Nachdem Zoom über Jahre falsche Angaben zur Sicherheit der Videokonferenz-Software gemacht hat, hat sich der Anbieter gegenüber der US-Handelsaufsicht FTC verpflichtet, die Sicherheitsmaßnahmen zu verstärken. Strafzahlungen muss das Unternehmen nicht leisten und die betroffenen Nutzer bekommen keine Entschädigungen. Das teilte die US-Handelsaufsicht mit und machte dabei auch weitere Angaben zu den Vorwürfen gegen das Unternehmen. Das habe nicht nur seit mindestens 2016 mit einer stärkeren Verschlüsselung der Videokonferenzen geworben, als eingesetzt wurde, sondern die Daten auch anderer Stelle nicht so geschützt, wie versprochen.

Ein Gewinner der Corona-Krise

Zoom bietet seine Software für Videokonferenzen seit Jahren an, im Zuge der weltweiten Einschränkungen im Kampf gegen das neuartige Coronavirus waren die Nutzerzahlen im Frühjahr dann aber regelrecht explodiert. Innerhalb weniger Wochen war die Zahl der täglichen Nutzer von 10 auf 200 Millionen gestiegen. Die verstärkte Aufmerksamkeit hatte IT-Experten auf den Plan gerufen und für Kritik an den Datenschutzpraktiken des Unternehmens gesorgt. Zoom reagierte und holte sich unter anderem den respektierten Experten Alex Stamos als Berater an Bord. Seit Ende Oktober bietet Zoom nun echte Ende-zu-Ende-Verschlüsselung an.

Wie die FTC nun ausführt, habe Zoom mindestens seit 2016 behauptet, "256-Bit-Ende-zu-Ende-Verschlüsslung" einzusetzen, obwohl deutlich weniger sichere Technik zum Einsatz gekommen sei. Das hatten IT-Sicherheitsexperten im April öffentlich gemacht, woraufhin etwa bei Google die Nutzung von Zoom untersagt wurde. Außerdem habe Zoom die Schlüssel selbst aufbewahrt und so auf die Inhalte zugreifen können. Irreführend seien auch Angaben zur Speicherung der Videodaten auf Zooms Servern gewesen, wo sie bis zu 60 Tage unverschlüsselt gelegen hätten, bevor sie in sicheren Cloud-Speicher verschoben worden seien. Eine Software namens ZoomOpener zur Umgehung von Warnungen auf Macs habe schließlich die Sicherheit der Nutzer gefährdet, etwa indem sie die einmal deinstallierte Zoom-Software unter bestimmten Umständen automatisch wieder installierte.

Dass die FTC trotz dieser heftigen Vorwürfe mit den Stimmen der drei Republikaner in der Kommission auf Strafzahlungen verzichtet hat, kritisieren die beiden Kommissare der Demokraten. Weder müsse das Unternehmen Gebühren zurückzahlen noch Wiedergutmachung leisten. Betroffene Nutzer müssten nicht einmal informiert werden, kritisiert Kommissarin Rebecca Kelly Slaughter. Das Unternehmen wurde lediglich verpflichtet, regelmäßig Sicherheitsrisiken zu überprüfen und Schutzmaßnahmen zu entwickeln. Außerdem sollen Nutzer besser geschützt werden, etwa durch Mehrfaktorauthentifzierung der Accounts. Falsche Versprechungen zum Datenschutz und der Sicherheit der Software sind ebenfalls untersagt.

(mho)