Also bist du dafür Zoom auf längere Zeit zu verwenden? Und zwischen Universitäten/Schulen herrscht dann weiterhin Software Wirrwarr, weil jeder nimmt was ihm gefällt? Vor allem für Universitäten dürfte eine einheitliches Tool interessant sein, um Konferenzen auch über universitäre Grenzen hinweg zu ermöglichen.

Und nur weil der Staat es nicht hinbringt, macht es die Idee ja nicht falsch. Ich fand OpenSource Software für Verwaltung eigentlich eine gute Idee, die Abhängigkeit von Microsoft hat die Idee ja erst angestossen, dann kann der Staat das Projekt im Zweifelsfall übernehmen und steht nicht mit leeren Händen da, wenn der Anbieter keinen Support mehr leistet. Was passieren kann wenn man sich zu sehr auf ausländische Anbieter verlässt, insbesondere bei systemkritischen Dingen (Masken, Medikamente), sehen wir ja im Moment.

Das verstehe ich jetzt nicht. Du hast fünf Clusterfucks, jetzt möchtest du einen sechsten dazu aber von jemand anderem?

Ich hab vor allem Erfahrung von meinem Arbeitgeber. Da verwende ich den nativen Client, denn erstens war bis vor wenigen Tagen nicht klar, wie schlimm er ist, und zweitens hat mir das mein Arbeitgeber halt so gesagt _(ツ)_/¯.

Im Uni-Setting wäre denk ich die beste Variante, den Web-Client zu verwenden. Den hab ich bisher nur in einem 1:1-Setting getestet, da schien er mir ganz OK, aber nicht ganz so reibungslos wie der native. Um zu ihm zu kommen, muss man wahlweise (1) sich die richtige URL zusammen bauen, oder (2) nach Klick auf einen Meeting-Link persistent (iirc zwei Mal) den Download ablehen, oder (3) einen Ausdruckstanz aus 12 Schritten von der Zoom-Startseite aus aufführen, dessen Anleitung ich grade nicht mehr finde.

Dann gibt es noch die Zoom Chrome-App, mit der man ja immer noch die Chrome-Sandbox zwischen Zoom und dem eigenen System hätte. Ich hätte erwartet, dass es sich da einfach um den Web-Client handelt, aber Leute meinten es wäre evtl. was anderes. Bisher nicht getestet.

Weitere kaputte Dinge, die heute rausgekommen sind: Move Fast and Roll Your Own Crypto: A Quick Look at the Confidentiality of Zoom Meetings - The Citizen Lab

Und Zoom hat zwischenzeitlich ein Statement veröffentlicht, zumindest die PR-Abteilung macht einen guten Job. Wenn sie das auch wirklich so umsetzen, ist es zumindest keine schlechte Sache. Ob es natürlich reicht, um Vertrauen wiederherzustellen, steht auf einem anderen Stern.

sorry, wollte gestern schon antworten, aber das Zoom-Zeug kostet mich ziemlich Zeit momentan :-).

Ich hab’ eine offizielle Stellungnahme zu dem Thema formuliert - die häng ich unten mal ran.
Ist von der Öffentlichkeitsarbeit bearbeitet worden, deshalb ist sie etwas “untechnisch” geworden.

Ich benutz’ das Zeug jetzt seit letzter Woche. Was soll ich sagen: wenn man in so einer VC ist, ist’s
ein echt geiles Tool aber danach hab’ ich am Anfang doch immer Bauchweh gehabt.
Da gewöhnt man sich aber dran… - na ja, man muss schon wirklich obacht geben, was man
auf Dauer damit macht. Die Tatsache, dass es technisch wirklich perfekt funktioniert,
verleitet derzeit aber schon viele, es bevorzugt zu nutzen. Mit allen anderen Sachen, die
wir ausprobiert haben (DFNconf war völlig platt, Webex ging so, MS Teams war zwischendurch
auch nicht stabil, Jitsi ist bei kleinen Sachen ganz nett, aber nicht bei 50 Leuten, …)
war jede VC mit Schmerzen verbunden. Und bei Zoom hat nie etwas geruckelt und der Ton
war immer perfekt. Anders hält man solche Meetings über Stunden auch nicht durch.

