Zoom, genauer gesagt der Softwareclient von Zoom, wurde vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert. Das Zertifikat wurde am 21. Dezember 2021 ausgestellt. Der sogenannte Evaluationsgegenstand (EVG) des Common-Criteria-Verfahrens wurde durch die Prüfstelle der secuvera GmbH in der Vertrauenswürdigkeitsstufe (EAL) 2 überprüft. Das Zoom-Backend war nicht Teil der Analyse.

Auf den Seiten des BSI kann der Zertifizierungsbericht (PDF) mit allen Details abgerufen werden. Demnach wurden die Clients auf Windows 10, MacOS Big Sur, iOS 14.2 und Android 10 in Version 5.6.6 untersucht.

In dem Bericht sind auch einige Randbedingungen für den sicheren Betrieb aufgeführt, wie es bei Zertifizierungen der Standard ist. Eine Randbedingung springt dabei ins Auge: Die Linkvorschau muss deaktiviert sein. ("The 'link preview' feature in the chat settings of the Zoom client needs to be disabled").

Richtige Konfiguration ist sicherheitsrelevant

Das ist deswegen interessant, da genau für dieses Feature erst am 14. Dezember 2021 eine Schwachstelle für den Zoom-Client < 5.7.3 auf den getesteten Plattformen veröffentlicht wurde (CVE-2021-34425). Durch die Konfigurationsvorgabe ist das Feature deaktiviert. Für den Einsatz von Zoom in Unternehmen sind solche Informationen zu den Randbedingungen für entsprechende Konfigurationsvorgaben nützlich.

Zoom ist damit der erste Anbieter von Videokonferenzlösungen, der zumindest einen Teil seiner Software durch Dritte nach dem internationalen Standard Common Criteria zertifizieren lässt.

(ur)