Head of Security Engineering

Zoom startet jetzt Ende-zu-Ende-Verschlüsselung

Zoom startet jetzt Ende-zu-Ende-Verschlüsselung

Wir freuen uns, dass wir die Ende-zu-Ende-Verschlüsselung (E2EE) von Zoom ab nächste Woche als Technical Preview zur Verfügung stellen können. Das heißt, dass wir in den ersten 30 Tagen proaktiv Feedback von den Nutzern einholen werden. Zoom-Nutzer – kostenfrei und kostenpflichtig – auf der ganzen Welt können dann bis zu 200 Teilnehmer zu einem E2EE- Meeting einladen. Zoom-Meetings werden also jetzt deutlich sicherer.

Bereits im Mai haben wir angekündigt, dass wir zusätzlich zu den bereits vorhandenen modernen Verschlüsselungs- und Sicherheitsfunktionen eine Ende-zu-Ende-Verschlüsselungsoption für Meetings in unsere Plattform integrieren wollen. Wir freuen uns, jetzt Phase 1 von 4 unseres E2EE-Angebots starten zu können. Seine robusten Schutzfunktionen werden das Abfangen von Entschlüsselungsschlüsseln verhindern, die ansonsten zum Ausspähen von Meeting-Inhalten verwendet werden könnten.

Über E2EE

Zur Verdeutlichung: E2EE von Zoom nutzt die gleiche leistungsstarke GCM-Verschlüsselung, die Zoom-Meetings Ihnen bereits jetzt bieten. Der einzige Unterschied besteht darin, wo sich diese Encryption Keys befinden.

In einem typischen Meeting generiert die Zoom-Cloud die Encryption Keys und verteilt sie mit Hilfe der Zoom-Apps an die Teilnehmer, sobald sie beitreten. Bei E2EE generiert der Gastgeber die Schlüssel und verteilt diese mithilfe von Public-Key-Kryptographie an die anderen Meeting-Teilnehmer. Die Server von Zoom werden zu „blinden“ Relays (Oblivious Relays) und haben keinerlei Zugriff auf die Schlüssel, die zum Entschlüsseln der Meeting-Inhalte erforderlich sind.  

„Die Ende-zu-Ende-Verschlüsselung ist ein weiterer Schritt auf dem Weg, Zoom zur sichersten Kommunikationsplattform der Welt zu machen“, kommentiert Eric S. Yuan, CEO von Zoom. „Diese Phase unseres E2EE-Angebots bietet die gleiche Sicherheit wie andere Ende-zu-Ende-verschlüsselte Messaging-Plattformen – aber mit der Videoqualität und Skalierbarkeit, die Zoom zur bevorzugten Kommunikationslösung für Hunderte von Millionen von Menschen und die größten Unternehmen der Welt gemacht hat.“

E2EE von Zoom wird ab der kommenden Woche als Technical Preview zur Verfügung stehen. Um es nutzen zu können, müssen die Kunden E2EE-Meetings auf Kontoebene aktivieren und sich für jedes einzelne Meeting für E2EE entscheiden.

FAQ

Wie setzt Zoom die Ende-zu-Ende-Verschlüsselung um?

Das E2EE-Angebot von Zoom verwendet Public-Key-Kryptographie. Kurz gesagt, die Schlüssel für jede Zoom-Sitzung werden von den Rechnern der Teilnehmer und nicht von den Servern von Zoom generiert. Verschlüsselte Daten, die über die Server von Zoom übermittelt werden, können von Zoom nicht entschlüsselt werden, da die Server nicht über den erforderlichen Entschlüsselungsschlüssel verfügen. Diese Strategie der Schlüsselverwaltung ähnelt der, die heute von den meisten Ende-zu-Ende-verschlüsselten Messaging-Plattformen verwendet wird.

Wie kann ich E2EE einschalten?

Gastgeber können die Einstellung für E2EE auf Konto-, Gruppen- und Benutzerebene aktivieren und Meetings auf Konto- oder Gruppenebene sperren. Alle Teilnehmer müssen die Einstellung aktivieren, um an einem E2EE-Meeting teilnehmen zu können. In Phase 1 müssen alle Meeting-Teilnehmer über den Zoom-Desktop-Client, eine mobile App oder Zoom Rooms beitreten.

Wann sollte ich E2EE verwenden?

E2EE ist optimal geeignet, wenn Sie den Datenschutz für Ihre Meetings verbessern möchten. Es ist eine zusätzliche Ebene zur Risikominimierung und zum Schutz sensibler Meeting-Inhalte. Auch wenn es zusätzliche Sicherheit bietet, sind in dieser ersten Phase noch einige Zoom-Funktionen eingeschränkt (mehr dazu weiter unten). Zoom-Nutzer müssen sich daher vor der Aktivierung dieser E2EE-Version überlegen, ob sie diese Funktionen für ihr Meeting benötigen.