Und genau so wird es in Seminaren, interaktiven Übungen und Tutorien sein.
Das tut man sich nicht an, wenn es ruckelt, immer wieder mal zusammenbricht usw.

Für das was wir für die Lehre jetzt brauchen, werden wir nichts besseres bekommen, was
so ordentlich skaliert. Ob’s am 20. April immer noch skaliert wird man sehen…

Was die Problem angeht, steht unten im Text einiges.
Aber man muss sehen, dass es an der FAU inzwischen fast 1000 Zoom-Accounts
gab, die sich irgendwelche Leute kostenlos oder auch auf private oder
Lehrstuhlkosten geholt hatten. Das alles zu fragwürdigen Lizenzbedingungen
und ohne jede Kontrolle wo die Daten hingehen - eben das was man so liest.

Mit der Site-License bekommen wir das unter erheblich umfangreichere und durch
die bayerische IT-Recht-Stabsstelle geprüfte bzw. umfangreich nachverhandelte
rechtliche Bedingungen.
Und durch den zentralen Administrations-Mechanismus kann man eine Menge Sachen
zentral steuern und im Griff behalten, die irgendwelche Laien ganz schnell
mal falsch machen.
Und schliesslich haben wir die SSO-Anbindung, momentan geben wir exakt
Vorname, Nachname, Mail-Adresse und eine verschluesselte ID raus - sonst nichts.
Und natürlich nur, wenn sich jemand ueber fau.zoom.us einwählt.
Ich wollte eigentlich total pseudonymisieren, aber wenn in der Kommunikation
dann nur noch Pseudonyme zu sehen sind, dann funktioniert das auch nicht
und die Leute geben ihren Namen dann doch wieder im Profil ein.
Authentisierung über facebook oder google oder über extra angelegten
Account sollte man definitv nicht machen - das fällt dann nicht unter unsere
Vereinbarungen mit Zoom.

Und was mir auch Hoffnung macht ist, wie schnell man auf die Probleme reagiert hat.
Einige Sachen haben die innerhalb von Stunden behoben.

Aber wirklich kritische Sachen (also Gespräche mit Industrie-Kooperationspartnern z.B.)
würde ich da definitv niemals drüber machen.
Bei einer Vorlesung oder einer Übung sehe ich den Einsatz deutlich entspannter.
Wenn das am Ende die NSA oder Chinesen abhören, wird uns das nicht umbringen.

so long

Jürgen Kleinöder

==============================
Hintergründe für die Entscheidung, Zoom als Plattform für Videoconferencing und digitale Lehre zu beschaffen:

Die aktuelle Krisensituation hat uns vor die Herausforderung gestellt, binnen kürzester Zeit die
Voraussetzungen zu schaffen, am 20. April einen möglichst reibungslosen Semesterstart zu
gewährleisten. Dies hat unter anderem eine sehr schnelle Entscheidung für eine geeignete Plattform
für Seminare und andere interaktive Lehrveranstaltungen unumgänglich gemacht.

Grundlage für diese Entscheidung sind Analysen des Deutschen Forschungsnetzes
und seiner europäischen Dachorganisation seit 2018 sowie die die Erkenntnisse aus dem
Erfahrungsaustausch vieler europäischer Universitäten in den letzten Wochen.

Die Universitätsleitung der FAU, die CIOs der bayerischen Universitäten und fast alle anderen
Universitäts- und Hochschulleitungen in Bayern sind davon überzeugt, dass es in der
derzeitigen Situation keine technisch belastbare Alternative zu Zoom gibt.
Ob Zoom der Last ab dem 20. April Stand hält, muss sich zeigen, doch sind die Chancen größer
als bei allen evaluierten Alternativen. Daher haben fast alle bayerischen Universitäten und viele
HAWs in den vergangenen Wochen Verträge mit Zoom abgeschlossen oder sind kurz davor.

Wir sind uns der bezüglich Zoom publizierten Probleme in datenschutz- und
sicherheitstechnischer Hinsicht wohl bewusst. Nach den bisher vorliegenden Erfahrungen muss
man aber auch feststellen, dass sich die Zoom-Webseite und Zoom bei kostenloser Nutzung bzw.
bei Anmeldung über facebook oder Google-Accounts in Bezug auf Datenweitergabe ganz anders
verhält als bei Nutzung der Kommunikation über die App sowie universitätsspezifisches
Single-Sign-On im Rahmen eines Vertragsverhältnisses.

