Zoom-Nutzer weltweit können nach langer Ankündigungsphase nun Videokonferenzen mit Ende-zu-Ende-Verschlüsselung (E2EE) führen. Zunächst ist sie für den Desktop-Client Version 5.4.0 für macOS und PC sowie die Android-App und Zoom Rooms verfügbar. Eine Erweiterung, auch für den Linux-Client, ist geplant. Die Verschlüsselung muss allerdings jeweils aktiviert werden und ist nicht mit allen anderen Funktionen kombinierbar.

Standardmäßig findet bei Zoom-Konferenzen eine 256-Bit-AES-GCM-Verschlüsselung Anwendung, dies gilt auch für die E2EE – nur liegen die Schlüssel nicht bei Zoom, sondern beim Gastgeber, der sie per Public-Key-Kryptographie verteilt. Ähnlich machen das etwa Cisco Webex und andere Anbieter. Die Keys lassen sich unter den Teilnehmern abgleichen, damit Man-in-the-Middle-Angriffe verhindert werden können.

Wie Axel Albrecht, Manager Sales Engineering, in einem Gespräch mit heise online sagt, hat der Anbieter Konferenzen mit bis zu 1000 Teilnehmern und der E2EE getestet, ohne Performance-Verluste festzustellen. Als Endnutzer können nur bis zu 200 Teilnehmer in einer solchen Konferenz zusammenkommen.

Einschränkungen durch E2EE

Stellt man eine E2EE für eine Videokonferenz ein, gibt es Einschränkungen bei anderen Funktionen des Dienstes. So lassen sich etwa Gespräche nicht mehr aufzeichnen, weil sie dafür in der Cloud landen. Auch zahlreiche Telefonanlagen sind schlicht mit der Technik nicht kompatibel. Hierin liegt auch ein Grund, weshalb die neue Verschlüsselungsoption nicht per default eingestellt ist. Zooms Deutschlandchef Peer Stemmler erklärt, dass nicht alle Gespräche unter Kollegen E2EE sein müssten, aber zahlreiche andere Kommunikation eben besonders schützenswert sei – beispielsweise im Medizinbereich.

Admins können die Funktion für die Nutzerkonten grundsätzlich blockieren oder zulassen, was dann wiederum dem Nutzer die Möglichkeit des Aktivierens und Deaktivierens gibt. In einer zweiten Phase rund um den Jahreswechsel will Zoom auch Single-Sign-on einführen, um den Dienst noch sicherer zu machen, also eine einmalige Authentifizierung über ein Gerät. E2EE war ab dem Sommer als Betaversion verfügbar, sie ist nicht an Konten beziehungsweise Bezahlmodelle gekoppelt.

