Videoaufzeichnungen standardmäßig aktiviert

Neben vielen sicherheitstechnischen Problemen gibt es in Big Blue Button auch einige in Sachen Datenschutz. In der Standardkonfiguration von Big Blue Button werden Videokonferenzen grundsätzlich aufgezeichnet - und zwar auch dann, wenn im Nutzerinterface die Videoaufzeichnung eigentlich deaktiviert ist. Will man dieses etwas irritierende Verhalten nicht, muss man die Einstellung manuell konfigurieren.

Stellenmarkt
  1. System Engineer (m/w/d) im Bereich Linux
    DIEHL Informatik GmbH, Nürnberg
  2. IT-Mitarbeiter (m/w/d) mit Schwerpunkt Informationssicherheit und Einführung TISAX/ISO 27001
    F. E. R. fischer Edelstahlrohre GmbH, Achern-Fautenbach
Detailsuche

Für Aufregung sorgte vor kurzem auch die Tatsache, dass der Mute-Button nicht dazu führt, dass die Audio-Datenübertragung zum Server unterbrochen wird. Das Muten fand rein serverseitig statt. Dieses Problem wurde inzwischen behoben.

Datenschutzbeauftragte empfehlen Big Blue Button

Insgesamt kein gutes Bild bei einer Software, die gerade von vielen Seiten als besonders datenschutzfreundlich empfohlen wird. Die Berliner Datenschutzbeauftragte Maja Smoltczyk hat Big Blue Button kürzlich zusammen mit anderen Systemen empfohlen. Auch der Datenschutzbeauftragte von Baden-Württemberg, Stefan Brink, hat im April Schulen den Einsatz von Big Blue Button empfohlen.

Auf Anfrage verwies das Büro des baden-württembergischen Datenschutzbeauftragten darauf, dass sich die Empfehlung nur auf die Konfiguration bezogen habe, die in baden-württembergischen Schulen zum Einsatz komme und dass dort das automatische Aufzeichnen von Konferenzen deaktiviert werde. "Üblicherweise führt der LfDI keine ausführlichen Security-Audits durch, sondern bewertet eine Software nach datenschutzrechtlichen Gesichtspunkten. Die IT-Sicherheit ist dabei ein Element. Bisher ist Big Blue Button unserer Kenntnis nach nicht negativ aufgefallen", heißt es weiter zum Thema Sicherheit.

Berliner Datenschutzbeauftragte würde öffentlich finanzierte Weiterentwicklung begrüßen

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    5.-6. Juli 2021, online
  2. Data Engineering mit Apache Spark
    27.-28. September 2021, online
Weitere IT-Trainings

Die Berliner Datenschutzbeauftragte zeigte sich sehr interessiert an unseren Recherchen und sieht auch Bedarf nach einem umfangreicheren Sicherheitsaudit von Big Blue Button: "Wir stimmen Ihnen zu, dass eine Durchsicht des Quellcodes auf weitere Problemstellen geboten erscheint, und würden es begrüßen, wenn die öffentliche Verwaltung die Weiterentwicklung des Produkts fördern würde. Eine Investition in Fehlerbereinigung oder Ergänzung quelloffener Software kommt nicht nur der öffentlichen Hand selbst zugute, sondern der Allgemeinheit."

Bei unseren Recherchen erfuhren wir, dass das US-Verteidigungsministerium vor einigen Jahren einen Sicherheitsaudit von Big Blue Button durchgeführt hat. Dort nutzt man die Software bereits seit 2015. Wir haben versucht, Einblick in diesen Audit über das US-Informationsfreiheitsgesetz (Freedom of Information Act) zu erhalten. Man teilte uns jedoch mit, dass die entsprechenden Dokumente klassifiziert seien.

Der Verein Cyber4Edu, der Big-Blue-Button-Instanzen ehrenamtlich für Bildungseinrichtungen betreut, schaute sich die Sicherheit der Software ebenfalls an und fand Probleme, teilweise dieselben, auf die wir bei unserer Recherche stießen. Auch hier lief die Kommunikation mit den Entwicklern von Big Blue Button eher schleppend.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Freie Software ermöglicht zumindest Selbsthilfe

Trotzdem kommt Andreas Steinhauser von Cyber4Edu zu einem eher positiven Fazit: "Da es sich um freie und offene Software handelt, haben wir die Möglichkeit, dabei zu helfen, die Schwachstellen zu erkennen und sie zu beheben. Das tun wir derzeit oft, und das ist viel Aufwand und nervt manchmal, aber anders als bei kommerziellen Produkten ist es überhaupt möglich."

