Zoom

Ab sofort steht an der FAU der Dienst Zoom zur Durchführung von Videokonferenzen, für  Online-Seminare sowie für Live-Online-Vorlesungen zur Verfügung.

Am 7. April 2021 hat die Universitätsleitung eine Richtlinie für die Bereitstellung und Nutzung des Video-Konferenzsystems Zoom an der FAU beschlossen.

Eine ausführliche Anleitung zur Einrichtung und Nutzung von Zoom sowie technische Spezifikationen finden Sie auf der RRZE-Anleitungsseite zu Zoom.

Die wichtigsten Fragen zu Zoom

Weitere ausführliche Informationen, wie Sie Zoom einrichten, welche Software benötigt wird, wer sie technisch ggf. betreut und ähnliche Fragestellungen finden Sie auf der Zoom-Anleitungsseite und auf den im Aufbau befindlichen Zoom-FAQs erklärt.



Zoom-Startseite der FAU

Nutzen Sie die vielfältigen Möglichkeiten von Zoom

Sicherheit, Datenschutz & Co.

Wie aus aktuellen Medienberichten zu entnehmen ist, werden derzeit zahlreiche Sicherheitsprobleme im Umfeld der Softwarelösung Zoom entdeckt. Tatsächlich steht Zoom damit zwar im Mittelpunkt der Medienberichterstattung, trotzdem darf man nicht übersehen, dass dies nicht die erste und einzige Firma ist, die erst durch die öffentliche Aufmerksamkeit (und evtl. auch die neue Relevanz im universitären Umfeld) das Interesse von Sicherheitsfachleuten auf sich gezogen hat.

Die gute Nachricht dabei ist: Die Firma ist aktuell bemüht, diese Sicherheitsprobleme in den Griff zu bekommen. Laut Aussage des Firmenchefs wird für die nächsten drei Monate der Schwerpunkt der Software-Entwicklung auf die Behebung erkannter Schwachstellen gelegt (Informationen finden Sie im Zoom-Blog). Die rapide Veröffentlichung neuer Releases lässt zumindest darauf schließen, dass es sich hierbei nicht um leere Versprechungen handelt.

In der FAU-Instanz von Zoom sind alle datenschutz- und sicherheitsrelevanten Optionen aktiviert, sofern sie dem eigentlichen Einsatzzweck nicht entgegen stehen. Darüber hinaus gibt es auf den Anleitungsseiten noch Konfigurations- und Handlungsempfehlungen, die Sie bei Ihrer täglichen Arbeit unterstützen sollen.

Datenschutz, Privacy Policy

Möglichkeit zur pseudonymisierten Nutzung

Alternativ kann über das IdM-Portal der FAU auch eine pseudonymisierte Anmeldung ohne Übermittlung von Name und E-Mail-Adresse an Zoom festgelegt werden.

In den Zoom-FAQ finden Sie eine Anleitung zur (De-)aktivierung der Pseudonymisierung in Zoom.

Sicherheitsprobleme: Klarstellungen und Gegenmaßnahmen

Potentiell unsichere Verschlüsselung

Behoben ab Client Version 5.0 (27.04.2020)
Mit der aktuellen Zoom Version 5.0 wurde die verwendete Verschlüsselung auf die als sicher geltende Standard-Verschlüsselung AES-256-GCM umgestellt.
Sieh Release Notes von Zoom.

UNC-Bug (ermöglicht u.a. das Auslesen von Passwort-Hashes)

Behoben ab Windows-Client 4.6.9 (01.04.2020)
Aktuelle Änderungen/Fixes für die jeweiligen Clients lassen sich in den Release Notes nachvollziehen.

Zoom-Aufnahmen in der Cloud

Diverse Medienberichte legten nahe, dass Mitschnitte von Zoom-Konferenzen durch die Zoom-Software ungeschützt abgelegt werden.

Tatsächlich wurden – nach aktuellem Wissensstand – die Zoom-Mitschnitte nicht von der Zoom-Anwendung selbst, sondern von Nutzern, die diese Aufnahmen lokal gespeichert hatten, nachträglich in ungeschützten Cloud-Diensten gespeichert. Einziger Unterschied zu jeder anderen Datei, die ebenso leichtsinnig abgelegt wurde: Die Benennung der Dateien folgt einem Schema, nach dem man in geeigneten Suchmaschinen suchen kann.

Ergänzung: In der Zoom-Instanz der FAU ist die Funktion zur Aufnahme in der Cloud global deaktiviert.

