Datenschutz: Cisco Webex telefonierte selbst stummgeschaltet nach Hause

Ciscos Videokonferenzsystem erfasste auch bei deaktiviertem Mikrofon Telemetriedaten, die auf Aktivitäten schließen ließen. Das ist inzwischen behoben.

Lesezeit: 4 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 40 Beiträge

(Bild: vichie81 / Shutterstock.com)

Von
  • Stefan Krempl

Das vermeintliche Stummschalten häufig genutzter Videokonferenz-Software führt nicht dazu, dass die Mikrofone der Geräte tatsächlich deaktiviert werden. Die Programme haben vielmehr weiter die Möglichkeit, auf Audiodaten zuzugreifen – und machen davon teils auch Gebrauch. Dies haben US-Wissenschaftler der Loyola-Universität in Chicago sowie der University of Wisconsin-Madison herausgefunden.

Die Forscher haben die 21-seitigen Ergebnisse ihrer Analyse jetzt in einem Aufsatz für einen Sammelband zu einer Konferenz zu "Datenschutz durch Technik" veröffentlicht. Sie untersuchten demnach unter anderem die Lösungen Zoom in der Enterprise-Version, Slack, Teams und Skype von Microsoft, Cisco Webex, Google Meet, BlueJeans, WhereBy, GoToMeeting, Jitsi Meet und Discord.

Die meisten dieser Anwendungen lösten bei den Experten nur begrenzte oder theoretische Datenschutzbedenken aus. Sie fanden prinzipiell heraus, dass alle diese gerade während der Corona-Pandemie oft nur schwer zu umgehenden Systeme die Option haben, Audio aufzunehmen, auch wenn das Mikrofon auf "Mute" gestellt ist. Nur bei einer App stellen sie aber fest, dass diese damit auch Messungen von Audiosignalen durchführt.

"Wir entdeckten, dass alle Anwendungen in unserer Studie das Mikrofon aktiv abfragen (d. h. rohe Audiosignale abrufen) konnten, wenn der Benutzer stummgeschaltet war", heißt es in der Studie. Interessanterweise sei dabei herausgekommen, dass Cisco Webex sowohl unter Windows als auch unter macOS das Mikro "unabhängig vom Status der Stummschalttaste" abfragte.

Dem Team zufolge sendet Webex ungefähr jede Minute in jedem Fall Netzwerkpakete mit Audio-Telemetriedaten an Server von Cisco. Bei diesen Messwerten handelt es sich nicht um aufgezeichneten Ton, sondern um einen daraus abgeleiteten Wert, der dem Lautstärkepegel der Hintergrundaktivitäten entspricht. Trotzdem reichten die Daten den Forschern aus, um solche Tätigkeiten im Raum mit dem benutzten Endgerät mit einer Trefferquote von 82 Prozent zu identifizieren. Das erstellte Werkzeug analysierte die Übertragung und wählte aus sechs möglichen Aktivitäten wie Kochen, Putzen oder Tippen auf der Tastatur die wahrscheinlichste vor Ort durchgeführte aus.

Wer Videokonferenz nicht über die native App, sondern über die Versionen für Internet-Browser durchführt, ist von dem Problem nicht betroffen. Diese nutzen die "Mute"-Funktion des Standards WebRTC für Echtzeitkommunikation, die das Mikrofon ordnungsgemäß ausschaltet.

Stein des Anstoßes ist laut den Wissenschaftlern, dass Video- und Audiosignale über die nativen Programme nicht einheitlich gehandhabt werden. Bei macOS und Windows beruhe die Deaktivierung der Kamera in einer App auf einer Steuerung auf Betriebssystemebene, was gut umgesetzt und dem Nutzer auch optisch signalisiert werde. Die softwarebasierten Stummschalttasten seien dagegen abhängig von den jeweiligen Anwendungen und zeigten nur selten an, wenn das zugehörige Mikrofon Ton aufnehme.

Noch gravierender unter Sicherheitsaspekten schätzte das Team die Erkenntnis ein, dass Webex als einziges der untersuchten Konferenzsysteme den ausgehenden Datenstrom nicht durchgehend verschlüssele. Nur bei der Cisco-Lösung seien sie in der Lage gewesen, den Klartext abzufangen, unmittelbar bevor er an die Windows-Netzwerksocket-Schnittstelle (API) weitergeleitet werde. Generell seien die Überwachungsvorkehrungen der App nicht mit den Datenschutzbestimmungen von Webex vereinbar. Darin heiße es, dass das Programm "den Datenverkehr oder den Inhalt von Meetings weder überwacht noch stört".

Nachdem die Forscher Cisco über ihre Befunde informiert hatten, stellte der Konzern laut dem Online-Magazin The Register mittlerweile sicher, dass Webex keine Mikrofon-Telemetriedaten mehr überträgt. Ein Sprecher habe das nach Hause telefonieren aber zugleich verteidigt. Webex verwendete die Messwerte demnach, "um einem Benutzer mitzuteilen, dass er stummgeschaltet ist". Damit sei eine einschlägige Benachrichtigungsfunktion unterstützt worden. Es habe sich nicht um eine Schwachstelle in dem System gehandelt.

Hierzulande empfahlen die Datenschutzbeauftragten von Bund und Ländern bereits 2020 in einer Orientierungshilfe, Videokonferenzsysteme von US-Anbietern vor einem Einsatz "sorgfältig zu prüfen". Unternehmen, Behörden und andere Organisationen könnten Lösungen wie Teams, Skype, Zoom, Google Meet, GoToMeeting und Cisco WebEx nicht ohne Weiteres verwenden. Wer nach dem Wegbrechen des Privacy Shield beim Datenexport auf die alternativen Standardvertragsklauseln setze, muss laut den Datenschützern "vor Beginn der Übermittlung die Rechtslage im Drittland im Hinblick auf behördliche Zugriffe und Rechtsschutzmöglichkeiten für betroffene Personen analysieren". Bei der Berliner Datenschutzbehörde stehen Webex & Co. seit Langem auf der roten Liste.

(tiw)