Neben der Standard-Lizenz hat die FAU mit Zoom einen Vertrag zur Auftragsverarbeitung
abgeschlossen, der nach Einschätzung der bayerischen Stabsstelle für IT-Recht viele in den
vergangenen Tagen publizierten kritischen Punkte in Bezug auf den Datenschutz beseitigt.
Zusätzliche Verbesserungen der rechtlichen Bedingungen werden in Kürze folgen.

In technischer Hinsicht ist der Betrieb im Rahmen der Campus-Lizenz durch zentrale
Administrationsmöglichkeiten wesentlich besser kontrollierbar als bei einzelnen
Lizenzen, die unkoordiniert in den verschiedenen Einrichtungen beschafft werden.
Viele der jetzt bekannt gewordenen Probleme lassen sich durch geeignete Voreinstellungen
und durch eine zentral koordinierte Softwareverteilung auf FAU-Ebene vermeiden.

Die CIOs der bayerischen Universitäten haben gemeinsam beschlossen, Zoom zunächst für
ein Jahr zu lizenzieren. In dieser Zeit soll sowohl nach technischen Alternativen
als auch nach Möglichkeiten für eine gemeinsame Rahmenvereinbarung, entweder
auf bayerischer Ebene oder deutschlandweit, mit dem DFN gesucht werden.
Der Betrieb von Zoom wird in den kommenden Monaten sehr bewusst überwacht.

Neben Zoom stehen mit DFNconf, einem lokal am RRZE betriebenen Jitsi-Server und
MS Teams weitere Web-Konferenz-Plattformen zur Verfügung, die je nach
Einsatzszenario präferiert werden können. Ein Überblick ist auf der Web-Seite des RRZE
zu finden. Für die im Rahmen der Lehre erwarteten Last-Szenarien ist aber nur bei Zoom
mit einem stabiler Betrieb zu rechnen.

Jürgen Kleinöder
CIO

[quote=juk]… in Bezug auf Datenweitergabe ganz anders
verhält als bei Nutzung der Kommunikation über die App sowie universitätsspezifisches
Single-Sign-On im Rahmen eines Vertragsverhältnisses.
[/quote]

Kann mir kein besseres Arbeitsgerät vorstellen als ein Smartphone/Tablet.

Kann mir kein besseres Arbeitsgerät vorstellen als ein Smartphone/Tablet.
[/quote]

Ich glaube mit App ist allgemein die nicht-browser Variante gemeint. Also auch PC-Software. Heutzutage ist doch alles ein App.

@juk
Danke für die umfassende Erklärung!

danke für die Aufklärung -
ich glaub’ cody ist auch nicht mehr der jüngste - zu seiner Zeit gab’s Apps nur mobil

Aber im Ernst:
so wie es aussieht telefonieren diese Apps (also die Applikationen, die man unter Linux, Windows oder MacOS
lokal installiert) deutlich weniger nach Hause oder sonst wo hin in die Welt, als das über die Webseite
im Bowser passiert. Bin mir da aber noch nicht wirklich sicher.
Teilweise läuft’s im Browser auch nicht wirklich angenehm.

Und momentan kommt ständig ein update für die Apps - die Zoom-Leute flicken ganz offensichtlich ihren
Mist jetzt wirklich umgehend.
Ein weiterer Vorteil ist, dass wir die Apps für alle zentral verwalteten Rechner (und das ist im Bereich
MedFak, PhilFak, ReWi und Verwaltung fast alles) vom Rechenzentrum zentral verteilen und updaten können.
Da fliegt dann nicht irgendwas auf den System rum und die Leute wissen nicht, was sie benutzen.
Im Bereich NatFak und TechFak ist das nicht so leicht, aber da wissen die Leute eher was sie
tun (oder denken es zumindest )

Einige Leute bei uns am Lehrstuhl tracken auch mit, was da an Kommunikation abläuft.

Insofern: wenn Euch komische Dinge auffallen - das interessiert mich sehr!

