Warum bei mir kein Zoom auf den Mac kommt…

No Access for Zoom

Ich möchte die Meetingsoftware Zoom nicht schlecht machen oder deren Sicherheitslücken aufs Neue breit treten, zumal viele davon schon lange behoben sind. Es geht mir mehr darum, meine persönliche Sicht zu erläutern, warum ich mich davon fernhalte, die App von Zoom auf meinem Mac zu installieren – auch wenn die ganze Welt jetzt auf Zoom springt und Meetings mit der App durchführt.

Zoom hat sich letztendlich durch stabile Verbindungen, einfache Bedienung und gute Funktionen für die Administration der Sitzungen einen Platz vor Skype, Microsoft Teams, Go to Meeting, Lifesize, Jitsi oder BigBlueButton erarbeitet.

Zoom bietet mit seiner Softwarelösung für Unternehmen die Möglichkeit, Videobesprechungen und Chats online abzuhalten.

Zoom bietet mit seiner Softwarelösung für Unternehmen die Möglichkeit, Videobesprechungen und Chats online abzuhalten.

Was ist Zoom überhaupt?

Zoom ist eine US-amerikanische Software für Video-Konferenzen, der Unternehmenssitz ist in Kalifornien. Hier gibt es nicht nur die Möglichkeit, per Video miteinander zu sprechen, sondern auch einen Chat und sogenannte „Breakout-Sessions“. In diesen Sessions werden alle Teilnehmer in kleinen Gruppen zusammengewürfelt. Dies eignet sich gut, wenn mal Gruppenarbeiten (z.B. in Uni-Seminaren) anstehen.

Zudem ist es hier auch möglich, das Online-Meeting aufzuzeichnen. Falls man in einem anderen Meeting war, es aus anderen Gründen verpasst haben sollte, oder sich die wichtigsten Infos nochmal aufrufen will, kann man sich alles nochmal ansehen oder anhören. Eine weitere Funktion ist die Bildschirmfreigabe, was unter anderem bei Präsentationen praktisch sein kann, egal ob für Teamkollegen oder Kommilitonen.

Persönlich kaum Bedarf für Video-Meetings

Der Hauptzweck von Zoom ist, dass man sich mit mehreren Personen online trifft und alle sich gegenseitig sehen und hören können. Mit mehreren Personen meine ich drei oder mehr, denn ein virtuelles Treffen mit zwei Personen kann sehr gut mit Facetime, Skype oder Whatsapp durchgeführt werden.

Für größere Teams oder auch Online-Bewerbungsgespräche wird Zoom immer wieder gerne verwendet. Gerade wenn mehrere Menschen dabei sind, die alle von verschiedenen Orten arbeiten, kann Zoom doch von Vorteil sein.

Für kurze Videokonferenzen von bis zu 40 Minuten ist die Software auch kostenlos. Nach Ablauf dieser Zeit wird das Meeting beendet und muss gegebenenfalls neu gestartet werden.

In meinem Fall gibt es kein Team, mit dem man sich treffen müsste. In der Regel ist es ein Kunde und meine Wenigkeit, die konferieren. So gesehen herrscht bei mir schlicht und ergreifend kein Bedarf für Software wie Zoom oder deren Alternativen.

Sicherheit meiner Daten bzw. meines Mac

Der zweite Grund, warum ich mir kein Zoom am Mac installiere, sind meine Bedenken, die ich in Bezug auf die Sicherheit der Software habe. Grundsätzlich kann man in jeder Software eine potenzielle Gefahr sehen, aber Zoom hat sich damit hervorgetan, den Installationsprozess am Mac besonders einfach machen zu wollen und mit fraglichen, technischen Mitteln geschafft, dass man im Installer nicht einmal "Install" drücken muss. Wer wissen möchte, wie das technisch geht, kann hier und hier auf Twitter nachlesen.

