„To Zoom or not to Zoom“, das ist hier die Frage…

Die COVID19-Situation hat Webmeetings endgültig populär gemacht. Ja sogar essentiell. Einer der kontroversiellsten Anbieter ist wohl Zoom. Seitens Funktionalität und Usability ein Traum? Seitens Datenschutz und Datensicherheit ein Albtraum? Warum das ZOOM-Image gerade leidet und wie Sie Zoom vielleicht doch nutzen können.

Die COVID19 Situation hat in vielen Unternehmen „über Nacht“ Telearbeit und Homeoffice zwangseingeführt. Was damit einhergeht: Unternehmen die noch keine Lösung für virtuelle Kollaboration, Video-Meetings und ähnliches hatten, sind unter Zugwang geraten. Anbieter gibt es viele.

• Die alteingesessenen Platzhirschen wie GoToMeeting, WebEx, Adobe Connect oder Microsoft Teams / Skype.
• Die Kollaborativen wie Google Hangouts, Miroboard, Mural u.a.
• Die Nischenplayer wie Mikogo, join.me u.a.
• Und da wäre noch ZOOM

Zoom – Traum oder Albtraum?

Das spannende an Zoom ist, dass sich hier die Geister extrem scheiden und bei vielen Unternehmen eine stark abweichende Meinung besteht. Fakt ist: Die Nutzerzahl hat im Dezember 2019 nach Internetangaben 10 Millionen Nutzerinnen und Nutzer betragen, im März 2020 waren es bereits 200 Millionen Nutzerinnen und Nutzer. Man kommt an diesem Anbieter derzeit medial nicht vorbei. Und die Diskussion ist kontrovers.

Die Vorteile

Wir bei vieconsult nutzen Online-Meetings seit jeher intensiv, seit COVID19 vielfach ausschließlich um Meetings durchzuführen und Workshops abzuhalten. ZOOM bietet dabei einige echte Vorteile. Hier nur meine Top 3 – neben allen Standardfeatures anhand derartige Tools sich nicht unterscheiden:

1. Viele Funktionen, die man für virtuelle Workshops benötigt wie bspw. virtuelle Break Out Groups, Whiteboard, Abfragemöglichkeiten etc.
2. Einfache Usability und starke Performance: Ich hatte in gefühlten 100 ZOOM-Meetings noch nie Verbindungsschwierigkeiten und auch unerfahrene NutzerInnen finden sich rasch zurecht.
3. Schnittstellen bzw. angekündigte Integration in andere Applikationen wie bspw. Miroboard.

Die Nachteile

Wo Licht da auch Schatten. Dieser scheint aber in gewissen ZOOM Aspekten pechschwarz zu sein. Denn wenn man auch hier verlässlichen Internetquellen (bspw. Artikel der Wiener Zeitung oder auf Heise online) trauen darf scheint sich ZOOM einiges an Faux pas geleistet zu haben. Auch hier nur meine Top 3:

1. Datensicherheit technisch: ZOOM vermisst einiges was bei anderen Tools Standard ist (bspw. eine solide End-2-End Verschlüsselung – mit der aber wider der Realität Werbung gemacht wurde). Unter anderem haben offene Zugangslinks ohne Passwortschutz haben auch zum Phänomen des „ZOOM-Bombing“ geführt, dem „Hochzeits-Crashen“ eines Meetings um Spaß-, Hass- oder Pornographische Botschaften zu verbreiten. Dazu gibt es sogar eine offizielle Warnung des FBI.
2. Datenschutz – rechtlich gesehen: Es ist ein amerikanischer Anbieter (aber das sind die meisten), der es aber scheinbar tlw. nicht genau zu nehmen scheint. So wurde wiederholt von automatischer Datenweitergabe von Benutzerdaten an bspw. Facebook berichtet. Auch sind die Daten anderer BenutzerInnen tlw. einsehbar (Details bspw. hier). Zoom sammelt im Hintergrund auch Videos, Transkripte und geteilte Notizen von Ihren Videochats und nutzt diese für Werbezwecke. Das steht zwar so auch in deren Datenschutzbestimmungen, dürfte den meisten NutzerInnen aber trotzdem nicht bekannt sein
3. Datenschutz – Funktionalitäten: Im Zentrum der Diskussion stehen häufig auch technische Aspekte des Datenschutzes. So bspw. beinhaltet(e) ZOOM Funktionen, die eine Kontrolle und Überwachung der TeilnehmerInnen erlauben („Attention Tracking“ – Details bspw. hier). Dieses Feature wurde aber angeblich bereits tlw. deaktiviert (Details bspw. hier).

Soweit so gut. ZOOM hat scheinbar Besserung gelobt und sich selber einen 90-Tage Plan gegeben um Sicherheitsthemen nachzuziehen. Dies kann auf deren Webseite nachvollzogen werden. Überprüfbar ist es für Laien wohl nicht.

Nutzen oder nicht nutzen?

