Aufnahmemöglichkeit trotz Stummschaltung

Die Ergebnisse ihrer 21-seitigen Analyse veröffentlichten die Forscher nun in einem Aufsatz zu einem Sammelband einer Technologiekonferenz. Angeschaut wurden unter anderem die Zoom-Lösungen in der Business-Version, Slack, Teams und Skype von Microsoft, Cisco Webex, Google Meet, BlueJeans, WhereBy, GoToMeeting, Jitsi Meet und Discord. Die meisten dieser Anwendungen haben nur begrenzte oder theoretische Datenschutzbedenken aufgeworfen. Zunächst entdeckten sie, dass all diese Systeme, die insbesondere während einer Coronavirus-Pandemie oft schwer zu umgehen sind, die Möglichkeit haben, Audio aufzunehmen, selbst wenn das Mikrofon auf „stumm“ geschaltet ist. Sie entdeckten jedoch nur, dass eine Anwendung damit auch Audiosignale misst.

Webex sendet aufgezeichnete Audiotelemetriedaten

„Wir haben festgestellt, dass alle Anwendungen in unserer Studie in der Lage waren, aktiv nach dem Mikrofon zu fragen (d. h. rohe Audiosignale abzurufen), wenn der Benutzer stummgeschaltet war“, heißt es in der Studie. Interessanterweise stellte sich heraus, dass Cisco Webex sowohl in Windows als auch in macOS nach dem Mikrofon “unabhängig vom Status der Stummschalttaste” fragte. Nach Angaben des Teams sendet Webex jeweils etwa jede Minute Netzwerkpakete mit Audiotelemetriedaten an Cisco-Server. Diese Messungen sind kein aufgezeichneter Ton, sondern ein abgeleiteter Wert, der das Intensitätsniveau der Hintergrundaktivität darstellt. Die Daten reichten den Forschern jedoch aus, um solche Aktivitäten im Raum mit dem verwendeten Gerät mit einer Erfolgsquote von 82 Prozent nachzuweisen. Das erstellte Tool analysierte die Übertragung und wählte aus sechs möglichen Tätigkeiten wie Kochen, Putzen oder Tippen auf der Tastatur die wahrscheinlichste Vor-Ort-Tätigkeit aus.

Die Browseranwendung war nicht betroffen

Wenn Sie nicht die native Anwendung für Videokonferenzen verwenden, sondern die Versionen für Internetbrowser verwenden, sind Sie von dem Problem nicht betroffen. Sie verwenden die WebRTC-Vorlage zum Stummschalten für die Echtzeitkommunikation, wodurch das Mikrofon elegant ausgeschaltet wird. Das Hindernis besteht laut Wissenschaftlern darin, dass Video- und Audiosignale von nativen Programmen nicht gleichmäßig behandelt werden. Bei macOS und Windows basiert das Ausschalten der Kamera in einer Anwendung auf einer Steuerung auf Betriebssystemebene, die gut implementiert ist und dem Benutzer auch optisch signalisiert wird. Softwarebasierte Stummschalttasten hingegen hängen von ihrer jeweiligen Anwendung ab und zeigen selten an, wann das entsprechende Mikrofon Ton aufzeichnet. Das Team stellte fest, dass die Feststellung, dass Webex das einzige getestete Konferenzsystem war, das den ausgehenden Datenstrom nicht kontinuierlich verschlüsselte, in Bezug auf die Sicherheit noch schwerwiegender war. Nur mit der Cisco-Lösung konnten sie Klartext abfangen, kurz bevor er an die Windows-Netzwerkschnittstelle (API) weitergeleitet wurde. Im Allgemeinen sind Vorkehrungen zur Anwendungsüberwachung nicht mit den Datenschutzbestimmungen von Webex vereinbar. Darin heißt es, dass das Programm “den Datenfluss oder den Inhalt der Sitzungen weder überwacht noch stört”.

Webex stoppt den unverschlüsselten Datenfluss

Laut dem Online-Journal The Register hat das Team, nachdem die Forscher Cisco über ihre Ergebnisse informiert hatten, nun dafür gesorgt, dass Webex keine Mikrofon-Telemetriedaten mehr überträgt. Ein Sprecher verteidigte gleichzeitig das Heimatrufen. Webex verwendete die Hinweise, „um einen Benutzer darüber zu informieren, dass er stummgeschaltet wurde“. Damit wurde eine entsprechende Alert-Funktion unterstützt. Es war keine Schwachstelle im System. In Deutschland raten Datenschutzbeauftragte von Bund und Ländern seit 2020 zu einem Leitfaden, Videokonferenzsysteme von US-Anbietern vor dem Einsatz „aufmerksam zu testen“. Unternehmen, Behörden und andere Organisationen werden Lösungen wie Teams, Skype, Zoom, Google Meet, GoToMeeting und Cisco WebEx nicht ohne weiteres nutzen können. Wer sich nach dem Wegfall des Privacy Shield auf alternative Standardvertragsklauseln zur Datenextraktion beruft, sollte laut Datenschutzbeauftragten „vor Beginn der Übermittlung die Rechtslage im Drittstaat hinsichtlich förmlicher Auskunfts- und Rechtsschutzmöglichkeiten für Betroffene analysieren“. WebEx & Co. steht seit langem auf der Roten Liste der Berliner Datenschutzbehörde. (tw) Auf der Homepage