Damit hat Zoom eine Sicherheitslücke geschaffen, die sogar die Übernahme des kompletten Macs erlaubt (siehe heise.de). Und dies war nicht der einzige Fall, bei dem Zoom negativ aufgefallen ist. Schreibt man ein paar Meldungen der letzten 12 Monate zusammen, kommt man auf diese Liste:

  • Ungewollte Kameraaktivierung möglich (07/2019)
  • Mac-Kameras lassen sich über Zoom-Sicherheitslücke anschalten (07/2019)
  • Code-Injections erlauben Lauschen und Root (01/2020)
  • Heimliche Datenweitergabe von iOS Usern an Facebook (03/2020)
  • Sicherheitslücken erlauben Diebstahl von Windows-Passworten und Übernahme des Mac inklusive Aktivierung von Kamera und Mikrofon (04/2020)

Zoom hat mittlerweile nach eigenen Angaben gut 300 Millionen Nutzer weltweit pro Tag. Die letzten Sicherheitsprobleme traten erst vor Kurzem Ende April bzw. Anfang Mai 2020 auf. Dieses Mal ganze vier Bugs, die Passwortdiebstahl unter Windows und Übernahme des Mac mit Zugang zu Kamera und Mikrofon erlauben.

Um mal TechCrunch zu dem stillen Update zu zitieren, das Apple wegen Zoom durchführen musste, weil die Firma selbst das Problem nicht in den Griff bekam:

Apple führt oft stille Signatur-Updates auf Macs durch, um bekannte Malware zu vereiteln – ähnlich wie ein Anti-Malware-Dienst – aber es ist selten, dass Apple öffentlich gegen eine bekannte oder beliebte Anwendung vorgeht. Das Unternehmen sagte, es habe die Aktualisierung vorangetrieben, um Benutzer vor den Risiken zu schützen, die von dem exponierten Webserver ausgehen.

Bei mir kommt die Zoom-App sicher nicht auf den Mac. Wenn nötig, dann höchstens auf mein iPad – aufgrund der besseren Sicherheitseinschränkungen von iOS.

Bei mir kommt die Zoom-App sicher nicht auf den Mac. Wenn nötig, dann höchstens auf mein iPad – aufgrund der besseren Sicherheitseinschränkungen von iOS.

Ein weiteres Problem, das oft angeführt wird, ist die Tatsache, dass die Server von Zoom in China und den USA stehen. Hier kam aufgrund der DSGVO Kritik auf: So werden Daten nach China und auch in die USA geschickt. Allerdings wurde aber bereits nachgebessert: Man kann nun auswählen, welchen Serverstandort man neben den USA zulassen will.

Ein Vorteil von Zoom ist, dass es schnell installiert ist. An dieser Stelle wird allerdings auch oft kritisiert, dass dadurch einige Schutzeinstellungen außer Kraft gesetzt werden. So konnte das Meeting ungewollt aufgenommen werden und Dritte konnten auf Laptop-Mikro und die Kamera zugreifen. Hierzu gab es von Zoom allerdings bereits ein Statement, dass dieses Problem behoben werden soll.

Zudem gibt es auch Kritik an der fehlenden Ende-zu-Ende Verschlüsselung, statt derer es lediglich eine Transportverschlüsselung gibt. So könnte das Unternehmen auf die übertragenden Daten zurückgreifen.

Hinzu kam das sogenannte „Zoombombing“, wo sich Fremde vor allem bei Schulklassen mit ins Meeting einloggten und dort unangemessene Inhalte teilten oder den Unterricht allgemein störten. Um dem entgegenzuwirken wurden für jedes Meeting eigene Passwörter erstellt, die teils auch erst kurz vor Meeting-Beginn geteilt wurden.

Mehr Aufmerksamkeit – mehr Sicherheitslücken?

Man kennt das Spiel schon: Je mehr eine Software oder ein Betriebssystem im Fokus steht, umso mehr Leute schauen, ob sie hier Sicherheitsprobleme finden können. Auch beim iPhone wird jede kleine Möglichkeit, es zu hacken, mit einer Titelstory bei der letzten Lokalzeitung bedacht, während bei anderen Betriebssystemen deutlich weniger Aufhebens gemacht wird, wenn dort jemand ungefragt als Admin ins System kommen kann.

Aus dem Grund kann es sein, dass Zoom vielleicht auch nicht mehr oder weniger unsicher ist als andere Videokonferenz-Software, aber es einfach so aussieht, weil es mehr Meldungen gibt.

