Die Wahrheit hinter dem Zoom-Bombing

Bei Videokonferenzdienst Zoom gibt es ja die als Zoom-Bombing bezeichneten Störungen, bei denen unbefugte Dritte in Sitzungen eindringen und mithören oder stören. Gerade beim Homeschooling ein Problem – und Zoom hat viele Anstrengungen unternommen, um das alles abzusichern. Jetzt hat eine Analyse aber herausgefunden, warum Zoom-Bombing trotzdem noch ein Problem ist. Der größte Teil der Störer kommt ganz legal in die „Besprechungsräume mit den Videokonferenzen“, weil reguläre Teilnehmer die Zugangsdaten öffentlich gepostet haben. Insbesondere in US-Schulen und Colleges scheint das ein Problem zu sein, wie man in diesem Wired-Beitrag nachlesen kann.

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Die Wahrheit hinter dem Zoom-Bombing

  1. Dat Bundesferkel sagt:

    Ah… also ein neuerlicher, erbärmlicher Versuch, jedwede Verantwortung von sich als Dienstleister zu weisen. Ist schon klar, kennt man nicht anders. Schuld sind immer die anderen.

    Gibt da so hochinteressante, super geheime, ultra moderne und total coole Maßnahmen gegen sowas: Nennt sich 2FA.

    Aber Kopf in den Sand stecken ist natürlich zielführender. :)

    Keine Ahnung, ob ich über solche Firmen lachen oder weinen soll. Natürlich weiß man, daß man seine Zugangsdaten nicht sharen soll. Das kommt aber immer wieder mal vor, auch in anderen Bereichen. Die Youngsters haben (oftmals) eine andere Mentalität dazu. Das muß man eben berücksichtigen, wenn sie nicht lern- und umsatzwillig sind. Aufgabe des Dienstleisters. Ansonsten muß er sich Hohn und Spott stellen.

    • Wil Ballerstedt sagt:

      Mit welcher *einer* 2FA-App könnte ich denn meine Zugänge verwalten? Ich hätte z. B. keine Lust, neben meinem Microsoft Authenticator noch zwei(?) weitere 2FA-Apps zu installieren.
      Zoom selbst bietet 2FA an (eben herausgefunden): https://blog.zoom.us/de/secure-your-zoom-account-with-two-factor-authentication/

      • Tim sagt:

        Man kann sich verschiedene 2FA-Apps sparren. Geht in der Regel alles mit einer, musst nur manchmal ein wenig lesen. Habe für alle Dienste eine App und registriere da Microsoft usw.

    • N. Westram sagt:

      Es ginge auch einfacher, wenn man für jeden Teilnehmer ein separates Passwort erstellt könnte. Dann müsste zwar entweder den Anbieter z.B. Zoom die Einladungen verschicken lassen oder hätte halt mehr Aufwand beim Verschicken der Einladungen, wenn man die Email-Adressen nicht an den Anbieter übergeben möchte.

      Bei der Lösung unseres Gymnasiums wird ein eigener Bigbluebutton-Server verwendet, wo jeder Schüler sein eigenes Login hat. Da wäre es höchst ungünstig die Login-Daten weiter zu geben, da man dann schnell als Verursacher auszumachen ist.

    • Stephan sagt:

      Was soll die 2FA hierbei genau bringen, wenn die Schüler die zugangsdaten selber veröffentlichen, dann ist der vorgang ja gewollt.
      Dann werden die Schüler genauso die 2FA für Fremde öffnen.

      Wenn man an seiner Haustür den Schlüssel stecken lässt und ein Schild mit einem Hinweis aufhängt,
      ist das Problem nicht die Tür oder das Schloss.

      Dann kann man natürlich noch ein 2. Schloss an die Tür machen, aber wenn man diesen Schlüssel ebenfalls stecken lässt, ändert das nichts an der Situation.

