13:56 26 September 2020
SNA Radio
    Deutschland
    Zum Kurzlink
    Von
    1282
    Abonnieren

    Die Bayerische Landesregierung hält eine interne Konferenz ab und alle können dabei sein? Kein schlechter Scherz, sondern Realität. Wie eine Recherche des Magazins „c’t“ zeigte, waren Videokonferenzen des bayerischen Innenministeriums ohne Zugangsbeschränkung abrufbar. Loggte sich ein fremder Teilnehmer ein, wurde dieser auch nicht kontrolliert.

    In Zeiten des grassierenden Coronavirus sollte man unnötigen Kontakt vermeiden – auch bei der Arbeit. So sind Varianten wie Homeoffice oder Videokonferenzen gerade hoch im Kurs. Auch das bayerische Innenministerium greift gern auf Videoschaltungen zurück. Dumm nur, dass diese internen Besprechungen offensichtlich überhaupt nicht gesichert sind und quasi jeder dabei zuschauen kann.

    Das Magazin „c’t“ hat die Probe aufs Exempel gemacht und sich das Videokonferenzsystem des Ministeriums genauer angesehen. Die URLs der virtuellen Konferenzräume seien nach dem Schema video.bayern.de/Pfad/Raumnummer aufgebaut, wobei der „Pfad" aus wenigen Buchstaben und die „Raumnummer" aus sechs Ziffern bestehe, heißt es im Bericht von „c’t“.

    „Die ständig erreichbaren Räume können offensichtlich jederzeit von Mitarbeitern der bayerischen Staatsregierung für virtuelle Meetings genutzt werden. Da die Nummern nur wenige Stellen lang sind, kann man durch ein simples Skript innerhalb von Sekunden alle verfügbaren Konferenzräume ausfindig machen. Aber das ist gar nicht nötig: Ein einfaches Hoch- und Herunterzählen reichte in diesem Fall schon, um gleich mehrere Räume zu entdecken.“

    Das Team von „c’t“ habe an mehreren Tagen stichprobenartig verschiedene Räume überprüft, um zu sehen, ob dort etwas stattfinde. Während man die meisten Räume leer vorgefunden habe, sei man in einem Fall auf eine aktive Konferenz gestoßen. Daran teilgenommen hätten der bayerische Innenminister Joachim Herrmann, ein Stab aus etwa 20 Personen und ein Konferenzraum der bayerischen Polizei, in dem sechs Personen zu sehen gewesen seien. Thema der Konferenz: die Corona-Krise und die Lage in Bayern.

    Niemand habe sich daran gestört, als „c’t“ als unangemeldeter Teilnehmer die Konferenz betreten habe. Man habe weder nachgefragt, wer sich hinter dem neuen Teilnehmer verberge, noch sei dieser aus der Konferenz entfernt worden.

    „Der einzige Schutz der betriebenen Räume bestand im Fall des bayerischen Innenministeriums darin, dass die URL nicht jedermann bekannt war. Die Weitergabe einer solchen URL kann jedoch kaum verhindert werden – bisher scheint sie sich unseren Recherchen zufolge immerhin nicht im Netz verbreitet zu haben.“

    Das bayerische Innenministerium sei hier ein unnötiges Risiko eingegangen, urteilt „c’t“. Zum einen hätte es Zugriffe von außen grundsätzlich blockieren können – dann wäre eine Teilnahme von außerhalb der Ministerien nur per VPN möglich gewesen. Außerdem könnten bei der Cisco-Software Konferenzräume und Sitzungen mit einer Zugangs-PIN geschützt werden.

    Das Team von „c’t“ habe nach Verlassen der Konferenz umgehend das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf das ungesicherte Konferenzsystem hingewiesen und um eine Stellungnahme gebeten.

    Es komme nicht häufig vor, dass er die Bayerische Landesregierung und insbesondere ihren Innenminister für deren Transparenz lobe, aber heute sei es der Fall, witzelte der Blogger „Fefe“, der aus dem Kreis des „Chaos Computer Clubs“ bekannt ist und neben tagespolitischen Themen oft auch IT-bezogene News auf seinem Blog thematisiert: „Vorbildlich, lieber Herr Herrmann!“

    Das bayerische Innenministerium reagierte auf den Sicherheitshinweis von „c’t“ zunächst mit einer Nachbesserung: Wer sich als Gast über die URL einwählen möchte, muss nun eine PIN eingeben. Eine Stellungnahme gab es nicht. In einem Update vom 11. März reichte das Magazin jedoch eine Stellungnahme des bayerischen Gesundheitsministeriums nach. Demnach teilte ein Sprecher des Ministeriums mit, man habe das Konferenzsystem bewusst so eingerichtet, damit es von außen erreichbar ist: „Der öffentliche Zugang ist zwingend erforderlich (Teilnahme von Personen außerhalb des Bayerischen Behördennetzes).“

    Nicht beabsichtigt sei jedoch gewesen, dass jeder x-beliebige Nutzer die Konferenzen verfolgen kann, auch wenn die Sachverhalte, die in den Konferenzen besprochen werden, nicht als geheim oder vertraulich einzustufen seien, hieß es.

    GemeinschaftsstandardsDiskussion
    via Sputnik kommentierenvia Facebook kommentieren

    Zum Thema:

    Wer kommt zu den TV-Polittalks? Neue Studie deckt „Cliquenbildung“ auf
    Moskau: OPCW überschritt im Fall Nawalny ihre Befugnisse
    Nowitschok-Erfinder im großen Interview zu Nawalny: „Wenn das eine Vergiftung gewesen wäre ...“
    Absturz ukrainischer An-26: Opferzahl gestiegen, Flugschreiber gefunden
    Tags:
    Datenleak, Bayern