Schutz der Privatsphäre in Videokonferenzsystemen (Teil 3)
Im dritten Teil dieses großen Vergleichs beliebter Videokonferenzsysteme wenden wir uns dem Thema Privatsphäre zu. Dies ist für jeden interessant, dem es mulmig bei der Vorstellung wird, dass unbefugte Dritte seine Telefonate abhören könnten. Es geht also um den Schutz der Daten mit verschiedenen technischen Mitteln in einer Videokonferenz.
Daher wird hier der Begriff Privatsphäre und nicht Datenschutz verwendet. Letzterer ist in Zeiten von DSGVO und Datenschutzerklärungen viel mehr ein juristischer, als ein technischer Begriff. Dieser Artikel ist keine Rechtsberatung zu diesem Thema, was auch begrifflich zum Ausdruck gebracht wird.
Hier geht es um die technischen Maßnahmen, welche zum Schutz der Privatsphäre getroffen werden. Konkret werden folgende drei Bereich untersucht und verglichen:
- Transportverschlüsselung
- Ende-zu-Ende Verschlüsselung (E2EE)
- Self Hosting
Das Thema Privatsphäre ist auch bei den großen Anbietern von Videokonferenzsystemen ein Thema. Sie sind sich sowohl der Wünsche ihrer Kunden und Nutzer, als auch der Schwachstellen ihrer Lösungen bewusst und versuchen diese immer weiter zu verbessern. Dies zeigt sich unter anderem daran, dass die Verschlüsselungsfunktionen von vielen Systemen innerhalb des letzten Jahres immer wieder überarbeitet und verbessert wurden.
Motivation
Warum sollte man auf Privatsphäre achten beziehungsweise sich darüber Gedanken machen. Was habe ich denn schon zu verbergen? Firmen sind sowohl ihren Kunden, als auch ihren Mitarbeitern gegenüber zum Datenschutz verpflichtet. Die Datenschutzgrundverordnung (DSGVO) stellt klare Regeln an die Nutzung, Verarbeitung und Speicherung von Nutzerdaten. Darunter fallen nicht nur Adressen und Logins, sondern auch Verbindungsdaten: wer hat wann, mit wem, wie lange gesprochen?
Auch Firmengeheimnisse und Familieninterna haben keinen Externen etwas anzugehen und sollten nicht verbreitet werden. Im Idealfall haben selbst die Mitarbeiter der Videokonferenzanbieter keinen Zugriff auf die Inhalte der Gespräche.
Eine kleine Übung:\ Stelle Dir bei Deinem nächsten Videotelefonat einfach mal vor, dass genau dann irgendein Dritter (zum Beispiel ein Mitarbeiter des Systembetreibers) heimlich, still und leise zuhört und zuschaut. Wie fühlt sich das an?
Es gibt mehrere Ebenen, auf denen solche Systeme gesichert werden können. Diese werden im Folgenden vorgestellt. Grundsätzlich sollten alle anfallenden Daten, sowohl Video- und Audiostreams als auch Verbindungsdaten, Logins und der Chat, verschlüsselt übertragen und wenn möglich verarbeitet und gespeichert werden.
| Zoom Meetings | Microsoft Teams | Jitsi Meet | Skype | Nextcloud Talk | Whats App | |
|---|---|---|---|---|---|---|
| Transport Verschlüsselung | ||||||
| Ende-zu-Ende Verschlüsselung | ||||||
| Betrieb durch Anbieter | ||||||
| Self Hosting Möglichkeit |
Transportverschlüsselung
Die grundlegende Ebene der Verschlüsselung bezieht sich auf die Verbindung zwischen den beteiligten Systemen. Im Fall der Transportverschlüsselung sind mit Systemen nicht nur die Endgeräte der beteiligten Nutzer, sondern auch die Server der Anbieter gemeint. Alle Daten sind mit Hilfe der Transportverschlüsselung somit auf dem Weg zwischen Endgerät und Server verschlüsselt.
Dies stellt die grundlegende Verschlüsselungsebene dar und ist mittlerweile bei allen Systemen gegeben. Hierbei sind die Daten vor externen Dritten, welche die Verbindung abhören, geschützt, der Dienstanbieter hat auf seinen Servern jedoch weiterhin vollen Zugriff auf die Inhalte.
Teilweise ist dies auch aus technischen Gründen nötig und kann nicht anders implementiert werden. Wählt man sich per Telefon in eine virtuelle Konferenz ein, müssen die eigenen Daten auf den Servern des Anbieters verarbeitet werden.
