Zoom möglichst datenschutzfreundlich nutzen

Hallo,

ich habe bisher noch nie Zoom benutzt. Nun muss ich es wohl tun, weil ich anders nicht an dringend benötigte Informationen herankomme. Es ist eine Selbsthilfegruppe. Ich hab mir hier die Threads zu dem Thema durchgelesen.

Was ich schon weiß:
*es wird die teure Version für Geschäftskunden verwendet
*was da sonst noch in den Händen des Leiters liegt und was er alles aktiviert/deaktiviert hat, entzieht sich bisher meiner Kenntnis
*ich werde keine Kamera benutzen
*ich werde Fake-Daten angeben, wo möglich (mal sehen, wie das mit Telefonnummer und Adresse funktioniert)
*problematisch ist, was sie sonst noch sammeln: „Informationen über Ihr Gerät, Ihr Netzwerk und Ihre Internetverbindung, wie z. B. Ihre IP-Adressen, MAC-Adresse, andere Geräte-ID, Gerätetyp, Betriebssystemtyp und -version sowie Client-Version“

• IP-Adresse: da könnte ich vorher alle andere Software mit Internetverbindung ausstellen und mir dann beim ISP eine neue IP-Adresse geben lassen
• MAC-Adresse: Kann man die für die Zeit nicht auch ändern?
• was ist mit „andere Geräte-ID, Gerätetyp“ gemeint?
• Betriebssystemtyp und -version - hier würde ich ein LiveLinux (oder mit Persistenz, damit ich vorher alles relevante schon einstellen und testen kann) nutzen, irgendwas was ich sonst nicht nehme
• Client-Version - bezieht sich das auf die Zoom-App? Müsste sich ja dann erübrigen, wenn ich über den Browser reingehe
• Daten des Mikrofons
• Bzw. hörte es sich auch so an, dass es bei Zoom auch die Möglichkeit gibt, nur Text einzugeben. als Textchat (bin mir nicht sicher, stelle mir das wie bei Jitsi vor). Das wäre natürlich besser, Aufzeichnung der Stimme mag ich nicht. Allerdings weiß ich nicht, wie gut man da von der Gruppe wahrgenommen wird.

Was sie da sammeln, hab ich von
https://bigbrotherawards.de/2023/zoom
https://www.ihk.de/koblenz/servicemarken/ueber-uns/datenschutz-1/dsgvo-zoom-4903534#titleInText3

Was meint ihr dazu?

Man sich auch nur mit Telefon bei Zoom einwählen. Für diese Zwecke gibt es Festnetznummern in D, die wählt man, gibt dann die Meeting-ID an und (das kann deaktiviert sein) die Teilnehmer-ID. Ich habe das schon praktiziert. Vielleicht geht es auch mit unterdrückter Rufnummer. Man ist standardmäßig stummgeschaltet und hört den Konferenzton. Mit *6 kann man die Stummschaltung aufheben und wieder aktivieren. Sprechwunsch ist, glaube ich, *9.

Dann gibt es aber auch keine E2EE mehr? https://support.zoom.com/hc/en/article?id=zm_kb&sysparm_article=KB0059027#h_01G9Q397FVBCVTKZZA3SYRS2FH

Per Telefon einwählen hatte ich direkt nachgefragt, da kam die Aussage mit der Version für Geschäftskunden und dass es datenschutzrechtlich zugelassen ist. Von daher geht es vermutlich nicht (oder brauche ich dafür den Leiter nicht und kann die Nummer selber rausfinden und dann einfach benutzen?)
Bin mir aber auch nicht sicher, ob es besser ist (Stimme wird ja trotzdem aufgenommen und die Nummer ist dann wahrscheinlich bekannt), ist aber evtl. einfacher umzusetzen als online.

Um an einer Zoom Sitzung teilzunehmen, brauchst du keine Zoomapp, sondern nur einen Browser und den Link und die MeetingID. Das Betriebssystem ist dann egal. Wenn du nun noch ein Gerät hast, was du nur für „datenproblematischere“ Sachen nutzen kannst, um so besser. Du kannst Fakedaten angeben, aber außer einen Namen mit dem du an der Sitzung teilnimmst und unter dem dich dann die anderen Teilnehmer sehen, brauchst du weiter keine Daten eingeben, also auch keine Adresse oder Telefonnummer.
Das deine Stimme oder Biometriedaten gespeichert werden, z.B. zur weiteren Analyse habe ich noch nicht gehört. Wenn du stumm bleibst, kannst du dich über einen parallel laufenden Chat beteiligen.
Als reiner Teilnehmer sehe ich die Nutzung weniger problematisch.

Will man aber Zoom an sich nicht unterstützen, kann man nur, wie bei Whatsapp, auf mögliche Alternativen hinweisen. Gerade bei einer Selbsthilfegruppe, wo es wahrscheinlich auch um intime Angelegenheiten geht, könnte man auf Opentalk, Jitsi und Bluebutton hinweisen. Besser wäre es, vielleicht selber so eine Sitzung einzuzrichten und dann den Moderator der Gruppe ansprechen, ob er dies mit dir nicht einmal als Alternative ausprobieren will.

