Eingelangt am 27.04.2020
Dieser Text ist elektronisch textinterpretiert. Abweichungen vom
Original sind möglich.
Anfrage
der Abgeordneten Douglas Hoyos-Trauttmansdorf, Kolleginnen und Kollegen an die Bundesministerin für Justiz betreffend Einsatz von Zoom im BMJ
Die Covid-19-Pandemie ließ die Zahl der täglichen Nutzer_innen von "Zoom" für die Abhaltung von Videokonferenzen Angaben des Unternehmens zufolge auf 300 Milli- onen steigen. In den vergangenen Wochen und Monaten häuften sich allerdings Berichte zu Datenschutz- und Sicherheitsproblemen der Anwendung. Neben der Sammlung einer Vielzahl personenbezogener Daten, darunter sogar Arbeitgeber, Berufsbezeichnung und Kreditkarteninformationen, sind Zoom-Calls mittlerweile ein beliebtes Ziel für "Zoom-Bombing", also das mutwillige Stören von Meetings durch Fremde.
Die Liste der sicherheitsrelevanten Zwischenfällte lässt sich fortsetzen: So macht eine Sicherheitsschwachstelle den Zoom-Client für Windows anfällig für "UNC path injection", wodurch Angreifer_innen Login-Daten für die Windows-Systeme der Nut- zer_innen stehlen können. Im März wurde bekannt, dass Zoom-Calls entgegen der Behauptungen des Unternehmens nicht end-to-end verschlüsselt werden, sondern mittels Transportverschlüsselung. Das bedeutet, das Unternehmen kann auf die unverschlüsselten Video- und Audiodateien des Zoom-Meetings zugreifen. Diese Daten können also vom Unternehmen weitergegeben werden - im Gegensatz zu anderen Unternehmen wie Google oder Microsoft veröffentlicht Zoom jedoch keinen Transparenzbericht darüber, wie oft Daten von Nutzer_innen tatsächlich übermittelt wurden. (https://theintercept.com/2020/03/31/zoom-meetinq-encryption/) Mitte März deckten Sicherheitsforscher_innen massive, verdeckte Datenweitergaben an Facebook auf.
Auch zum Firmenstandort ergeben sich Fragen. So berichtete das kanadische "Citizen Lab" Anfang April, dass die Zoom-Headquarters zwar in den USA seien, die App selbst jedoch hauptsächlich von drei Unternehmen in China ("Ruanshi Software") entwickelt werde. Zwei dieser Unternehmen besitzt Zoom, das dritte dürfte ein JointVenture sein ("American Cloud Video Software Technology Co., Ltd."). 700 Mitarbei- ter_innen beschäftigt das Unternehmen in China im Bereich F&E. Druck der chinesischen Regierung bzw. Behörden auf das Unternehmen wird daher befürchtet. (https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the- confidentiality-of-zoom-meetinqs/)
Dem Vernehmen nach wird Zoom im Bundesministerium für Justiz den massiven Sicherheits- und Datenschutzbedenken zum Trotz für Videokonferenzen eingesetzt.
Die unterfertigten Abgeordneten stellen daher folgende
1. Warum wurden bis 2020 in der Justiz keine Desktop-Videokonferenz-Lösungen für Richter_innen, Staatsanwälte und die Gerichte eingesetzt?
a. Haben Evaluierungen gezeigt, dass es bis jetzt keinen Bedarf gab?
i. Wenn ja, mit welcher Begründung?
2. Seit wann und in welchen Bereichen ist Zoom im BMJ im Einsatz? Als Cloud- Lösung?
3. Für welche Usergruppen und Use-Cases wird Zoom bereits eingesetzt und welche Anwendungsbereiche sind noch geplant?
a. Ist der Einsatz von Zoom auch für Vernehmungen durch die Staatsanwaltschaft geplant?
4. Warum wählte das BMJ für Videokonferenzen einen Cloudanbieter, obwohl andere Ministerien aus Sicherheitsgründen keine Cloud-Lösung im Einsatz haben (z.B. SkypefB)?
a. War das BMJ diesbezüglich mit anderen Ministerien im Austausch?
i. Mit welchen?
ii. Wurde dem BMJ vom Einsatz von Zoom abgeraten?
5. Welche Videokonferenz-Lösungen wurden alternativ zu Zoom (Cloud- und Self- hosted-Varianten) evaluiert und im Preis verglichen?
a. Wer führte diese Evaluierungen durch?
b. Zu welchem Ergebnis kamen diese Evaluierungen?
c. Aus welchen Gründen wurde Zoom gewählt, obwohl es für Zoom auch keinen lokalen Support gibt?
6. Welchen Sicherheitsanforderungen mussten Zoom und andere evaluierte Lösungen entsprechen und warum hatten die seit einem Jahr allgemein bekannten Sicherheitsprobleme kein Gewicht?
7. Wurden bekannte, überbrückende Gratisangebote für mehrere Monate, wie z.B. von Microsoft, in Betracht gezogen?
a. Wenn ja, inwiefern, welche und wo kommen sie zum Einsatz?
b. Wenn nein, warum nicht?