Ende-zu-Ende Verschlüsselung
Will man erreichen, dass auch die beteiligten Server keinen Einblick in die Daten erhalten, so wird eine Ende-zu-Ende Verschlüsselung (End-to-End Encryption E2EE) benötigt. Diese ist technisch aufwändiger und erfordert einige Voraussetzungen.
Recht einfach zu implementieren ist eine E2EE für ein 1:1 Gespräch, einem Video- oder Audiotelefonat mit zwei Beteiligten. In diesem Fall kann der gesamte Datenstrom zwischen diesen beiden Beteiligten verschlüsselt übertragen werden.
Sobald mehrere Teilnehmer einen Gruppenanruf bilden, ist eine Ende-zu-Ende Verschlüsselung technisch schwierig. In diesem Fall kann ein zentraler Server die Datenströme nicht mehr gezielt an die Teilnehmer verteilen. Zoom verwendet zum Beispiel eine Multipoint Control Unit (MCU), welche die Videobilder aller Teilnehmer mischt und so nur einen Videostream an jeden Teilnehmer verschickt – unabhängig von der Teilnehmerzahl. Diese Funktion ist nicht mehr möglich, wenn die Videoströme Ende-zu-Ende verschlüsselt sind, also von Endgerät zu Endgerät. Dann hat die MCU wunschgemäß keinen Einblick mehr in den Datenstrom und kann somit die Videobilder auch nicht mehr mischen.
Auch der Umkehrschluss ist in diesem Fall korrekt: sobald eine MCU verwendet wird, ist eine Ende-zu-Ende Verschlüsselung technisch nicht möglich. Dies wird auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) so eingeschätzt:
Bei Einsatz einer MCU kann jedoch keine echte Ende-zu-Ende-Verschlüsselung der Medienströme erreicht werden. Eine Ende-zu-Ende-Verschlüsselung kann nur in dem Sinne erreicht werden, dass die Medienströme zwischen Teilnehmer und MCU verschlüsselt werden.
BSI - Kompendium Videokonferenz - 14.04.2020 - Seite 25
Zoom Meetings
Zoom scheint in den letzten 1,5 Jahren viel an seinen Sicherheitskonzepten gearbeitet zu haben. Daher widersprechen sich einige im Internet verfügbare Artikel und Quellen, weil sie zu unterschiedlichen Zeitpunkten veröffentlicht wurden.
Unter bestimmten Umständen kann eine Zoom Videokonferenz Ende-zu-Ende verschlüsselt werden. Dies beschreibt Zoom in einem eigenen Blogartikel. Eine zentrale Voraussetzung ist dabei, dass alle Teilnehmer den Zoom Client verwenden und das Meeting nicht aufgezeichnet wird. Man kann die Ende-zu-Ende Verschlüsselung an einem grünen Logo in der linken oberen Ecke erkennen.
Sobald sich Teilnehmer über andere Wege, zum Beispiel über das Telefon, in das Meeting einwählen, ist eine solche Verschlüsslung technisch nicht mehr möglich. Diese und andere Zusatzfunktionen werden über sogenannte Connectors bereitgestellt. Dies sind Zoom Software Clients, welche in der Zoom Cloud laufen und die unverschlüsselten Video- und Audiodaten benötigen.
Ein wichtiger Aspekt ist auch die Schlüsselgenerierung. Im Normalfall werden diese auf den Zoom Servern generiert und verteilt. Dadurch hat Zoom zumindest theoretisch die Möglichkeit, alle Daten zu entschlüsseln.
Daher hat Zoom wohl nachgebessert und verwendet für die Ende-zu-Ende Verschlüsselung lokal generierte Schlüssel, welche an die Teilnehmer verschickt werden. Dies wird auf der Zoom Hilfeseite zum Thema Ende-zu-Ende Verschlüsselung beschrieben.
Auf einen Punkt geht der Artikel jedoch gar nicht ein. Zoom erreicht die sehr hohen Teilnehmerzahlen in einem Meeting dadurch, dass sie die Video- und Audiostreams auf den eigenen Servern (in der MCU - Multipoint Control Unit) mischen und nur einen Stream an jeden Teilnehmer senden. Dieser MCU müssen somit auch die unverschlüsselten Datenströme zur Verfügung stehen. Wie die Ende-zu-Ende Verschlüsselung bei bis zu 200 Teilnehmern technisch realisiert wird, bleibt unklar.
