Die angebliche Stummschaltung häufig verwendeter Videokonferenzsoftware bedeutet nicht, dass die Mikrofone des Geräts tatsächlich deaktiviert sind. Vielmehr haben Programme weiterhin Zugriff auf Audiodaten – und nutzen diese teilweise. Das haben amerikanische Wissenschaftler der Loyola University in Chicago und der University of Wisconsin-Madison herausgefunden.
Option zum Aufnehmen trotz Verklemmen
Die Ergebnisse ihrer 21-seitigen Analyse haben Forscher bereits in einem Sammelband-Essay auf einer Konferenz zum Thema „Privacy through Technology“ veröffentlicht. Sie betrachteten unter anderem die Enterprise-Lösungen Zoom, Slack, Teams und Skype von Microsoft, Cisco Webex, Google Meet, BlueJeans, WhereBy, GoToMeeting, Jitsi Meet und Discord.
Die meisten dieser Anwendungen haben unter Experten nur begrenzte oder theoretische Bedenken hinsichtlich des Datenschutzes geweckt. Im Allgemeinen stellten sie fest, dass alle diese Systeme, die insbesondere während einer Corona-Pandemie oft schwer zu umgehen sind, die Möglichkeit haben, Audio aufzunehmen, selbst wenn das Mikrofon stummgeschaltet ist. Sie stellten jedoch nur fest, dass eine Anwendung es auch zum Messen von Audiosignalen verwendete.
Webex sendet aufgezeichnete Audiotelemetriedaten
„Wir haben festgestellt, dass alle Anwendungen in unserer Studie das Mikrofon aktiv anfordern (dh rohe Audiosignale extrahieren) konnten, wenn der Benutzer stummgeschaltet war“, heißt es in der Studie. Interessanterweise stellte sich heraus, dass Cisco Webex das Mikrofon „unabhängig vom Status der Stummschalttaste“ sowohl unter Windows als auch unter macOS anforderte.
Nach Angaben des Teams sendet Webex in jedem Fall Netzwerkpakete mit Audiotelemetriedaten an Cisco-Server. Diese Messwerte sind kein aufgezeichneter Ton, sondern ein extrahierter Wert, der die Lautstärke der Hintergrundaktivität darstellt. Die Daten reichten jedoch aus, um den Forschern zu ermöglichen, ähnliche Aktivitäten im Raum mit dem verwendeten Gerät mit einer Inzidenzrate von 82 Prozent zu identifizieren. Das erstellte Tool analysierte die Übertragung und wählte aus sechs möglichen Tätigkeiten wie Kochen, Putzen oder Tippen auf der Tastatur die wahrscheinlichste Vor-Ort-Tätigkeit aus.
Die Browseranwendung ist nicht betroffen
Wenn Sie nicht die native Videokonferenzanwendung, sondern Internetbrowser-Versionen verwenden, betrifft Sie das Problem nicht. Sie verwenden die Stummschaltfunktion des WebRTC-Standards für die Echtzeitkommunikation, die das Mikrofon elegant stummschaltet.
Stolperstein ist laut Wissenschaftlern, dass Video- und Audiosignale nicht gleichermaßen von nativen Programmen verarbeitet werden. Für macOS und Windows basiert die In-App-Kameradeaktivierung auf einer Steuerung auf Betriebssystemebene, die gut implementiert ist und dem Benutzer auch visuell signalisiert wird. Softwarebasierte Mute-Buttons hingegen hängen von der jeweiligen Anwendung ab und zeigen nur selten an, wenn das angeschlossene Mikrofon Ton aufnimmt.
Noch gravierender aus Sicherheitssicht ist aus Sicht des Teams der Befund, dass Webex das einzige befragte Konferenzsystem ist, das den ausgehenden Datenstrom nicht durchgehend verschlüsselt. Nur mit der Entscheidung von Cisco konnten sie Klartext abfangen, kurz bevor er an die Windows Network Sockets Interface (API) weitergeleitet wurde. Generell sind Maßnahmen zur Überwachung der Anwendung nicht mit den Datenschutzbestimmungen von Webex vereinbar. Darin heißt es, dass das Programm „den Datenverkehr oder die Inhalte von Meetings weder überwacht noch stört“.
Webex stoppt einen unverschlüsselten Datenstrom
Laut dem Online-Journal The Register hat die Gruppe, nachdem die Forscher Cisco über ihre Ergebnisse informiert hatten, bereits dafür gesorgt, dass Webex keine Mikrofon-Telemetriedaten mehr überträgt. Gleichzeitig verteidigte ein Sprecher den Aufruf zu Hause. Webex verwendet das Zeugnis, „um den Benutzer darüber zu informieren, dass es stummgeschaltet wurde“. Auf diese Weise bleibt eine entsprechende Benachrichtigungsfunktion erhalten. Dies war keine Schwachstelle im System.
In Deutschland empfahlen Datenschutzbeauftragte von Bund und Ländern bereits 2020 in einem Ratgeber, Videokonferenzsysteme von US-Anbietern vor dem Einsatz „sorgfältig zu prüfen“. Unternehmen, Behörden und andere Organisationen werden Lösungen wie Teams, Skype, Zoom, Google Meet, GoToMeeting und Cisco WebEx nicht ohne weiteres nutzen können. Wer nach einem Verstoß gegen das Privacy Shield auf alternative Standardvertragsklauseln für Datenexporte setzt, sollte laut Datenschutzbeauftragten „vor Webex & Co. die Rechtslage im Drittland hinsichtlich behördlicher Zugriffe und Rechtsbehelfe für Betroffene analysieren seit langem auf der Roten Liste der Berliner Datenschutzbehörde.
(tw)
Gehen Sie zur Startseite
Add Comment