Die Tatsache, dass sie aber schon mit ihrem Installer so fragwürdige Wege gegangen sind, die sonst nur Malware am Mac nutzt, um sich mit Root-Rechten zu installieren, führt bei mir dazu, dass ich relativ wenig Vertrauen in die zukünftigen Aktivitäten des Zoom-Teams habe.

Im Internet gibt es Tipps, wie man den Zoom Webserver deaktiviert, der eines der Hauptprobleme war. Mittlerweile hat Apple selbst mit einem Sicherheitsupdate den Zoom-Webserver bei allen Mac-Usern abgeschaltet.

Im Internet gibt es Tipps, wie man den Zoom Webserver deaktiviert, der eines der Hauptprobleme war. Mittlerweile hat Apple selbst mit einem Sicherheitsupdate den Zoom-Webserver bei allen Mac-Usern abgeschaltet.

Installation auf iPhone und iPad weniger problematisch

Sollte ich trotzdem irgendwann einmal Zoom nutzen müssen, werde ich mir die iOS-App "Zoom Cloud Mettings" von Zoom installieren. Die Abschottung, die Apple unter iOS betreibt, um Software deutliche Grenzen zu stecken, ist hier ein Segen. Es gibt einfach schon deutlich weniger Potenzial für Sicherheitsprobleme der Zoom-App, als unter macOS und Windows.

Das Sandboxing von iOS schließt Apps in einen gewissen Rahmen ein und auch der Zugriff auf Mikrofon und Kamera ist deutlich limitierter als dies auf einem Mac der Fall ist. Und wenn man die App unter iOS deinstalliert, bleiben keine laufenden Webserver zurück, die im Hintergrund darauf warten, dass jemand von Außen mit der richtigen Technik den Computer bzw. das Smartphone übernehmen mag.

Stärke von Zoom: solide Videoübertragung auch bei schlechtem Internet

Trotz allem möchte ich eine Lanze für Zoom brechen. Im Gegensatz zu den meisten Alternativen schafft es Zoom irgendwie – selbst unter widrigen Internetbedingungen – zuverlässige Verbindungen zu erstellen und die Videomeetings stabil zu gestalten. Das ist keine persönliche Erfahrung, sondern eine Erkenntnis, die ich nun schon an vielen Stellen in Podcasts gehört oder in Blogartikeln gelesen habe. Wer also beruflich auf Videokonferenzen angewiesen ist, trifft mit Zoom sicher eine gute Wahl.

Unter Systemeinstellungen > Benutzer und Gruppen kann man einen neuen Benutzer nur für Zoom-Meetings einrichten.

Unter Systemeinstellungen > Benutzer und Gruppen kann man einen neuen Benutzer nur für Zoom-Meetings einrichten.

Das kann vor allem dann von Vorteil sein, wenn man aus dem Home Office mit mehreren Personen arbeitet und alle gleichzeitig Videokonferenzen haben, oder wenn man in einer WG wohnt und mehrere Mitbewohner gleichzeitig an Seminaren oder Vorlesungen teilnehmen müssen.

Ein weiterer Vorteil ist, wie oben bereits erwähnt, die einfache Bedienbarkeit. So wird es jedem ermöglicht, diese Software zu nutzen – im Notfall können sicher auch Kollegen und Kommilitonen aushelfen.

Tipp: Zoom unter neuem Mac-Benutzer installieren

Wenn man die Software doch unbedingt am Mac laufen lassen muss, würde ich empfehlen, dies unter einem neuen Benutzer zu tun. Dazu richtet man am Mac unter Systemeinstellungen > Benutzer & Gruppen einen neuen User ein. Wichtig: Bitte nicht die Option "Der Benutzer darf diesen Computer verwalten" abhaken, denn sonst hat der Benutzer-Adminrechte, was wiederum ein gewisses Risiko mit sich bringt. Dann logt man sich als dieser User ein und installiert Zoom nur für diesen Benutzer.

