1426/J XXVII. GP

Eingelangt am 03.04.2020
Dieser Text ist elektronisch textinterpretiert. Abweichungen vom Original sind möglich.

Anfrage

der Abgeordneten Douglas Hoyos-Trauttmansdorff, Kolleginnen und Kollegen

an die Bundesministerin für Klimaschutz, Umwelt, Energie Mobilität, Innovation und Technologie

betreffend Sicherheitslücke Zoom

Die Covid-19 Pandemie ließ die Nachfrage nach effizienten Tools für Videokonferen­zen rasant steigen. Aufgrund der unkomplizierten Funktionsweise stieg insbesondere die Zahl der Nutzer_innen der "Zoom" App um ein Vielfaches, mehrere Millionen Menschen weltweit benutzen dieses Tool mittlerweile für Videochats. Medienberich­
ten zufolge gibt es allerdings Bedenken hinsichtlich der Sicherheit der App für Windows-Nutzer_innen. So ist der Zoom-Client für Windows anfällig für sogenannte "UNC path injection", die es Angreifer_innen ermöglicht, Login-Daten für die
Windows-Systeme der Zoom-Anwender_innen zu stehlen. Um die Login-Daten zu stehlen, müssen Angreifer_innen lediglich gefälschte URLs über das Chat-Interface der App an die Zoom-Nutzer_innen senden, die in weiterer Folge nur einmal auf die­sen Link klicken müssen (https://thehackernews.com/2020/04/zoom-windows- password.html).

Da es noch keinen Patch für diese Schwachstelle des Zoom-Clients gibt, wurden Nutzer_innen angehalten auf ein alternatives Tool auszuweichen oder Zoom über den Browser zu verwenden.

Insbesondere in Anbetracht der Tatsache, dass dies nicht der erste sicherheitsrele­vante Zwischenfall mit Zoom ist (Zoom-Calls werden unter anderem nicht end-to-end verschlüsselt https://theintercept.com/2020/03/31/zoom-meeting-encryption/), stellen sich Fragen zur Software, die in den Ministerien für Videokonferenzen verwendet
wird.

Die unterfertigten Abgeordneten stellen daher folgende

Anfrage:

1.    Wurde bzw. wird der Zoom-Client für Windows in Ihrem Ministerium verwendet?

a.    Wenn ja, wie viele Nutzer_innen verwenden diesen Client?

b.    Wenn nein, welche Software wird für Videokonferenzen verwendet?

2.    Wurde bzw. wird Zoom über den Browser in Ihrem Ministerium verwendet?

a.    Wenn ja, wie viele Nutzer_innen verwenden Zoom über den Browser?

b.    Wenn nein, welche Browser-basierten Systeme werden für Videokonferen­zen verwendet?

3.    War Ihnen diese "UNC path injection" Sicherheitslücke im Zoom-Client für Windows bekannt?

a. Wenn ja, haben Sie Maßnahmen ergriffen, um umgehend alternative Soft­ware zu verwenden? Welche?

i. Wenn nein, warum nicht?

4.    Ist Ihnen bekannt, ob durch diese Sicherheitslücke Windows Login-Daten gestoh­
len wurden?

a.    Wenn ja, wie viele Nutzer_innen sind davon betroffen?

b.    Welche Maßnahmen haben Sie ergriffen, um die Sicherheit der Windows­Systeme wiederherzustellen?

5.    War Ihnen bekannt, dass Zoom-Calls - entgegen der Behauptungen des Anbie­
ters - nicht end-to-end verschlüsselt werden?

a. Wenn ja, haben Sie Maßnahmen ergriffen, um umgehend alternative Soft­ware zu verwenden? Welche?

i. Wenn nein, warum nicht?

6.    Wurden bzw. werden Tools für Videokonferenzen vor ihrem Einsatz auf ihre Si­cherheitsstandards überprüft?

a.    Wenn ja, inwiefern?

b.    Wenn ja, durch wen?

c.    Wenn nein, warum nicht?