ZOOM auf Windows 7 Clients, TOMs und der Stand der Technik? | Beitrag von Christian Werbik, VACE Senior GRC Consultant

DIGITAL SOLUTIONS,
Mitarbeiter vor Notbook

Jüngst wurde eine Schwachstelle gefunden, welche einem Angreifer das Ausführen von Schadcode bei einer Kombination aus Windows 7 (oder älter) und ZOOM erlaubt. Bekanntlich erschien Windows 7 bereits im Jahr 2009 als Nachfolger von Vista. 2020 wurde der Support von Windows 7 mitsamt Sicherheitsupdates eingestellt. Organisationen bleibt aktuell die Möglichkeit, Extended Security Updates (ESU) zu kaufen.

Es wäre verfehlt, die Schuld für den vorliegenden Sicherheitsmangel ausschließlich bei den ZOOM-Entwicklern zu suchen. Schließlich stellt Windows 10 den Stand der Technik unter Microsofts Client-Betriebssystemen dar.

Es stellt sich vielmehr die Frage, warum zahlreiche Unternehmen und Behörden noch immer Windows 7 einsetzen. Kosten, Organisationsgröße und Komplexität liegen als Grund gegen eine Migration zu Windows 10 auf der Hand. Dem gegenüber stehen erhebliche Sicherheitsrisiken durch veraltete Software.

Gemäß Art 32 DSGVO müssen von Verantwortlichen sowie Auftragsverarbeitern „technische und organisatorische Maßnahmen“ ergriffen werden, welche dazu dienen, „ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Dabei sind der Stand der Technik, die Maßnahmen-Kosten und Umstände der Personendatenverarbeitung (Umfang, Zweck) zu berücksichtigen. Ebenso die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten Betroffener.

Datenschutzrechtlich kann die Frage der Zulässigkeit einer Software nicht losgelöst von der Verarbeitungstätigkeit und daraus entstehender Risiken für Betroffene beantwortet werden. Verarbeiten Sie zum Beispiel Gesundheitsdaten in großem Stil zieht dies mitunter hohe Risiken für Betroffene nach sich und werden sich Maßnahmen eher am Stand der Technik zu orientieren haben. Dies würde hohe Implementierungskosten als Gegenargument in den Hintergrund drängen.

Als Administrator sollte man sich regelmäßig über Schwachstellen in Betriebssystemen und Programmen informieren. Identifiziert man Schwachstellen geht es um eine rasche Behebung durch Patches bzw Updates. Letztere bezieht man aus vertrauenswürdigen Quellen und kann ein Neustart erforderlich werden. Gibt es aber (noch) keinen entsprechenden Patch müssen andere Maßnahmen erwogen werden. So lautet die Empfehlung aus „SYS.2.1.A14 Updates und Patches für Firmware, Betriebssystem und Anwendungen (S)“ des IT-Grundschutz-Kompendiums (BSI). (Eine „andere Maßnahme“ könnte zum Beispiel eine Deinstallation von ZOOM sein - bis ein entsprechender Patch bereitsteht.)

Laut der einschlägigen „Kreuzreferenztabelle“ begegnet diese Maßnahme (Updates und Patches) u.a. dem Risiko „G 0.28 Software-Schwachstellen oder -Fehler“. Mit der Komplexität von Software seien zwangsläufig Fehler verbunden, die Folgen können gravierend sein. Durch entstehende Sicherheitslücken könnten Schadcodes eingeschleust oder Daten abgegriffen und manipuliert werden. Sicherheitsrelevante Programmierfehler machen laut BSI die meisten Meldungen an Computer Emergency Response Teams (CERTs) aus.

Die einzig sinnvolle Variante bei der Umsetzung von gesetzlichen Datenschutzpflichten ist, anerkannte Standards der Informationssicherheit heranzuziehen - sobald die Risikolage technische und organisatorische Maßnahmen erfordert. Ausgehend von einer Risikoanalyse macht es Sinn – mitunter ohne Zertifizierungsabsicht und den ‚Scope‘ auf „Datenschutz“ einschränkend – systematisch und dokumentiert BSI- sowie ISO-27001-Empfehlungen umzusetzen.