Der Vorteil bei der Installation mit einem neuen Standard-User ist, dass Zoom dann nur in dieser "Blase" des Benutzers lebt und nicht bei anderen Accounts im Hintergrund laufen kann, während man mit seinem Hauptnutzer arbeitet.

So ist jedenfalls mein Verständnis von der Benutzertrennung unter macOS Catalina. Wenn sich jemand mit dieser Sache besser auskennt, würde ich mich über einen Kommentar freuen, um zu erfahren, ob ich hier richtig liege.

Zudem ist es natürlich ratsam, keine sensiblen Informationen wie z.B. Kontodaten oder Passwörter im Chat zu teilen. Dazu zählen auch Links, die keine Dritten sehen sollten.

Weiterhin ist es wichtig, die aktuellste Version von Zoom installiert zu haben. Bei dieser sind einige Probleme bereits behoben. Nichtsdestotrotz ist die Installation unter einem neuen Mac-Nutzer ratsam, wenn man ganz auf Nummer Sicher gehen will.


Gefällt dir mein Blog? Dann würde ich mich über eine kurze Bewertung bei Google freuen. Einfach hier kurz etwas hinterlassen – das wäre toll, danke!

11 Kommentare

  1. Froyo52 sagt:

    Wenn die Uni mmit zoom arbeitet, hat man als Student doch gar keine andere Wahl.

    • Sir Apfelot sagt:

      Um diverse Hollywood-Stars zu zitieren: "Man hat immer eine Wahl." :D Aber ernsthaft. Ich sage ja nichts dagegen, wenn man Zoom auf seinen Mac installiert, aber man sollte sich der Gefahr bewusst sein und versuchen sie zu minimieren. Sicher gibt es auch viele Angestellte, deren Chef auf Zoom besteht, aber dann würde ich sagen, dass man wenigstens einen neuen Nutzer für die Firma anlegt, um dort Zoom und den Rest für den Job laufen zu lassen.

  2. Apple* sagt:

    Bessere Idee: Chrome installieren und dann Zoom als Chrome-Extension. Somit ist Zoom in der Chrome-Sandbox "gefangen". So mache ich es …

    • Sir Apfelot sagt:

      Hallo! Danke für deinen Tipp. Das ist wirklich eine gute Idee, weil man dann keinen neuen Benutzer anlegen muss. Die Chrome-Erweiterung von Zoom findet man hier.

  3. W. Wiegmann sagt:

    Es soll doch auch eine Variante geben bei der man sich über einen Browser einloggen kann, also nichts installieren muss. Stimmt das und wenn ja: Gibt es dabei auch Risiken?

    • Sir Apfelot sagt:

      Ja, wie von dem anderen Leser bereits erwähnt, kann man auch das Chrome Plugin nehmen, um Zoom zu nutzen. Dabei ist das Risiko auf jeden Fall nur so gering wie bei jedem anderen Plugin auch, da es nicht diesen seltsamen Installationsprozess gibt. Es wäre jetzt auch meine Wahl, wenn ich Zoom nutzen müsste.

      • ReinerZufall sagt:

        Hervorragende Tipps für den Umgang mit Zoom, danke.
        Frage: hat wer Erfahrungen mit Zoom-Erweiterungen für Firefox oder Opera?

      • Peter sagt:

        Es geht auch ganz ohne Browser-PlugIn – hier der Beitrag dazu auf Netzwelt https://www.netzwelt.de/anleitung/178209-zoom-browser-nutzenso-gehts.html

        Es ist aber schon irgendwie bezeichnend, dass man Zoom hier quasi „überlisten“ muss, indem man so tut, als würde die eigentlich zunächst auch hier (von dort aus) versuchte Installation aus irgendwelchen Gründen nicht funktionieren (also etwa den zunächst automatisch anlaufenden Download der Software manuell abbrechen…)

        Aber erst dann taucht plötzlich – quasi aus dem Nichts – die anklickbare Option auf, die ganze Sache rein über den Browser laufen zu lassen. D.h. der nichstahnende Zoom-Interessent, der sich zuvor nicht irgendwo anders näher informiert hat, bekommt gar nicht erst die Chance, im „normalen“ Ablauf eine Entscheidung zu treffen, ob er/sie Zoom per App (mit all ihren fragwürdigen Berechtigungen) oder lieber (nur) im Browser verwenden möchte.