Microsoft Teams
Seit Ende Oktober 2021 bietet Microsoft Teams eine öffentliche Vorschau der neuen Ende-zu-Ende Verschlüsselung. Diese kann für 1:1 Video- und Audioanrufe aktiviert und genutzt werden. Die zugehörige Hilfeseite beschreibt auch, welche Einschränkungen es für die E2EE gibt und welche Features nicht zur Verfügung stehen.
Bei Gruppenanrufen kann keine Ende-zu-Ende Verschlüsselung aktiviert werden. Eine Transportverschlüsselung findet in diesem Fall weiterhin statt, so dass die Daten auf dem Weg zu und von den Microsoft Servern geschützt werden. Auf den Servern werden die Datenströme dann entschlüsselt, verarbeitet und zu den Teilnehmern geschickt.
Jitsi Meet
Jitsi Meet verwendet den offenen Kommunikationsstandard WebRTC, welcher von den Browsern implementiert wird. Der WebRTC Standard sieht eine verpflichtende Transportverschlüsselung der Datenströme mit den Datagram Transport Layer Security (DTLS) und Secure Real-time Transport Protocol (SRTP) Verfahren vor.
Im Falle eines 1:1 Gesprächs ist immer die gesamte Verbindung Ende-zu-Ende verschlüsselt. Bei einer Videokonferenz mit mehreren Teilnehmern besteht die Transportverschlüsselung zwischen den Endgeräten und dem Server.
Jitsi Meet bietet darüber hinaus eine Ende-zu-Ende Verschlüsselung auch für Videokonferenzen mit mehreren Teilnehmern. Diese Verschlüsselung muss explizit aktiviert und ein gemeinsamer Schlüssel festgelegt werden.
Dies ist möglich, da Jitsi Meet keine MCU (siehe Zoom), sondern eine SFU (Selective Forwarding Unit) betreibt. Die SFU verteilt die Datenströme unverändert an die Teilnehmer und braucht daher keinen Einblick in die unverschlüsselten Daten.
Es ist hervorzuheben, dass Jitsi Meet auch anonym, also ohne Login oder Benutzernamen genutzt werden kann. Dadurch fallen weniger Metadaten an, als bei anderen Diensten.
Skype
Skype verwendet ein eigenes proprietäres Verbindungsprotokoll, weshalb nur wenige Informationen zu dessen Sicherheit zur Verfügung stehen. Auf den Microsoftseiten findet sich keine Aussage dazu, was auch daran liegen mag, dass Skype for Business durch Microsoft Teams ersetzt wird.
Es kann davon ausgegangen werden, dass die Verbindungen zu den Skype Servern verschlüsselt sind. Wie diese dort verarbeitet werden, ist jedoch unklar.
Da auch Microsoft Teams keine Gruppen Ende-zu-Ende Verschlüsselung bietet, ist anzunehmen, dass diese auch in Skype nicht vorhanden ist.
Nextcloud Talk
Nextcloud Talk verwendet, genauso wie Jitsi Meet, die WebRTC Protokolle und bietet somit die gleiche Transportverschlüsselung per DTLS und SRTP. Die Datenströme sind somit zwischen den Teilnehmern und den Servern verschlüsselt und gesichert.
Eine Ende-zu-Ende Verschlüsselung ist jedoch nicht vorhanden, so dass der Nextcloud Talk Server die Daten immer unverschlüsselt vorliegen hat.
Im Gegensatz zu anderen Videokonferenzsystemen stellt dies hier jedoch ein geringeres Problem dar, solange Nextcloud Talk selber gehostet wird.
Whats App
Whats App basiert auf der eigenen App und den dazugehörigen Servern. Es ist daher schwer zu beurteilen wie gut die Daten verschlüsselt werden und ob sie vor dem Zugriff durch Whats App respektive Facebook geschützt sind.
Whats App verspricht eine Ende-zu-Ende Verschlüsselung aller Daten, also auch der Audio- und Videodaten. Da Whats App Videokonferenzen nur bis zu acht Teilnehmer unterstützt, scheint dies zumindest plausibel zu sein.
Die Metadaten, also zum Beispiel wer sich mit wem, wann und wie lange unterhalten hat, dürften Whats App unverschlüsselt vorliegen. Da die Schlüssel innerhalb der hauseigenen App erzeugt und gespeichert werden, wäre es zumindest technisch möglich, dass Whats App diese ausliest und zum Entschlüsseln von Verbindungen nutzt.