Habe ich Zugang zu allen Funktionen eines regulären Zoom-Meetings?

Im Moment nicht. Wenn Sie diese E2EE-Version von Zoom in Ihren Meetings aktivieren, werden bestimmte Funktionen deaktiviert, wie z. B. Eintreten vor dem Gastgeber, Cloud-Aufzeichnung, Streaming, Live-Transkription, Breakout Rooms, Abstimmungen, 1:1-Privatchat und Meeting-Reaktionen.

Haben Nutzer der kostenlosen Zoom-Version Zugang zur Ende-zu-Ende-Verschlüsselung?

Ja. Nutzer kostenfreier und kostenpflichtiger Zoom-Konten, die über den Desktop-Client, mobile Zoom-Apps oder Zoom Room beitreten, können ein E2EE-Meeting veranstalten oder daran teilnehmen.

Wie unterscheidet sich E2EE von der erweiterten GCM-Verschlüsselung von Zoom?

Zoom-Meetings und -Webinare verwenden standardmäßig AES-256-Bit-GCM-Verschlüsselung für die Übertragung von Audio- und Videoinhalten sowie gemeinsam genutzten Apps (z. B. Bildschirmfreigabe, Whiteboarding) zwischen Apps, Clients und Connectors. In einem Meeting ohne E2EE-Aktivierung werden Audio- und Videoinhalte, die zwischen den Zoom-Apps der Teilnehmer fließen, erst entschlüsselt, wenn sie die Geräte der Empfänger erreichen. Die Encryption Keys für jedes Meeting werden jedoch von den Zoom-Servern generiert und verwaltet. Bei einem Meeting mit aktivierter E2EE-Funktion hat niemand außer den einzelnen Teilnehmern – auch nicht die Server von Zoom – Zugriff auf die Encryption Keys.

Wie kann ich überprüfen, ob ein Meeting eine Ende-zu-Ende-Verschlüsselung verwendet?

Wenn ein Meeting E2EE verwendet, erscheint in der oberen linken Ecke des Meeting-Bildschirms ein Logo mit einem grünen Schild und einem Vorhängeschloss in der Mitte. Eigentlich sieht es genauso aus wie unser GCM-Verschlüsselungssymbol, es wurde lediglich das Häkchen durch ein Schloss ersetzt.

Die Teilnehmer sehen außerdem den Sicherheitscode des Meeting-Gastgebers, den sie zur Überprüfung der sicheren Verbindung verwenden können. Der Gastgeber kann in diesem Fall den Code laut vorlesen, und alle Teilnehmer können überprüfen, ob ihre Clients den gleichen Code anzeigen.

Wie werden Sie weiterhin eine sichere und geschützte Plattform bereitstellen?

Das Vertrauen und die Sicherheit unserer Nutzer hat bei Zoom oberste Priorität. Mit der Implementierung von E2EE werden wir die Sicherheit auf unserer Plattform weiter verbessern. Free/Basic-Nutzer, die E2EE einsetzen wollen, müssen sich jedoch einmalig verifizieren. Dabei werden sie aufgefordert, zusätzliche Informationen anzugeben, wie z. B. eine Telefonnummer, die dann per SMS verifiziert wird. So ähnlich machen das auch andere führende Unternehmen, um die massenhafte Einrichtung missbräuchlicher Konten zu vermeiden. Wir sind zuversichtlich, dass wir durch die Einführung einer risikobasierten Authentifizierung in Kombination mit unserem derzeitigen Instrumentarium – einschließlich unserer Kooperation mit Menschenrechts- und Kindersicherheitsorganisationen und der Möglichkeit unserer Nutzer, ein Meeting zu sperren, Missbrauch zu melden und einer Vielzahl anderer Funktionen, die im Rahmen unseres Sicherheitskonzepts zur Verfügung gestellt werden, die Sicherheit unserer Nutzer weiter verbessern können.

Wie sieht der weitere Zeitplan für E2EE aus?

Wir planen die Einführung eines besseren Identitätsmanagements und die Integration von E2EE SSO als Teil der Phase 2, die vorläufig für 2021 geplant ist. 

Wenn Sie mehr über den Einsatz der Ende-zu-Ende-Verschlüsselung und anderer Sicherheitsfunktionen für Ihre Zoom-Meetings erfahren möchten, besuchen Sie unsere Seite zum Thema Sicherheit.

Vergessen Sie nicht, diesen Post zu teilen