Ich persönlich würde BraveTalk (basiert auf Jitsi) als Alternative empfehlen - die E2EE muss man derzeit aber manuell aktivieren:

https://brave.com/de/talk/

Danke für die Antworten!

Ja, ich stimme Dir voll zu, „Alternativen“ wären das Beste, sind aber zumindest kurzfristig leider keine Alternative.
(ich frage mich grundsätzlich aber auch, was die Teilnehmer mit Zoom verbinden und eine Alternative können müsste. Es gab mal eine „Mailingliste“ (nicht im eigentlichen Sinn, sondern man hat alle Interessenten im cc mitgeführt), diese wurde abgeschafft aus „Datenschutzgründen“ (vielleicht zielen sie ja auf Verschlüsselung ab))

Das verstehe ich nicht. Wenn Zoom diese Daten sammelt, wird das sicher auch für ein Fingerprinting verwendet, denk ich mir. Wenn nicht von Zoom selbst, dann sicher von den anderen Unternehmen, an die die Daten weitergegeben werden. Ich weiß es natürlich nicht (weiß es denn jemand?), aber da bin ich vorsichtig, daher auch meine Überlegungen/Fragen zu den anderen erhobenen Daten,

Ich auch nicht, aber sie könnten es ja trotzdem verwenden?

Was meinst Du mit parallel laufendem Chat? Das, was ich meinte, mit einem Textchat? Geht das denn immer?

Kann nicht für @ToKu sprechen, der Hinweis auf das im beschriebenen Fall unerhebliche Betriebssystem ist jedoch in einen Kontext eingebettet.
In diesem -nach meinem Verständnis dem einer dedizidierten Umgebung für die problematische Software- spielt das OS tatsächlich keine Rolle.

Wenn man sich einer Crapware aufgrund sozialem oder anderweitigem „Druck“ nicht versagen möchte, ist es generell eine gute Idee, ein entsprechendes Umfeld hierfür zur Verfügung zu stellen.

Das kann man einfach aber nicht immer kostenneutral über eine VM auf einem freien OS oder im Falle mobiler Anwendungen über ein simples Smartphone vom Import-/Export-Shop realisieren.

Du meinst, wenn man es über einen Browser macht, wird das nicht gesehen (sondern nur wenn man es als App nutzt) oder wie? Und die MAC-Adresse ist dann auch nicht mehr relevant?

Also „nicht gesehen“ meine ich nicht. Die IP-Adresse, mit der die Verbindung hergestellt wird, ist natürlich für den Server sichtbar. Wenn das zu verbergen wichtig ist, muss man natürlich ein VPN o.ä. verwenden.

Wenn man dedizidierte Geräte verwendet, spielt die ggfs. stattfindende Ausspähung keine Rolle bzw. ist eben auf diese Umgebung begrenzt.
Die Software kann also maximal ausspionieren, was man mit ihr selbst gemacht hat.

Ich verstehe jetzt nicht, was Du meinst. Es ging ja ursprünglich ums Betriebssystem:

und redest dann weiter von der IP-Adresse.
Aber wie gesagt, hier ging es ja ums Betriebssystem. Dass das Betriebssystem nicht gesehen wird, schließt Du nicht aus. Du meinst aber trotzdem, dass das keine Rolle spielt für Fingerprinting?! Das kann ich nicht nachvollziehen.

Ja, wenn ich mir jetzt extra ein Gerät dafür kaufe (was so schnell nicht geht), spielt die Hardware/OS für ein Fingerprinting keine Rolle (sofern ich das Gerät dann ausschließlich für den Zweck verwende), das ist mir schon klar - nur leider nicht praktikabel. Deswegen suche ich ja nach anderen Möglichkeiten.

Die IP-Adresse: Da würde ich wie oben geschrieben, mir vorher eine neue Adresse holen (und hoffen, dass das in diesem Thread erwähnte auf mich nicht zutrifft). Ansonsten überlege ich schon länger wegen VPN, weiß nur nicht, wie aufwändig das umzusetzen ist,

Die Chatfunktion kann vom Moderator generell ausgeschaltet werden. Im Allgemeinen ist sie aber an und du findest dann einen Button Chat.

Ansonsten habe ich es nochmal ausprobiert einem Zoommeeting per Torbrowser beizutreten, was nicht funktioniert hat. Ob Verbindungen über ein VPN blockiert werden, weiß ich nicht. Auch kann man scheinbar über iOS und Android nicht per Browser beitreten, sondern nur mit installierter App.

Hast du kein Zweitgerät und du kannst browserbasiert über WIN/Linux/Mac an dem Meeting teilnehmen, installiere dir Brave. Wenn du dann neben dem Adressfeld auf den Löwen klickst, hast du Möglichkeiten für das Zoommeeting unter „Fortgeschrittene Steuerung“ verschiedene Einstellungen zu tätigen, auch hinsichtlich des Fingerprintings. Stellst du allerdings „aggressives Fingerprinting“ ein, wirst du auch kein Bild mehr sehen können.