Der Grund warum ich persönlich nicht die App installieren würde sind die zahlreichen Sicherheitsprobleme die sie damit bisher hatten. Das wurde glaube ich schon mal in diesem Thread erwähnt aber ich habe keine Lust da alle paar Tage ein neues Zero-Day-RCE auf meinem Rechner zu haben. In der Richtung scheint bei Zoom derzeit ziemlich viel schiefzulaufen, und deren disclosure-policy scheint auch schlecht genug zu sein dass viele dieser Bugs lieber öffentlich auf Twitter geteilt werden als per responsible disclosure. Das alles führt zu einer sehr heiklen Sicherheitssituation.

Mit der Website ist Sicherheit ein viel kleineres Problem. Wenn das benutzbar ist wäre das die bessere Alternative. Allerdings scheint das Zoom-Web-Interface wirklich zu wollen dass man die Desktopapp nutzt (man muss mehrmals dinge wegklicken) und außerdem ist die Webversion gerade eh abgeschaltet (siehe https://status.zoom.us/ ).

Ja stimmt. Früher hießen Programme auf dem Computer nicht Apps! Mein Fehler.
Man muss ja mit der Zeit gehen.

[quote=juk]Wir sind uns der bezüglich Zoom publizierten Probleme in datenschutz- und
sicherheitstechnischer Hinsicht wohl bewusst. Nach den bisher vorliegenden Erfahrungen muss
man aber auch feststellen, dass sich die Zoom-Webseite und Zoom bei kostenloser Nutzung bzw.
bei Anmeldung über facebook oder Google-Accounts in Bezug auf Datenweitergabe ganz anders
verhält als bei Nutzung der Kommunikation über die App sowie universitätsspezifisches
Single-Sign-On im Rahmen eines Vertragsverhältnisses.[/quote]

Okay, das relativiert die Datenschutzproblematik (at best), aber nicht die Sicherheitsproblematik:

[quote]Zoom documentation claims that the app uses “AES-256” encryption for meetings where possible. However, we find that in each Zoom meeting, a single AES-128 key is used in ECB mode by all participants to encrypt and decrypt audio and video.

Quelle: Move Fast & Roll Your Own Crypto, Bill Marczak and John Scott-Railton[/quote]

Wenn eine Firma im Jahr 2020 noch ECB-Mode einsetzt, wie kann man ihr sicherheitstechnisch überhaupt noch vertrauen?

[quote]The AES-128 keys, which we verified are sufficient to decrypt Zoom packets intercepted in Internet traffic, appear to be generated by Zoom servers, and in some cases, are delivered to participants in a Zoom meeting through servers in China, even when all meeting participants, and the Zoom subscriber’s company, are outside of China.

Quelle: ebenda[/quote]

Nichtsdestotrotz, danke @juk für das Kommunizieren in diesem Forum, das ist näher als sonst so mancher Verantwortlicher!

[quote=Marcel[Inf]]
Wenn eine Firma im Jahr 2020 noch ECB-Mode einsetzt, wie kann man ihr sicherheitstechnisch überhaupt noch vertrauen?
[/quote]

Nein, und selbst wenn sie es nicht tun würden: Wir alle wissen, das Software nicht fehlerfrei sein kann. Ergo: Man kann und sollte keiner Firma blind vertrauen.
Was aber nichts daran ändert, das man abwägen muss. Und zur Abwägung gehörte eben das oben genannte dazu. Ab dem 20.4. müssen theoretisch auch komplette Seminare über VC laufen können. Das Jitsi, dass wir vor ca 3 Wochen als Reaktion zur Überlastung vom DFN installierten, skaliert aber dafür nicht. MS Teams auch nicht, zumal dessen UX eine Geschichte für sich selbst ist…

Mit etwas Glück werden wir Zoom nur als Brückenlösung brauchen, weil das DFN ihr Confsystem entsprechend größer aufgebaut hat. (Den Druck gibt es, denn keine Uni will und kann auf Dauer zwei oder mehr VC Lösungen bezahlen).

Mit noch mehr Glück schlagen sowohl “Darwin” als auch Geschäftemacher und Idealisten zu, und wir werden in nem halben Jahr einen richtigen Wettbewerb und viele bessere Lösungen zur Auswahl haben.