Selber Hosten für größte Privatsphäre
Wer seine Daten noch weiter schützen möchte, kann einige der Videokonferenzsysteme ganz oder teilweise auf eigenen Servern installieren und betreiben. Dadurch besteht die volle Kontrolle über alle anfallenden Daten inklusive der Metadaten.
Kann das System selber auf eigenen Servern betrieben werden, stellt dies natürlich aus Sicht des Datenschutzes einen enormen Vorteil dar. Sowohl die Einstiegshürde als auch der Wartungsaufwand sind jedoch um ein vielfaches höher, als wenn der Dienst von extern betrieben wird.
Welche Systeme man, gegebenenfalls mit Einschränkungen, überhaupt selber betreiben kann, wird im Folgenden beschrieben.
Zoom Meetings
Teile der Zoom-Infrastruktur lassen sich On-Premise selber betreiben. Dadurch können unter anderem die Connectors, die Multimedia Router (MMR) sowie die Schlüsselverwaltung unter eigene Kontrolle gestellt werden. Die Nutzerverwaltung und Meetingdaten verbleiben weiterhin bei Zoom.
Die einzelnen Komponenten werden von Zoom als virtuelle Maschinen bereit gestellt. Aus der Dokumentation geht nicht hervor, ob Zoom Zugriff auf diese behält oder ob der Betreiber wirklich volle Kontrolle über diese hat. Auch ist unklar, welche Voraussetzungen für ein On-Premise Hosting gegeben sein müssen und was ein solcher Betrieb kostet.
Microsoft Teams
Microsoft Teams Rooms können teilweise On-Premise betrieben werden. Ob dies auch für die Videokonferenzen gilt und ob ein Betrieb völlig unabhängig von den Microsoft Onlinediensten möglich ist, ist unklar.
Jitsi Meet
Jitsi Meet kann recht einfach auf dem eigenen Server installiert werden. Dies ist eine gute Methode für den sicheren und vertrauenswürdigen Betrieb einer Videokonferenzlösung.
Die Datenströme zwischen den Teilnehmern und den Servern sind standardmäßig über die Transportverschlüsselung (DTLS + SRTP) geschützt. Da beim Self Hosting die Server selbst betrieben werden, sind auch sämtliche anfallenden Metadaten unter der eigenen Kontrolle.
Es muss jedoch darauf hingewiesen werden, dass der Jitsi-Dienst in der Standardinstallation, genauso wie auf den Herstellerseiten, für jeden anonym nutzbar ist. Will man dies nicht, muss man zusätzlich eine Nutzerauthentifizierung einrichten.
Skype
Skype kann nicht selber betrieben werden sondern setzt immer die Skype Server voraus.
Nextcloud Talk
Nextcloud Talk wird in der Regel immer selber gehostet. Es gibt jedoch auch Hostinganbieter, welche Nextcloud als Service anbieten. Wenn man den großen Anbietern wie Dropbox, Skype und Whats App nicht vertraut, kann dies ein guter Kompromiss zwischen dem Aufwand des Self Hosting und dem Vertrauen in einen externen Anbieter darstellen.
Will man Nextcloud Talk selber betreiben, muss zunächst eine Nextcloud Installation eingerichtet werden. Man sollte sich darüber im Klaren sein, dass dies zwar einen sehr hohen Grad an Privatsphäre und Vertrauenswürdigkeit für seine Daten bietet, jedoch auch mit einem hohen Pflegeaufwand für Konfiguration, Updates und Backups verbunden ist.
Whats App
Ein Self Hosting von Whats App ist nicht möglich. Es werden immer die Server von Facebook verwendet.
Zusammenfassung
Diese Übersicht schließt den großen Vergleich aktueller Videokonferenzsysteme ab. Ein solches System selber zu hosten, bietet sicher die größte Privatsphäre und Vertraulichkeit für die eigenen Daten. Diese Option ist jedoch auch mit großen Aufwänden verbunden und steht der breiten Masse an Anwendern nicht zur Verfügung.
Eine klare Empfehlung für eines der Systeme kann nicht gegeben werden. Oft wird von der Firma oder den Kunden ein spezifisches System vorgegeben. Falls die Wahl offen steht, lohnt sicher ein Blick auf Jitsi, da dieses ohne Installation und Registrierung genutzt werden kann.