Vielleicht hilft dir ja auch der Beitrag zur 3 Browser Strategie, um deinen Datenschutz beim browsen generell zu erhöhen und noch der Beitrag zu Brave, der sich hier zwar auf die Androidversion bezieht, die entsprechenden Einstellungen aber auch bei den Desktopversionen zu finden sind.

Um mögliche Missverständnisse zu vermeiden, eine kurze Info zu E2EE in Zoom:

Echtes E2EE in Zoom gibt es derzeit nur, wenn zumindest der Meeting-Organisator die „Large Meeting license“ hat und für das betreffende Meeting, die E2E-Verschlüsselung auch aktiviert.

Sobald E2EE aktiviert ist, ist eine Teilnahme über den Webbrowser an dem Meeting nicht möglich.
Auch diverse andere Funktionen (wie z.B. die Aufzeichnung des Meetings in der Zoom-Cloud) sind dann nicht mehr verfügbar.

D.h. falls du bei dem Meeting via Web-Browser teilnehmen kannst, dann ist für dieses Meeting kein E2EE aktiv.

Ich frag nochmal wegen Telefon: Eine Meeting-ID und Passwort habe ich (wenn es sich nicht geändert hat). Wie gesagt, kann die Nummer selber rausfinden und dann einfach benutzen? Ohne dass der Meeting-Leiter dafür was tun muss?

Zum Benutzen per Browser:
Nachdem nun niemand mehr was dazu geschrieben hat, gehe ich davon aus, dass Zoom bei Benutzung über den Browser „nur“ die Daten bekommt wie wenn man sonst surft. Also die IP-Adresse, User-Agent und was man bei der Registrierung preisgibt, sowie alles an Skripten, was man nicht sperrt. Dann sollte doch ein gehärteter Firefox helfen.

Wieso empfehlt ihr den Brave-Browser? Soweit ich es verstanden habe, ist er beim Datenschutz nicht so gut und die Empfehlung von Mike Kuketz ist eher aus Sicherheitsgründen. Oder ist der Fall hier/inzwischen anders? Oder besser bei Fingerprinting?

Und beim Browser (ich schreib jetzt mal zum Firefox, mit Brave hab ich noch keine Erfahrung):

Mit UBlockOrigin wird das Problem sein, dass man alles mögliche freigeben muss, sonst wird wieder nichts funktionieren. Auch wenn man sich diese Liste anschaut, wo die Unterauftragsverarbeiter genannt werden und wofür sie zuständig sind: Das Who ist who der Datenschleudern. Ich fürchte, man wird nichts/nicht viel abstellen können.

Da stellt sich umso mehr die Frage, was man zum Schutz gegen Fingerprinting tun kann: CanvasBlocker oder JShelter. Laut privacy-Handuch ist es unwahrscheinlich, dass JShelter damit funktioniert (weil Videokonferenz) oder hat das mal jemand ausprobiert?

Mich graut es schon. Wenn übers Fingerprinting meine Person der SHG zugeordnet werden kann… (und danach siehts ja aus).

Danke, sowas hab ich mir schon gedacht, in der letzten Zeit hab ich bei sooo vielen Seiten Probleme mit Tor.

Danke überhaupt, ich tue mich schwer, den wenig schlimmsten Fall einzuschätzen, daher meine Fragen.

E2EE bei Zoom ist eh fake. Was passiert, ist: Jede einzelne Verbindung ist verschlüsselt zwischen Client und der MCU von Zoom. Dort liegen sämtliche Inhalte unverschlüsselt vor!
Zoom kann ALLES mithören und tut das auch, nachgewiesenermaßen.
Zu MCU: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Kompendium-Videokonferenzsysteme.pdf

Quelle?

Das was du beschreibst, ist die „Standardverschlüsselung“ bei Zoom.

Seit Ende 2023 gibt es auch echte E2EE bei Zoom, mit den entsprechenden Einschränkungen (gibt es nur für „Large Meeting-Lizenzen“, maximal 200 Teilnehmer, und klarerweise keine Cloud-Aufzeichnung, keine Live-Transkription u.s.w.).

Mein Wissensstand ist von vor Ende 2023, weil ich Zoom nicht mit der Kneifzange anfasse. Und soweit ich das verstanden habe, ist auch das „echte“ E2EE inakzeptabel. Es benötigt den Zoom-Client, der schon häufig mit „Sicherheitslücken“ aufgefallen ist (vor allem der für Windows). Falls ich für einen eventuellen absoluten Notfall (schwer vorstellbar) den Zoom-Client auf Linux installieren müsste, dann würde ich dafür ein Wegwerf-Image verwenden und nach der VK ersatzlos löschen. Man kann ja nie wissen, was die Amis alles an versteckten Beigaben mitliefern …