Bis dahin müssen halt alle lernen, ihre Räume nicht sperrangelweit offen zu haben, nicht jeden bescheuerten Link im Chat anzuklicken den irgendein Unbekannter sendet und nicht einfach gleich sofort jede fancy ausschauende App zu installeren, obwohl ein Browser im abgesicherten Modus auch tut.

Ich frage mich, seit wann uns Vertragsverhältnisse vor Angriffe gegen unsere Privatsphäre schützen?
Mit genug Geld in der Tasche spielt es doch kaum eine Rolle, ob man sich dran hält oder nicht.
Am Ende muss der CEO sich halt vor irgendem Senat rechtfertigen, fertig, sollte es erstmal rauskommen, dass die sich nicht dran halten, kennen wir doch schon.

Es kann doch wirklich nicht so schwer sein, E2E Encryption anzubieten, damit zumindest das Schlimmste nicht passiert.
Und umbringen tut uns das meiste nicht, aber es wäre doch besser, wenn die Verantwortlichen sich rechtzeitig um eine Lösung gekümmert hätten, damit die NSA und die Chinesen uns nicht überwachen können.

Schade das eben genau dies nicht mal unser Präsident geschafft hat, und als dann ein Passwort davor war, stand das auch ganz oben auf der Wikipediaseite unserer Uni.

Ich hoffe das der Anleitung fürs Videokonferenzen, noch eine für Medienkompetenzbeiliegt.

Oder man postet halt die Zugangsdaten einfach net auf Twitter

[quote=anzu]Es kann doch wirklich nicht so schwer sein, E2E Encryption anzubieten, damit zumindest das Schlimmste nicht passiert.
Und umbringen tut uns das meiste nicht, aber es wäre doch besser, wenn die Verantwortlichen sich rechtzeitig um eine Lösung gekümmert hätten, damit die NSA und die Chinesen uns nicht überwachen können.[/quote]Als würden sich Nachrichtendienste für Seminare und Übungen an deutschen Unis interessieren.

[quote=xwolf]Mit etwas Glück werden wir Zoom nur als Brückenlösung brauchen, weil das DFN ihr Confsystem entsprechend größer aufgebaut hat. (Den Druck gibt es, denn keine Uni will und kann auf Dauer zwei oder mehr VC Lösungen bezahlen).[/quote]Bis dahin fließt noch viel Wasser die Regnitz herunter. Das fängt bei der fehlenden Skalierbarkeit und Redundanz der Systeme an und endet bei der mangelhaften Anbindung ans Telekom Netz.

https://www.heise.de/newsticker/meldung/Deutsches-Forschungsnetz-und-Telekom-Peeren-in-Zeiten-von-Corona-4694172.html

[quote=xwolf]Bis dahin müssen halt alle lernen, ihre Räume nicht sperrangelweit offen zu haben, nicht jeden bescheuerten Link im Chat anzuklicken den irgendein Unbekannter sendet und nicht einfach gleich sofort jede fancy ausschauende App zu installeren, obwohl ein Browser im abgesicherten Modus auch tut.
[/quote]https://www.heise.de/newsticker/meldung/Gegen-Zoombombing-Meeting-Tool-Zoom-aktiviert-Passwoerter-und-Warteraeume-4697256.html

Als Student wäre mir die Verschlüsselung meiner Lehrveranstaltungsübertragung ehrlich gesagt relativ egal. Viel spannender finde ich, welche proprietäre Software ich von einem anscheinend nicht gerade vertrauenswürdigem Anbieter bei mir lokal laufen lassen muss, um teilzunehmen.

Das ist mit in diesem Bezug gleich ins Auge gesprungen. Ich würde ja erwarten dass aus dem Browser heraus nicht allzuviel ohne meine Zustimmung nach Hause geschickt werden kann (bis auf das reguläre Tracking, Stichwort Facebook-Buttons). Aber installierte Software, zu deren bekannten Lücken Privilege Escalation gehört (damit ist Zoom also bereits lokal privilegiert)? Ist übrigens nicht unüblich in der Branche, da diverse Sauereien zu machen. Wer erinnert sich an Skype?