      • Dat Bundesferkel sagt:

        Weil es völlig egal wäre, ob sie ihre Zugangsdaten veröffentlichen würden, da Du ein zweites „medium“ bräuchtest, um Deinen Login zu bestätigen. Da kannst Du Deine Daten dann auf dem Bahnhofsklo veröffentlichen – kommt trotzdem keiner rein.

        Abseits separater kleiner 2FA Geräte (wie bspw. den Battle.net-Authenticator) hat sich das Mobiltelefon etabliert. Und während junge Menschen bereitwillig den Zugang stören mögen – ihr urheiliges Smartphone geben sie nicht aus der Hand. Das weiß jeder, der selber Nachwuchs hat.

        Also ab vom Ur-Opa-Denken und rasch 2FA eingeführt. Dann hat man seine eigene Schwachstelle schnell im Griff.

  2. Daniel sagt:

    @Dat Bundesferkel: Ganz so einfach ist das auch nicht gesagt und ich glaube dem Bericht, weil mein Musikschullehrer von exakt dem gleichen erzählt und er auch sagt, dass die Schüler sich einen Witz draus machen und die Zugänge weitergeben. Und wenn man jetzt mit 2FA kommt, kann man ganz aufhören damit, weil niemand mehr klar kommt :D. Ist ja so schon schwer genug mit WLAN und zig Geräten. Erst am FR noch bei einer Freundin gehabt: am iPad Air 4 alles OK; das Samsung WLAN Tablet Galaxy Tab A aus 2019 hat einen mieseren WLAN Empfang als ein iPhone (iPhone stabil 2 Balken, Tablet: mal 1 Balken, dann WLAN weg, mal wieder da, sehr instabil – Router: AVM 7530 AX und Geräte hatte ich auf dem Schoß!) und das soll was heißen und ihr Notebook war lahmer als das iPad und kann nicht mal Videokonferenzen mit mehrere Leuten, weil die CPU mit Zoom mit 1 Person zu zu 90% dauerhaft ausgelastet ist (zum Vergleich mein T460 mit i5-6200U: maximal 40% und das ist technisch jetzt auch 5 Jahre alt). Da geht’s schon los, dass man statt Core i irgendwas billig Plastiknotebooks kauft, die auch gerade so für Office Power haben. Alles traurig und das Marketing der Hersteller: funktioniert.

    • Dat Bundesferkel sagt:

      Ganz ehrlich: Bildungsdefizite sind nicht meine Aufgabe diese auszugleichen. Privat hatte ich Interesse an handwerklichen Dingen (Gas-, Wasser- und Sch…) – ich habe es gelernt, weil ich nicht von anderen abhängig sein will.
      Das selbe in der Elektroinstallation. Und auch IT: Ich bin kein Foren-Klugscheisser (also nicht nur), sondern habe es letztlich dann vollständig gelernt und kombiniere es mit jahrzehntelanger Erfahrung (und steter Weiterbildung).

      Wenn ich mir etwas besorge oder anschaffe, setze ich mich erst ein mal thematisch damit auseinander. Ich muß es ja nicht studieren, aber Grundlagen sollte man schon verstehen. Wer lieber abends sein Bier trinkt und DummDumm-TV schaut – bitte, ist in Ordnung, aber an der eigenen Verdummung ist man dann auch selber schuld.

      Wenn ein Dienst wie Zoom den Prozessor so stark auslastet, dann schaut man nach, woran das liegt. Ob nicht vielleicht ein falscher CoDec genutzt wird, der keine Hardwarebeschleunigung erlaubt. Und dann stellt man Fragen und recherchiert. Möglichkeiten gibt es immer.