Insgesamt bleibt festzuhalten: Big Blue Button ist zurzeit enorm beliebt und wird von unzähligen öffentlichen Einrichtungen genutzt. Die Sicherheit der Software ist mangelhaft, was selbst bei einem groben Blick darauf bereits auffällt. Aus Datenschutzsicht sind einige Designentscheidungen sehr zweifelhaft.

Den Entwicklern von Big Blue Button kann man vorwerfen, dass sie beim Umgang mit Sicherheitslücken eher unprofessionell agieren und Sicherheitsfixes nicht transparent kommuniziert werden. Es gilt aber natürlich zu beachten, dass hier ein vergleichsweise kleines Entwicklerteam ein Videochat-System als freie Software bereitstellt, die von unzähligen Institutionen und Firmen kostenlos genutzt wird.

Dabei stellt sich die Frage, ob Unterstützung bei der Sicherheit durch staatliche Behörden, beispielsweise durch einen umfangreichen Security-Audit, angemessen und verdient wäre für eine Software, die gerade auch in datenschutzsensiblen Bereichen wie beispielsweise Schulen verwendet wird. Doch dafür fühlt sich offenbar bisher niemand zuständig.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Uraltes Ubuntu und nicht mehr unterstütze NodeJS-Version
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


Aktuell auf der Startseite von Golem.de
Star Trek
Playmobil bringt 1 Meter langes Enterprise-Spielset

Star Treks klassische Enterprise NCC-1701 kommt mit den Hauptcharakteren, Phasern und Tribbles sowie einem Standfuß und einer Deckenhalterung.

Star Trek: Playmobil bringt 1 Meter langes Enterprise-Spielset
Artikel
  1. Materialforschung: Leichtes Schallschutzmaterial für leisere Luftfahrt
    Materialforschung
    Leichtes Schallschutzmaterial für leisere Luftfahrt

    Das Material wiegt nicht einmal ein Zehntel so viel wie heute eingesetzter Schaum zur Schalldämmung. Einsatzmöglichkeiten sehen die Erfinder vor allem in der Luftfahrt.

  2. Akkutechnik und E-Mobilität: Natrium-Ionen-Akkus werden echte Lithium-Alternative
    Akkutechnik und E-Mobilität
    Natrium-Ionen-Akkus werden echte Lithium-Alternative

    Faradion und der Tesla-Zulieferer CATL produzieren erste Natrium-Ionen-Akkus mit der Energiedichte von LFP. Sie sind kälteresistenter, sicherer und lithiumfrei.
    Von Frank Wunderlich-Pfeiffer

  3. World of Warcraft, Pokémon, Bitcoin: Moba Pokémon Unite startet schon bald
    World of Warcraft, Pokémon, Bitcoin
    Moba Pokémon Unite startet schon bald

    Sonst noch was? Was am 18. Juni 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

ClausWARE 06. Jan 2021

Also die meisten kommerziellen ClosedSource-Softwareanbieter sind nach wirtschaftlichen...

Keep The Focus 28. Okt 2020

Und nicht nur das, Enterprise Niveau sollte wirklich kein Problem sein: https://www.golem...

WalterSobchak 23. Okt 2020

Eine Lösung wäre mal das Rechtemanagement in Linux zu nutzen. Der Prozess, der die PDF...

robos 22. Okt 2020

.. wenn die lauten würde: "Diverse Sicherheitslücken in BigBlueButton durch Golem...

Keep The Focus 21. Okt 2020

absoluter Mumpitz. Wer solche Aussagen trifft, disqualifiziert sich eher als Entwickler.


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport: bis zu 70% Rabatt (u. a. WD Black SN750 1TB 109,90€) • Prime-Filme leihen für je 0,99€ • Weekend Deals (u. a. Seagate Expansion+ 4TB 89,90€) • 10% auf Gaming bei Ebay (u. a. AMD Ryzen 7 5800X 350,91€) • Apple Weekend bei MediaMarkt [Werbung]
    •  /