Zoom schon wieder: Warum es längst Alternativen gibt
Déjà-vu bei Zoom
Zoom hat neue Sicherheitslücken. Wieder. Diesmal gleich vier auf einmal, eine davon kritisch:
| CVE | CVSS | Risiko | Was passiert |
|---|---|---|---|
| CVE-2026-30903 | 9.6 | Kritisch | Rechteausweitung über die Mail-Funktion (ohne Authentifizierung, aus dem Netz) |
| CVE-2026-30902 | 7.8 | Hoch | Lokale Rechteausweitung durch unzureichendes Rechtemanagement |
| CVE-2026-30900 | 7.8 | Hoch | Rechteausweitung über die Update-Funktion (fehlende Versionsminimum-Prüfung) |
| CVE-2026-30901 | 7.0 | Hoch | Rechteausweitung in Zoom Rooms (Kiosk-Modus) |
Betroffen sind Zoom Workplace, Zoom Rooms und das Zoom Meeting SDK, jeweils für Windows. Patches sind verfügbar (Version 6.6.11), aber das grundsätzliche Problem bleibt.
Das Muster
Das ist kein Einzelfall. Zoom liefert seit Jahren zuverlässig Sicherheitsprobleme:
- 2020: Die berühmten “Zoom-Bombings”, unverschlüsselte Meetings, Daten über chinesische Server geroutet, heimliche Aufmerksamkeitstracking-Funktion
- 2021: Remote Code Execution über den Zoom-Chat-Client
- 2022: Mehrere kritische Schwachstellen in den Auto-Update-Mechanismen
- 2023: 15 Sicherheitslücken allein im zweiten Halbjahr
- 2024: 36 CVEs über das gesamte Jahr
- 2025: 30 CVEs, Durchschnittsschwere 6.3
- 2026: Wir sind im März und haben bereits kritische Lücken
Die Frage ist nicht ob die nächste Zoom-Lücke kommt, sondern wann. Für eine Software, die in Millionen von Organisationen für vertrauliche Kommunikation eingesetzt wird, ist das ein unhaltbarer Zustand.
Warum Zoom trotzdem überall läuft
Die ehrliche Antwort: Zoom funktioniert gut. Die Videoqualität ist hervorragend, die Bedienung einfach, die Verbreitung riesig. Kein Meeting-Link erzeugt so wenig Reibung wie “zoom.us/j/…”.
Aber “funktioniert gut” und “ist sicher” sind zwei verschiedene Dinge. Und für Organisationen, die mit sensiblen Daten arbeiten (Gesundheitswesen, Behörden, Bildung, Finanzen), sollte Sicherheit kein optionales Feature sein.
Frankreich macht vor, wie es gehen kann
Frankreich hat im Januar 2026 eine bemerkenswerte Entscheidung getroffen: Bis 2027 werden alle 200.000 Beamten der Zentralverwaltung von Zoom, Teams und Webex auf Visio umgestellt: eine selbst entwickelte, Open-Source-Videokonferenzlösung.
Visio läuft auf französischer Infrastruktur, der Quellcode ist unter MIT-Lizenz auf GitHub verfügbar, und die Plattform wurde ein Jahr lang mit 40.000 Nutzern getestet, bevor die Entscheidung fiel. Verteidigungsminister Lecornu begründete den Schritt klar: Nationale Sicherheit und Datensouveränität.
Das ist kein symbolischer Akt. Frankreich baut damit eine vollständige digitale Souveränitätsstrategie auf. Visio ist Teil der La Suite Numérique, die auch Alternativen für Messaging, Dokumentenbearbeitung und Cloud-Speicher umfasst.