Die Entscheidung muss im privaten Bereich wohl jeder selber treffen und im Corporate-Bereich die entsprechenden ExpertInnen der IT- und Rechtsabteilungen. Ich maße mir hier keine allgemein gültige Meinung an. Ich möchte aber ein paar klare Empfehlungen aussprechen.

• Die technische Basis: Die meisten der angemerkten Sicherheitsaspekte auf Ebene von Verschlüsselung etc. sind scheinbar fundamental. Entsprechend ist es ein „take it or leave it“ scenario. Hier kann man wohl nur darauf verweisen bei Nachbesserung durch Zoom auf Berichte aus Fachmedien oder Kommentare anerkannte ExpertInnen zu vertrauen und darf gespannt die Berichte auf der ZOOM Webseite dazu verfolgen.
• Neueste Version: Um von den versprochenen Sicherheitsupdates zu profitieren sollte man kann stets die neuerste (hoffentlich nachgebesserte Version) verwenden.
• Art der Nutzung: Wer ein paar der Probleme umgehen möchte, nutzt Zoom nur im Browser. Dies ist v.a. für TeilnehmerInnen gut möglich. Damit vermeidet man versteckte Installationen auf seinem PC. Die Nutzung per Browser ist möglich, wird aber nicht stark beworben und mutet fast „versteckt“ an.
• Die Alltagssicherheit erhöhen: Ich spreche hier nicht von der technischen Sicherheit per se, sondern von der praktischen Sicherheit, die jeder von uns beeinflussen kann:
  • Generieren Sie immer ZOOM-Meetings mit einer zufälligen Meeting-ID und nutzen Sie nicht dieselbe ID wiederholt.
  • Nutzen Sie für Ihre ZOOM-Meetings ein Passwort. Ein GUTES Passwort. Ich würde dies auch nicht per Email sondern optimalerweise über ein zweites Medium (bspw. SMS) übertragen.
  • Deaktivieren Sie die Funktion „Betreten vor Organisator“. Richten Sie für Ihre ZOOM-Meetings ein virtuelles Wartezimmer ein. Sie lassen dann als ModeratorIn TeilnehmerInnen in das Meeting. Unerwünschte werden abgefangen.
  • Sperren Sie Ihr Meeting wenn alle TeilnehmerInnen online sind.
  • Sperren Sie die Funktion des freien Bildschirm-Teilens.
  • Posten Sie niemals Zugangslinks zu Meetings irgendwo online. Denn Aufmerksamkeit ist immer ein Sicherheitsrisiko. Als prominentes Negativbeispiel: Boris Johnson hat ein Foto eines ZOOM-Meetings seines Kabinetts geposte, bei dem die Meeting-ID sichtbar war (Details bspw. hier).
• Dem Datenschutz auch auf anderen Ebenen Vorrang geben:
  • Potentiell riskante Funktionen deaktivieren: Funktionen wie etwa die automatische Aufzeichnung des Meetings, die Möglichkeit für lokale Aufzeichnungen durch TeilnehmerInnen, Attention Tracking, private Chats und File-Sharing sollten vor Beginn abgestellt werden. Denn bspw. die Chat-Protokolle werden damit zur neuen Datenquelle für DSGVO-Probleme.
  • Aufnahmen: Nehmen Sie ZOOM-Meetings generell nur dann auf Video auf, wenn alle TeilnehmerInnen zugestimmt haben. Ich persönlich würde davon bis auf wenige Umstände allerdings sogar generell abraten.

Puh…da kommt einiges Zusammen. Und oben drauf muss man noch sagen, dass eine Videokonferenz auch nur so sicher wie ihre IT-Umgebung. Das heißt, dass sowohl die benutzten Endgeräte als auch die Leitung zur Konferenz selbst durch geeignete Maßnahmen abgesichert sein müssen.

Mein Praxis-Fazit

Aus der eigenen Praxis heraus würde ich ZOOM nicht nutzen wo es um DSGVO-seitig Daten erhöhten Schutzniveaus geht (bspw. Diskussion von Diagnosen in einer Gesundheitseinrichtung zwischen Ärzten), sensible oder sogar geheime Informationen oder Zielgruppen mit erhöhtem Schutzbedarf (bspw. Jugendlichen).

Ich selbst setze ZOOM dort ein wo es um allgemeine Meetings ohne erhöhtes Schutzniveau geht (bspw. Teammeeting, Workshop zu allgemeine  Themen). Denn dort erscheint mir vielfach das Risiko (bspw. meine Emailadresse, die ohnehin auf meiner Firmenwebseite und auf LinkedIn öffentlich einsehbar ist, wird ggf. für Werbezwecke weitergegeben) vertretbar. Aber immer unter Berücksichtigung der oben gegebenen Empfehlungen und dem Bewusstsein, dass immer Restrisiken bestehen.

In jedem Fall gilt: Beim Einsatz im Unternehmensumfeld die Voraussetzungen mit der jeweiligen IT-Abteilung zu klären und bei Privatpersonen vorab eine transparente Information über die Vor/Nachteile von ZOOM zu geben.