
  • Test: Sicherheitstests, automatische Testausführung, Webtest-Tools
  • Staging: Sichere Konfiguration, Überwachung der Integrität, Überprüfung der Anforderungen
  • Produktion: Überwachung der Sicherheit unseres Systems, Systemzustand, Bedrohungslage 

Verpflichtung 2: Durchführung einer umfassenden Überprüfung mit Fachleuten von Drittanbietern und repräsentativen Benutzern, um die Sicherheit und den Datenschutz für alle neuen Anwendungsfälle zu verstehen und sicherzustellen.

Status: Wir haben mit Fachleuten von Drittanbietern zusammengearbeitet, um unsere Produkte, Praktiken und Richtlinien zu überprüfen und zu verbessern, darunter mit unserem CISO-Beratungsgremium Lea Kissner, Alex Stamos, Luta Security, Bishop Fox, Trail of Bits, NCC Group, Praetorian, Crowdstrike, Center for Democracy and Technology und anderen Organisationen aus den Bereichen Datenschutz, Sicherheit und Inklusion. Jeder auf dieser Liste hat außergewöhnliche Beiträge geleistet und wir sind dankbar für die Hilfe aller. 

Verpflichtung 3: Erstellung eines Transparenzberichts, der Informationen über die Abfrage von Daten, Aufzeichnungen oder Inhalten aufführt.

Status: Wir haben erhebliche Fortschritte bei der Definition des Rahmenwerks und Ansatzes für den Transparenzbericht gemacht, der Informationen zu an Zoom gerichtete Anfragen nach Daten, Aufzeichnungen oder Inhalten aufführt. Wir freuen uns darauf, die Finanzdaten für das zweite Quartal im Laufe dieses Jahres in einem ersten Bericht zu veröffentlichen. In der Zwischenzeit haben wir kürzlich einen Leitfaden dazu entwickelt, wie wir auf Regierungsanfragen reagieren. Wir haben außerdem unsere Datenschutzrichtlinien aktualisiert, um sie leichter verständlich zu machen und eine separate Datenschutzrechtserklärung für Kalifornien hinzugefügt. Sie finden diese Dokumente unter zoom.com/privacy-and-legal.

Verpflichtung 4: Verbesserung unseres Programms zur Fehlersuche.

Status: Wir haben eine zentrale Fehlerdatenbank und damit verbundene Arbeitsabläufe entwickelt. Diese Datenbank nimmt Berichte zu Sicherheitsrisiken von HackerOne, Bugcrowd und security@zoom.us (letzteres erfordert keine Geheimhaltungsvereinbarung) auf, die durch Praetorian vorselektiert wurden. Wir haben einen fortlaufenden Prüfungsprozess mit täglichen Meetings eingeführt und unsere Koordination mit Sicherheitsforschern und Gutachtern von Drittanbietern verbessert. Außerdem haben wir einen Head of Vulnerability and Bug Bounty sowie mehrere zusätzliche Entwickler für die Sicherheit von Apps eingestellt und werben momentan weitere Sicherheitsingenieure an, die sich speziell mit Sicherheitsrisiken beschäftigen werden. Unterdessen konzentrieren wir uns darauf, unsere Reaktionszeiten zu verbessern. Insgesamt läuft unser Fehlersuchprozess stabil und wird noch stärker, wenn wir unsere Einstellungsziele erreichen. Wir sind dankbar für die Hilfe, die Luta Security in diesem Prozess geleistet hat.

Verpflichtung 5: Gründung eines CISO-Rats zusammen mit führenden CISOs aus der gesamten Branche, um einen fortlaufenden Dialog bezüglich bewährter Praktiken zu Sicherheit und Datenschutz zu ermöglichen.

Status: Wir haben unseren CISO-Rat ins Leben gerufen, der aus 36 CISOs aus einer Reihe von Branchen besteht, darunter SentinelOne, Arizona State University, HSBC und Sanofi. Dieser Rat, der von unserem Deputy CIO Gary Sorrentino geleitet wird, ist in den letzten drei Monaten vier Mal zusammengetreten und hat uns in wichtigen Fragen wie der Auswahl regionaler Rechenzentren, Verschlüsselung, Authentifizierung von Meetings sowie Funktionen wie „einen Benutzer melden“, Kenncodes und Warteräume beraten. Der Rat hat sich als derartig erfolgreich erwiesen, dass wir dieses Programm mit runden Tischen für CISO weiterführen werden. Dabei handelt es sich um interaktive Gesprächsrunden zwischen CISO-Kunden und Führungskräften aus unserem Sicherheitsteam, durch die die Maßnahmen, die Zoom zur Gewährleistung von Sicherheit und Datenschutz auf unserer Plattform unternommen hat und in Zukunft ergreifen wird, verständlich gemacht werden sollen. Interessierte CISOs und CIOs können ihren Zoom Kontenbetreuer um weitere Informationen bitten.  

Verpflichtung 6: Durchführung einer Reihe gleichzeitiger Whitebox-Penetratrionstests, um Probleme auch in Zukunft zu identifizieren und zu lösen.