        Wenn auf so eine Art versucht wird, klammheimlich die Selbstbestimmung des Users auszuhebeln, ist das auch in meinen Augen ein sehr guter Grund, am besten überhaupt nicht mit dieser Software zu arbeiten – vera…. kann ich mich schließlich selbst!

        Ist man aber wegen des Kontextes (Arbeitgeber o.ä.) praktisch dazu gezwungen Zoom zu benutzen, dürfte der Weg über die Anwendung rein im Webbbrowser der einzig noch halbwegs erträgliche sein.

        Auf einem Android-Tablet habe ich den beschriebenen Weg übrigens nicht hinbekommen: (auch) dort wird erst einmal auf jeden Fall ungefragt die Zoom-App herunter geladen (wenn auch nicht gleich installiert), aber ich habe es hier nicht geschafft, den Browser (Chrome) dahin zu bekommen, dass er meint, man komme nicht weiter, so dass er daraufhin den Link für die reine Browsernutzung von Zoom anzeigt, so wie das auf dem Mac der Fall war…

        • Sir Apfelot sagt:

          Die Argumentation von Zoom für diese schrägen Sachen ist: Wir möchten ein gutes Benutzererlebnis. Sie bewirken damit das Gegenteil… Danke auch für den Hinweis mit dem Umweg für die Nutzung ohne Browser. Da das kannte ich noch nicht.

  4. R. sagt:

    Lieber Sir Apfelot und alle Schlauen hier ;-)

    In einer der etlichen gruseligen Meldungen über Zoom stand ja (bei heise, letztes Jahr), dass

    SOGAR _NACH LÖSCHEN_ DER APP

    immer noch die wirklich schlimme Sicherheitslücke besteht (Kamera Übernahme…) !!!

    Sowas hatte ich noch NIE vorher gehört, dass eine solch krasse Sicherheitslücke nach Löschen einer App überhaupt weiter bestehen kann.
    :-(
    +++++++++++++++++++++++++++++

    Fragen dazu:
    1) WIE ganz genau (für Doofe bitte!) kann man denn alle, alle, alle ekeligen Reste dieser App aus dem Mac rauskratzen? (Wenn leider ganz normal auf Haupt-Benutzer installiert).
    +++++++++++++++++++++++++++++

    2)
    Was ist „sicherer“
    a) nur im Browser benutzen
    (in Safari / Firefox überhaupt möglich?) oder
    b) in der von Sir Apfelot angesprochenen Variante, einen extra Benutzer anzulegen? (OHNE "Der Benutzer darf diesen Computer verwalten“)

    +++++++++++++++++++++++++++++
    3) Bitte berichtet doch über Eure

    Erfahrungen mit Jitsi.

    Wie einfach ist das, wenn man jemanden zu einem Jitsi Meeting einlädt und der nicht so Technik-affin ist?
    Unterschiede für einen Eingeladenen Mac vs. Windows?
    Was ist da zu bedenken?

    Herzlichen Dank in die Runde :-))

    • Sir Apfelot sagt:

      Hallo R! Ja, Zoom hat im Hintergrund einen Webserver laufen lassen, der quasi – auch nach Deinstallation – weiter lief, aber eben eine schwerer Sicherheitslücke hatte. Da beim Entfernen nur das Programm in die Tonne kam, aber der Server weiter lief, bestand auch die Sicherheitslücke weiter. Apple hat das aber mit einem eigenen Update, das der Mac ohne zutun des Users installiert hat, selbst behoben und den Mist rausgeworfen. Also ist unterm Strich nun sicher bei allen Leuten der Mist (jedenfalls beim Mac) entfernt.

      Ich halte aktuell die Variante mit dem Chrome Plugin für die sicherste und komfortabelste, da man keinen eigenen User anlegen muss.

      Zu Jitsi kann ich persönlich leider noch nichts sagen, da ich es nicht ausprobiert habe. Aber eventuell haben andere Leser da Erfahrungen mit. LG! Jens

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.