Zoom-Bombing

Unter Zoom-Bombing versteht man das unerwünschte Teilnehmen an Zoom-Konferenzen bei gleichzeitiger Störung.
Gegenmaßnahmen: Warteräume, Passworte, Möglichkeit zur Einschränkung der Screen-Sharing-Funktion (20.03.2020)

https://www.heise.de/newsticker/meldung/Gegen-Zoombombing-Meeting-Tool-Zoom-aktiviert-Passwoerter-und-Warteraeume-4697256.html

Datenübermittlung an Facebook (iOS Client)

Die Bibliothek, die dieses Verhalten verursachte, wurde entfernt (24.02.2020)

https://www.heise.de/mac-and-i/meldung/Zoom-beendet-Datenweitergabe-der-iOS-App-an-Facebook-4692815.html

Fälschliche Angabe End-to-End-Verschlüsselung

Stellungnahme des CIO der FAU zur Nutzung von Zoom (08.04.2020)

Stellungnahme des CIO der FAU (08.04.2020)

Hintergründe der Entscheidung Zoom als Plattform für Videoconferencing und digitale Lehre zu beschaffen:

Die aktuelle Krisensituation hat uns vor die Herausforderung gestellt, binnen kürzester Zeit die Voraussetzungen zu schaffen, am 20. April einen möglichst reibungslosen Semesterstart zu gewährleisten. Dies hat unter anderem eine sehr schnelle Entscheidung für eine geeignete Plattform für Seminare und andere interaktive Lehrveranstaltungen unumgänglich gemacht.

Grundlage für diese Entscheidung sind Analysen des Deutschen Forschungsnetzes und seiner europäischen Dachorganisation seit 2018 sowie die die Erkenntnisse aus dem Erfahrungsaustausch vieler europäischer Universitäten in den letzten Wochen.

Die Universitätsleitung der FAU, die CIOs der bayerischen Universitäten und fast alle anderen Universitäts- und Hochschulleitungen in Bayern sind davon überzeugt, dass es in der derzeitigen Situation keine technisch belastbare Alternative zu Zoom gibt. Ob Zoom der Last ab dem 20. April Stand hält, muss sich zeigen, doch sind die Chancen größer als bei allen evaluierten Alternativen. Daher haben fast alle bayerischen Universitäten und viele HAWs in den vergangenen Wochen Verträge mit Zoom abgeschlossen oder sind kurz davor.

Wir sind uns der bezüglich Zoom publizierten Probleme in datenschutz- und sicherheitstechnischer Hinsicht wohl bewusst. Nach den bisher vorliegenden Erfahrungen muss man aber auch feststellen, dass sich die Zoom-Webseite und Zoom bei kostenloser Nutzung bzw. bei Anmeldung über Facebook oder Google-Accounts in Bezug auf Datenweitergabe ganz anders  verhält als bei Nutzung der Kommunikation über die App sowie universitätsspezifisches Single-Sign-On im Rahmen eines Vertragsverhältnisses.

Neben der Standard-Lizenz hat die FAU mit Zoom einen Vertrag zur Auftragsverarbeitung abgeschlossen, der nach Einschätzung der bayerischen Stabsstelle für IT-Recht viele in den vergangenen Tagen publizierten kritischen Punkte in Bezug auf den Datenschutz beseitigt. Zusätzliche Verbesserungen der rechtlichen Bedingungen werden in Kürze folgen.

In technischer Hinsicht ist der Betrieb im Rahmen der Campus-Lizenz durch zentrale Administrationsmöglichkeiten wesentlich besser kontrollierbar als bei einzelnen Lizenzen, die unkoordiniert in den verschiedenen Einrichtungen beschafft werden. Viele der jetzt bekannt gewordenen Probleme lassen sich durch geeignete Voreinstellungen und durch eine zentral koordinierte Softwareverteilung auf FAU-Ebene vermeiden.

Die CIOs der bayerischen Universitäten haben gemeinsam beschlossen, Zoom zunächst für ein Jahr zu lizenzieren. In dieser Zeit soll sowohl nach technischen Alternativen als auch nach Möglichkeiten für eine gemeinsame Rahmenvereinbarung, entweder auf bayerischer Ebene oder deutschlandweit, mit dem DFN gesucht werden. Der Betrieb von Zoom wird in den kommenden Monaten sehr bewusst überwacht.

Neben Zoom stehen mit DFNconf, einem lokal am RRZE betriebenen Jitsi-Server und MS Teams weitere Web-Konferenz-Plattformen zur Verfügung, die je nach Einsatzszenario präferiert werden können. Ein Überblick ist auf der Web-Seite des RRZE zu finden. Für die im Rahmen der Lehre erwarteten Last-Szenarien ist aber nur bei Zoom mit einem stabiler Betrieb zu rechnen.

Dr. Jürgen Kleinöder
CIO