Gute Sache.

https://www.fastcompany.com/90486586/zoom-banned-from-new-york-city-schools-due-to-privacy-and-security-flaws

Einsatz von zoom in Schulen würde ich hier momentan auch problematisch sehen,
solange es nicht eine Institution gibt, die sich zentral um das ganze Projekt kümmert.
Wenn an jeder Schule das von irgendeinem mehr oder weniger talentierten Lehrer in
Eigenregie verwaltet wird, dann wird das nicht gutgehen.

Die Kollegen von der HU Berlin haben inzwischen eine ganze Menge Infos zusammengestellt -
auch im Hinblick auf Konfiguration und Sicherheitsthemen.
https://www.cms.hu-berlin.de/de/dl/multimedia/bereiche/tele/zoom

Auf der Seite ist die Sicherheitsproblematik nur wenig beschrieben. Ich sehe da nur den Abschnitt „Sicherheitslücken im Mac-Zoom-Client“, welcher zwei bestimmte Lücken beschreibt. Das beinhaltet weder die anderen Sicherheitslücken sowohl unter Mac als auch auf anderen Systemen, noch die strukturellen Fehler die Zoom besonders anfällig für Sicherheitsprobleme macht – das sind zum Einen dubiose Sicherheitspraktiken (offene Webserver, Umgehung von Sicherheitschecks) und zum Anderen die mangelhafte disclosure-policy (Sicherheitsforscher sollten NDAs unterschreiben um die offiziellen bug-bounty-Programme zu nutzen). Diese beiden Faktoren sind der Grund warum Zoom auch für zukünftige Sicherheitslücken besonders anfällig ist, egal ob vergangene jetzt gefixt wurden oder nicht.

Wenn man Zoom im Browser nutzt ist das kein Problem. Allerdings ist der Zoom-Web-Client seit einigen Tagen immernoch abgeschaltet: https://status.zoom.us/

Wie genau werden eigentlich die Probleme wie Anbindung und DAU adressiert? Wie viel Bandbreite braucht man denn für eine gutes Gesprächserlebnis? Die wenigsten werden eine 100k Leitung haben, oder? Und wer erklärt dem Durchschnittsstudenten wie er diese Software installiert/konfiguriert? Tech-Support auf Entfernung gestaltet sich meist schwer, wenn man nicht in auf die Maschine zugreifen kann. Und vor Ort wird ja jetzt schwierig. Ganz abgesehen von der Konferenz Hardware (Mikro/Webcam). Die meisten werden da ja nur ein billiges Headset-Mikrofon oder ähnliches haben. Da bluten einem nach 2 Stunden die Ohren. Lustig dürfte es auch werden in Fächern wie SP/SPiC in denen viele die CIP-Rechner nutzen, weil sie keine lokale Linux/MacOS-Installation haben. Da bräuchte man ja fast noch eine automatisiertes Installationsskript für Linux (Ubuntu, Debian?), was bei x-Hardwarekonfigurationen wohl nicht wirklich eine Lösung sein dürfte (Festplattenkapazität, Dual-Boot Problematik, Windows fährt ein Update zerschiesst den Linux-Bootloader). Oder alle nutzen SSH. Da wird es dann aber mit grafischen Programmen schwierig wie z.B. der SPiC eigenen IDE, die ja extra entwickelt wurde um die Studenten nicht mit Installation/Konfiguration aufzuhalten. Und dann muss man evtl. auch wieder Putty o.ä. installieren, woran man wieder scheitern kann. Und was ist mit den Leuten, die gar keinen Computer haben, solls ja auch noch geben und normalerweise auf den CIP angewiesen sind.

Der Durchschnittsstudent wird das ja wohl hinkriegen. Bei Schülern mag das was anderes sein, aber hier reden wir von Studierenden im Erwachsenenalter! Und einen Installer durchzuklicken kann man da ja erwarten. (Hingegen sich etwa Chromium zu kompilieren nicht :-))

Da ist was dran! Ich hoffe, dass zumindest die Dozenten ein höherwertiges Setup haben.

Joa, grafische Oberflächen via SSH vom CIP sind eigentlich unbenutzbar. Hm.