Die Open-Source-Alternativen existieren bereits
Man muss nicht Frankreich sein, um Zoom zu ersetzen. Es gibt ausgereifte Alternativen:
Jitsi Meet
- Lizenz: Apache 2.0 (vollständig Open Source)
- Self-Hosting: Einfach auf eigenem Server installierbar
- Verschlüsselung: End-to-End optional, standardmäßig TLS
- Kein Account nötig: Link öffnen, fertig
- Stärke: Extrem niedrige Einstiegshürde, auch als gehostete Version unter meet.jit.si verfügbar
- Schwäche: Bei sehr großen Meetings (100+) weniger stabil als Zoom
Nextcloud Talk
- Lizenz: AGPL v3
- Integration: Direkt in Nextcloud eingebettet: Chat, Video, Screensharing, Dateien in einer Plattform
- Self-Hosting: Kommt automatisch mit jeder Nextcloud-Installation
- High Performance Backend: Für größere Installationen verfügbar (signaling server)
- Stärke: Wer Nextcloud für Dateien nutzt, hat Videokonferenzen gratis dazu
- Schwäche: Signaling-Server für gute Performance bei >4 Teilnehmern nötig
BigBlueButton
- Lizenz: LGPL
- Fokus: Bildung und E-Learning (Whiteboard, Breakout-Rooms, Umfragen)
- Self-Hosting: Ja, aber ressourcenintensiver als Jitsi
- Stärke: Beste Open-Source-Lösung für Schulungen und Unterricht
- Schwäche: Braucht ordentliche Hardware, UI weniger poliert
Element / Matrix
- Lizenz: Apache 2.0
- Fokus: Messaging-first mit Video/Voice als Zusatzfunktion
- Verschlüsselung: End-to-End standardmäßig (Matrix-Protokoll)
- Stärke: Dezentral, föderiert, wird von der Bundeswehr und dem französischen Militär eingesetzt
- Schwäche: Video-Qualität noch nicht auf Zoom-Niveau
Was Organisationen jetzt tun sollten
- Zoom sofort patchen. Version 6.6.11 behebt die aktuellen Lücken. Das ist die Minimalmaßnahme.
- Alternativen evaluieren. Jitsi Meet lässt sich in einer Stunde auf einem eigenen Server aufsetzen. Einfach mal parallel testen.
- Für sensible Meetings: Keine Cloud-Plattform verwenden, deren Infrastruktur in einem Land steht, das den CLOUD Act hat. Self-Hosted Jitsi oder Nextcloud Talk sind hier die bessere Wahl.
- Langfristig planen. Frankreich hat sich zwei Jahre für die Migration gegeben. Das ist realistisch, aber man muss anfangen.
Fazit
Zoom ist bequem. Aber Bequemlichkeit ist kein Sicherheitskonzept. Wer sich von proprietärer, US-gehosteter Videokonferenzsoftware abhängig macht, akzeptiert damit regelmäßige Sicherheitsvorfälle und den vollständigen Kontrollverlust über seine Kommunikationsdaten.
Die Alternativen sind da. Sie sind ausgereift. Sie sind frei. Was fehlt, ist nicht die Technologie, sondern der Wille, den Wechsel zu vollziehen.
Frankreich hat es vorgemacht. Schleswig-Holstein migriert seine Verwaltung auf LibreOffice und Open Source. Die Frage an den Rest: Wie viele kritische Zoom-CVEs braucht es noch?
Quellen:
- heise online — Zoom: Netzwerkangriffe auf kritische Sicherheitslücke möglich (12. März 2026)
- Zoom Security Bulletins — ZSB-26002 bis ZSB-26005 (März 2026)
- It’s FOSS — France Just Created Its Own Open Source Alternative to Microsoft Teams and Zoom (Februar 2026)
- heise online — Frankreich ersetzt MS Teams und Zoom durch eigene Videokonferenzsoftware (Januar 2026)
- Cybernews — France ditches Microsoft Teams and Zoom for local alternative Visio (Januar 2026)
- Visio Quellcode — GitHub (MIT-Lizenz)
- stack.watch — Zoom Security Vulnerabilities (2024/2025)