US-Handelsaufsicht verlangt Sicherheitsverbesserungen bei Videokonferenzanbieter Zoom
Über mehrere Jahre hinweg warb der Videokonferenzdienst Zoom mit falschen Angaben zur Sicherheit seines Dienstes
Zoom bietet seine Software für Videokonferenzen seit Jahren an, im Zuge der weltweiten Corona-Pandemie gingen die Nutzerzahlen im Frühjahr dann aber regelrecht durch die Decke. Die verstärkte Aufmerksamkeit hatte IT-Experten auf den Plan gerufen und für Kritik an den Datenschutzpraktiken des Unternehmens gesorgt.
Eine entsprechende Beschwerde vor der US-Handelsaufsicht FTC (Federal Trade Commission) führte nun zu einem Vergleich. Bei diesem verpflichtet sich Zoom, die Sicherheit des Videokonferenzdienstes zu erhöhen und falsche Angaben zu Datenschutz und Sicherheit des Dienstes zu unterlassen. Eine Strafzahlung oder eine Entschädigung für Unternehmen und Personen, die den Dienst verwenden, soll es hingegen nicht geben.
Seit mindestens 2016 hat Zoom mit einer Ende-zu-Ende-Verschlüsselung geworben, die es jedoch schlicht nicht gab. „Die irreführenden Behauptungen von Zoom vermittelten den Nutzern ein falsches Gefühl der Sicherheit, insbesondere denjenigen, die die Plattform des Unternehmens nutzten, um sensible Themen wie Gesundheits- und Finanzinformationen zu diskutieren“, schreibt die FTC in einer Presseerklärung.
Irreführend seien auch Angaben zur Speicherung der Videodaten auf Zooms Servern gewesen, wo sie bis zu 60 Tage unverschlüsselt gelegen hätten, bevor sie in sicheren Cloud-Speicher verschoben worden seien.
Auch die Installation eines Webservers durch die Zoom-Software wird kritisiert. Dieser ließ sich nicht deinstallieren und konnte über eine präparierte Webseite von Dritten dazu genutzt werden, auf die Webcam der betroffenen Rechner zuzugreifen.
Pflicht zu Sicherheitsverbesserungen statt Strafe
Trotz der Vorwürfe muss Zoom jedoch keine Strafe zahlen. Vielmehr ist das Unternehmen dazu verpflichtet worden, eine jährliche Sicherheitsüberprüfung durchzuführen und ein Schwachstellenmanagementprogramm zu implementieren. Außerdem sollen Nutzer besser geschützt werden, etwa durch Mehrfaktorauthentifzierung der Accounts. Falsche Versprechungen zum Datenschutz und der Sicherheit der Software sind ebenfalls untersagt.
