Videokonferenzen haben durch die Kontaktbeschränkungen einen ungeahnten Aufschwung erlebt. Der amerikanische Konferenzdienst Zoom hat seine Nutzerzahlen in wenigen Wochen während der Corona-Pandemie verdreißigfacht, von 10 Millionen auf 300 Millionen Nutzer – am Tag. Auch Facebook will von diesem lukrativen Kuchen jetzt ein Stück abhaben und verkündete vergangene Woche den Start eines eigenen Videokonferenzdiensts.

Doch welche der Apps sind wirklich sicher? Schließlich häufen sich Berichte über Sicherheitslücken, vor allem Zoom wurde kritisiert für laxe Sicherheitsvorkehrungen: Daten wurden an Facebook weitergegeben, Aufzeichnungen privater Video-Anrufe fanden sich frei verfügbar im Internet und Klagen über das „Zoombombing“ werden immer lauter. Das sind digitale Streiche, in denen sich Menschen in wildfremde Videokonferenzen einwählen und stören, gerne etwa, indem sie Pornographie einspielen. In belanglosen, privaten Konferenzen mag das noch eine gewisse Komik haben, in Vorstandssitzungen oder Behördenbesprechungen wird es zum ernstzunehmenden Sicherheitsrisiko. Trotz des Namens ist davon nicht nur der Anbieter Zoom betroffen: Der Computerzeitschrift c’t gelang es im März, sich ohne größere Schwierigkeiten in das vom Unternehmen Cisco konstruierte Videokonferenzsystem des bayerischen Innenministeriums einzuwählen und dort interne Besprechungen der Corona-Lage mitzuhören.

Drei Apps fallen durch

Die hinter dem Browser Firefox stehende und auf Datenschutz bedachte Mozilla-Stiftung hat deshalb nun 15 der wichtigsten Video-Konferenz-Apps unter die Lupe genommen und in einer Handreichung für Nutzer zusammengefasst. Die Ergebnisse dieser Sicherheitsanalyse liegen der F.A.Z. vorab vor. 12 der 15 Apps erfüllen demnach die 5 Minimalstandards, die die Mozilla-Sicherheitsfachleute definiert haben: Sie verschlüsseln die Anrufe, sie stellen regelmäßig Sicherheits-Updates bereit, sie verlangen sichere Passwörter, sie haben eine Datenschutzrichtlinie und sie betreiben ein Programm, um Sicherheitslücken schnell zu beheben.

Die meisten großen Apps erfüllen diese Mindest-Sicherheitsanforderungen: Zoom, Apples Facetime, Skype von Microsoft und Messenger sowie Whatsapp von Facebook sind darunter. Drei Apps erfüllen nicht alle fünf Kriterien: Houseparty, Discord und Doxy.me. Das Hauptproblem der drei Apps: Sie verlangen keine sicheren Passwörter. Auch einfache Zahlenfolgen wie „123456“ werden der Untersuchung zufolge akzeptiert. Houseparty und Discord sammeln nach Ansicht von Mozilla zudem zu viele persönliche Informationen.

Dagegen erhält die viel kritisierte Zoom-App in einem Blogbeitrag der Mozilla-Vizepräsidentin Ashley Boyd sogar ein Sonderlob. „Zoom hat schnell gehandelt, um die Privatsphäre- und Sicherheitsprobleme anzugehen.“ Zooms schnelle Reaktion liege auch in dem harten Wettbewerb begründet, den sich die verschiedenen Video-Apps lieferten, und unterscheide den Markt von vielen anderen Bereichen des Internets, wo es Monopolisten gebe. Wenn eine Videokonferenz-App eine neue populäre Funktion einführe, zögen die anderen bald darauf nach.

Der „heilige Gral“ der Verschlüsselung

Allerdings weist Mozilla darauf hin, dass es sich bei den fünf Kriterien nur um Mindeststandards handelt. Die genaue Ausgestaltung beispielsweise der Verschlüsselung variiert deutlich. Einige der Apps nutzen den „heiligen Gral“ der Ende-zu-Ende-Verschlüsselung, schreibt Boyd. Das bedeutet, dass nur diejenigen, die am Anruf teilnehmen, die Inhalte sehen können. Diesen Standard erfüllen Google Duo, Facetime, Whatsapp, Signal, Goto-Meeting und Doxy.me. In der Skype-App, dem Facebook-Messenger und Webex könnten Nutzer sich zudem entscheiden, ihre Anrufe Ende-zu-Ende verschlüsseln zu lassen. „Andere Apps nutzen eine Client-to-Server-Verschlüsselung“, heißt es in dem Blogbeitrag. „Sobald deine Daten auf dem Server deines Unternehmens landen, können sie gelesen werden.“ Das gelte vor allem für Apps mit einem Fokus auf Unternehmen als Kunden.