Status: Zoom hat mehrere Firmen –Trail of Bits, NCC Group und Bishop Fox – mit der Überprüfung unser gesamten Plattform beauftragt. Zum Auftragsumfang gehörten:

  • Die Zoom Produktionsumgebung, öffentliche und externe Rechenzentren: 
    • Cloud-Konfiguration
    • Externe IP-Adressbereiche
    • Internes Produktsionsnetzwerk
  • Zoom Kern-Webanwendungen und Zoom Unternehmensnetzwerk:
    • Internes Netzwerk
    • Externe Perimeter
  • Öffentliche API für übliche Clients
    • Mobile Clients
    • Desktop-Clients

Zoom verpflichtet sich zu laufenden Penetrationstests durch unabhängige Dritte als Grundlage für sein Sicherheitsprogramm. 

Verpflichtung 7: Veranstaltung eines wöchentlichen Webinars am Mittwoch, um unserer Community zum Thema Datenschutz und Sicherheit auf den neuesten Stand zu bringen.

Status: Einschließlich des heutigen Webinars haben wir seit dem 1. April jeden Mittwoch insgesamt 13 wöchentliche Webinare veranstaltet. An diesen virtuellen Events nahmen einige unserer leitenden Angestellten und Berater teil, die live Fragen von Teilnehmern beantworteten. Außerdem veröffentlichten wir jeden Mittwoch auf unserem Blog eine Zusammenfassung und Aufzeichnung der Webinare. Wir werden diese Webinare fortsetzen, das nächste findet am 15. Juli statt, und dann zu einem monatlichen Veranstaltungsrhythmus übergehen. 

Weitere wichtige Aktualisierungen

Wir haben ein paar weitere erwähnenswerte Schritte unternommen:

  • Seit 1. April haben wir mehrere neue Führungskräfte gewonnen oder personelle Veränderungen auf der obersten Führungsebene durchgeführt: 
    • Velchamy Sankarlingam, President of Product and Engineering 
    • Jason Lee, Chief Information Security Officer
    • Damien Hooper-Campbell, Chief Diversity Officer
    • Aparna Bawa wurde zum Chief Operating Officer ernannt und hat die Aufsicht über die Sicherheitsanstrengungen von Zoom übernommen
    • Lynn Haaland, Deputy General Counsel und Chief Compliance and Ethics Officer wurde außerdem zum Chief Privacy Officer ernannt
    • H.R. McMaster wurde in den Zoom Vorstand berufen
    • Josh Kallmer, Global Head of Public Policy and Government Relations 
    • Ginny Lee, Associate General Counsel, Privacy 
    • Mara Davis, Associate General Counsel, Compliance & Ethics
    • Head of Vulnerability and Bug Bounty, ab 13. Juli
    • Andy Grant, Head of Offensive Security, ab 13. Juli
  • Zoom Phone wurde zu Zoom für Behörden hinzugefügt, das bereits unter dem U.S. Federal Risk and Authorization Management Program (FedRAMP) autorisiert wurde
  • Wir sind weiterhin fest entschlossen, unser Ingenieursteam in den USA deutlich zu vergrößern, um durch unsere neuen Niederlassungen in Phoenix, Arizona und Pittsburgh, Pennsylvania, die verstärkte Nutzung von Zoom zu unterstützen

Wie geht es jetzt weiter?

Während dieser Zeit kam es zu bedeutenden Änderungen in unserem Unternehmen, wodurch Sicherheit und Datenschutz auf unserer Plattform in den Mittelpunkt all unserer Bemühungen gerückt wurden, damit wir das Vertrauen, das unsere Kunden in uns setzen, auch verdienen. Ich bin stolz und überwältigt angesichts der Rolle, die Zoom dabei gespielt hat, die Welt während dieser Krise zu verbinden, und angesichts dessen, was unser Team in den letzten 90 Tagen geleistet hat, um unsere Plattform sicherer zu machen. 

Aber wir können und werden hier nicht aufhören. Datenschutz und Sicherheit gehören für Zoom zu den langfristigen Prioritäten, sodass dieser 90-Tage-Plan, auch wenn er fruchtbar war, nur ein erster Schritt sein kann. In diesem Bericht habe ich Sie über neue Prozesse und Personen informiert, die uns bei unserem Vorhaben, die reibungsloseste und sicherste Videokommunikationsplattform auf der Welt zu werden, unterstützen.

Wir danken Ihnen, unseren Benutzern, für Ihre Unterstützung, Ihre Geduld und Ihr Vertrauen. Zu den Kernwerten unseres Unternehmens gehört es, sich um andere zu kümmern und wir hoffen, dass wir dies durch unsere Taten in den letzten 90 Tagen bewiesen haben. Auch mit unseren künftigen Taten werden wir dies demonstrieren.

Laden Sie ein PDF mit einer Zusammenfassung unserer wichtigsten Aktualisierungen herunter

Vergessen Sie nicht, diesen Post zu teilen