Wie sicher ist Jitsi?

Kürzlich empfahlen wir an dieser Stelle, für Videokonferenzen statt Zoom lieber Jitsi zu verwenden. Dazu erreichten uns Rückfragen, die wir gerne beantworten.

Der Hauptvorteil von Jitsi besteht darin, dass es sich um ein Open-Source-Produkt handelt. Jeder kann es daher kostenlos DIESEC - Blog - Wie sicher ist Jitsi?herunterladen und selbst auf einem eigenen Server installieren. Das erledigt ein guter Linux-Admin in unter einer Stunde. Auf den PCs der Teilnehmer wird ein Chrome-Browser vorausgesetzt, für Smartphones gibt es passende Apps. Es gibt daher eine ganze Reihe öffentlicher Jitsi-Server, die teils von Unternehmen, aber auch von Vereinen oder Privatpersonen betrieben werden.

Dieser Wildwuchs macht die Auswahl eines Anbieters nicht leichter – nicht nur deshalb empfehlen wir, eine eigene Instanz zu betreiben. Das empfiehlt auch das Jitsi-Team selbst in kritischen Bereichen bis auf weiteres. Wie die meisten anderen Videokonferenzen hat nämlich auch Jitsi noch keine vollständige Ende-zu-Ende-Verschlüsselung. Die Videodaten der Teilnehmer werden auf dem Server entschlüsselt und für die anderen Teilnehmer neu chiffriert. Für Unternehmen bietet es sich daher an, einen Server im eigenen Haus selbst zu betreiben. Da die Daten dabei nicht die Firma verlassen, braucht man sich um Komplikationen wie Auftragsdatenverarbeitung und dergleichen nicht zu kümmern. Das ist eine Form von „Datenschutz durch Technikgestaltung“ nach Art. 25 DSGVO.

Der Datenschutz verpflichtet Unternehmen zudem, stets die datenschutzfreundlichste Möglichkeit zu nutzen – und das ist ganz klar der Server im eigenen Haus. Die kritische Frage bei dieser Lösung: Wie schnell ist Ihr Unternehmen ans Internet angeschlossen und wieviel Server-Kapazität steht im Haus zur Verfügung? Anhand dieser Daten lässt sich einschätzen, wie viele Konferenzen mit wie viel Teilnehmern durchführbar sind. Konferenzen mit zehn Teilnehmern sollten in der Regel gut machbar sein.

Unserer Erfahrung nach ist das allein deshalb schon die günstigere Lösung, weil ein großer Teil der Datenschutzprüfung entfallen kann.