      Und 2FA ist nur SOLANGE kompliziert, so lange man sich damit NICHT auseinandersetzt. Macht man sich denn ein mal die Mühe fragt man sich auch nur im Boris Becker-Style: „Wie jetzt? Bin ich schon drin? Ich bin schon drin!“* (alter Internet Werbe-Spot)

  3. 1ST1 sagt:

    Homeschooling per Zoom ist grundsätzlich problematisch, sollte man eigentlich nicht machen. Siehe, und da fängt es schon an, dass die Datenschutzrichtlinien von Zoom nur in englisch vorliegen:

    https://zoom.us/privacy – da heißt es dann:

    „Zoom and Children

    Zoom does not knowingly allow children under the age of 16 to sign up for their own accounts. Primary and secondary schools or districts register to use Zoom’s video communications platform through a “K-12/Primary and Secondary Account.” Please see Zoom’s K-12/Primary and Secondary Privacy Statement for additional information. Where terms differ, as with the limitations on advertising in K-12 Accounts, the K-12/Primary and Secondary Privacy Statement takes precedence. “

    Kinder unter 16 Jahren dürfen also *eigentlich* keinen eigenen „normalen“ Account in Zoom haben, Dafür gibt es für Kinder unter 18 diese K12-Accounts, die von der Schule eingerichtet werden müssen.

    https://zoom.us/docs/en-us/schools-privacy-statement.html

    Diese richten sich aber rein nach den Vorschriften einiger amerikanischer Bundesstaaten, nicht nach europäischem Recht.

    Meine Kinder nutzen Teams, nicht Zoom, für schulische Zwecke, da gibts wenigstens von MS auf der Webseite Statements für Datenschutz für Schüler, nutzung von europäischen Servern, (nach Aussage von MS, darauf muss man einfach vertrauen, schließlich nutzen ja auch europäische Konzerne und Behörden das ja auch) DSGVO-Konform und auch sonst auf europäisches Recht bezogen. Allerdings der Sportverein meiner Kinder nutzt momentan Zoom, ohne dass man sich da anmelden muss, einfach über einen Weblink bzw. für alle Teilnehmer gemeinsamme Zugangscodes, man muss aber seinen Realnamen angeben, damit der Trainingsleiter sehen kann, dass da nur zahende/angemeldete Mitglieder mit turnen. Über die Rechtsgrundlagen bei solcher Teilnahme an Zoom sehe ich garkeine Hinweise auf deren Webseite, aber der Realname der Kinder wird natürlich auf die Zoom-Server übertragen. Und alleine über den Webbrowser nutzen habe ich auch noch nicht hinbekommen, es klappt eigentlich nur nach Installation des Zoom-Clients (der theoretisch den ganzen PC auslesen könnte – wie allerdings jede andere Software auch).

  4. Hüa_Hott sagt:

    Gibt es eigentlich eurerseits schon (positive/negative) Erfahrungen mit

    Jitsi?
    https://meet.jit.si
    und
    Meetzi.de? (Hat Whiteboard etc und könnte/ist eine Alternative zu Zoom/Teams?
    https://meetzi.de
    Server in D klingt vertrauenswürdig …

    • Dat Bundesferkel sagt:

      Ich nutze XMPP und das Videoprotokoll läuft Rockstable in Verbindung mit Conversations.

      Wenn man aber weiter oben schon liest, daß die Nutzer mit grundlegendsten Dingen überfordert sind… na, Hauptsache man weiß, wo die Wurst ins Senfglas geht.

  5. Andreas K. sagt:

    Es steht aber ganz groß da, wenn man in seinem Zoom-Account ist, dass der Link ein persönlicher Link (Meeting-ID, PMI) ist:
    „Ihr PMI wird Ihnen automatisch als permanenter persönlicher Besprechungsraum zugewiesen. Sie können es jederzeit starten oder für eine zukünftige Verwendung planen.“

    Ob Teams oder Zoom, es ist die selbe DS-Katastrophe.

  6. Andreas K. sagt:

    Soweit ich das gerade las, wird neuerdings ein Meeting, wenn nicht anders abgesichert, immer mit einem Warteraum gestartet.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert