Videoaufzeichnungen standardmäßig aktiviert

Neben vielen sicherheitstechnischen Problemen gibt es in Big Blue Button auch einige in Sachen Datenschutz. In der Standardkonfiguration von Big Blue Button werden Videokonferenzen grundsätzlich aufgezeichnet - und zwar auch dann, wenn im Nutzerinterface die Videoaufzeichnung eigentlich deaktiviert ist. Will man dieses etwas irritierende Verhalten nicht, muss man die Einstellung manuell konfigurieren.

Für Aufregung sorgte vor kurzem auch die Tatsache, dass der Mute-Button nicht dazu führt, dass die Audio-Datenübertragung zum Server unterbrochen wird. Das Muten fand rein serverseitig statt. Dieses Problem wurde inzwischen behoben.

Datenschutzbeauftragte empfehlen Big Blue Button

Insgesamt kein gutes Bild bei einer Software, die gerade von vielen Seiten als besonders datenschutzfreundlich empfohlen wird. Die Berliner Datenschutzbeauftragte Maja Smoltczyk hat Big Blue Button kürzlich zusammen mit anderen Systemen empfohlen. Auch der Datenschutzbeauftragte von Baden-Württemberg, Stefan Brink, hat im April Schulen den Einsatz von Big Blue Button empfohlen.

Auf Anfrage verwies das Büro des baden-württembergischen Datenschutzbeauftragten darauf, dass sich die Empfehlung nur auf die Konfiguration bezogen habe, die in baden-württembergischen Schulen zum Einsatz komme und dass dort das automatische Aufzeichnen von Konferenzen deaktiviert werde. "Üblicherweise führt der LfDI keine ausführlichen Security-Audits durch, sondern bewertet eine Software nach datenschutzrechtlichen Gesichtspunkten. Die IT-Sicherheit ist dabei ein Element. Bisher ist Big Blue Button unserer Kenntnis nach nicht negativ aufgefallen", heißt es weiter zum Thema Sicherheit.

Berliner Datenschutzbeauftragte würde öffentlich finanzierte Weiterentwicklung begrüßen

Die Berliner Datenschutzbeauftragte zeigte sich sehr interessiert an unseren Recherchen und sieht auch Bedarf nach einem umfangreicheren Sicherheitsaudit von Big Blue Button: "Wir stimmen Ihnen zu, dass eine Durchsicht des Quellcodes auf weitere Problemstellen geboten erscheint, und würden es begrüßen, wenn die öffentliche Verwaltung die Weiterentwicklung des Produkts fördern würde. Eine Investition in Fehlerbereinigung oder Ergänzung quelloffener Software kommt nicht nur der öffentlichen Hand selbst zugute, sondern der Allgemeinheit."

Bei unseren Recherchen erfuhren wir, dass das US-Verteidigungsministerium vor einigen Jahren einen Sicherheitsaudit von Big Blue Button durchgeführt hat. Dort nutzt man die Software bereits seit 2015. Wir haben versucht, Einblick in diesen Audit über das US-Informationsfreiheitsgesetz (Freedom of Information Act) zu erhalten. Man teilte uns jedoch mit, dass die entsprechenden Dokumente klassifiziert seien.

Der Verein Cyber4Edu, der Big-Blue-Button-Instanzen ehrenamtlich für Bildungseinrichtungen betreut, schaute sich die Sicherheit der Software ebenfalls an und fand Probleme, teilweise dieselben, auf die wir bei unserer Recherche stießen. Auch hier lief die Kommunikation mit den Entwicklern von Big Blue Button eher schleppend.

Freie Software ermöglicht zumindest Selbsthilfe

Trotzdem kommt Andreas Steinhauser von Cyber4Edu zu einem eher positiven Fazit: "Da es sich um freie und offene Software handelt, haben wir die Möglichkeit, dabei zu helfen, die Schwachstellen zu erkennen und sie zu beheben. Das tun wir derzeit oft, und das ist viel Aufwand und nervt manchmal, aber anders als bei kommerziellen Produkten ist es überhaupt möglich."

Insgesamt bleibt festzuhalten: Big Blue Button ist zurzeit enorm beliebt und wird von unzähligen öffentlichen Einrichtungen genutzt. Die Sicherheit der Software ist mangelhaft, was selbst bei einem groben Blick darauf bereits auffällt. Aus Datenschutzsicht sind einige Designentscheidungen sehr zweifelhaft.

Den Entwicklern von Big Blue Button kann man vorwerfen, dass sie beim Umgang mit Sicherheitslücken eher unprofessionell agieren und Sicherheitsfixes nicht transparent kommuniziert werden. Es gilt aber natürlich zu beachten, dass hier ein vergleichsweise kleines Entwicklerteam ein Videochat-System als freie Software bereitstellt, die von unzähligen Institutionen und Firmen kostenlos genutzt wird.

Dabei stellt sich die Frage, ob Unterstützung bei der Sicherheit durch staatliche Behörden, beispielsweise durch einen umfangreichen Security-Audit, angemessen und verdient wäre für eine Software, die gerade auch in datenschutzsensiblen Bereichen wie beispielsweise Schulen verwendet wird. Doch dafür fühlt sich offenbar bisher niemand zuständig.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Uraltes Ubuntu und nicht mehr unterstütze NodeJS-Version
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
Verwandte Artikel
artikel-bild
Polizei
Vier Durchsuchungen wegen Missbrauch von Lernplattform
artikel-bild
Fahrdienst
Uber-Dienste laufen nach Hack weiter
artikel-bild
Wasm
Libreoffice läuft mit Webassembly im Browser
Meistgelesen
artikel-bild
Gefangen im Zeitstrom, verloren im All
Die zehn besten Sci-Fi-Serien der 1960er
artikel-bild
Grace Hopper Superchip
Nvidia zeigt den DGX GH200 AI-Supercomputer
artikel-bild
Blue Byte
Im Bann der ersten Siedler
Kommentarübersicht
Re: Erfunden?
ClausWARE 06. Jan 2021

Also die meisten kommerziellen ClosedSource-Softwareanbieter sind nach wirtschaftlichen...

Re: leider die beste Lösung
Keep The Focus 28. Okt 2020

Und nicht nur das, Enterprise Niveau sollte wirklich kein Problem sein: https://www.golem...

Re: Und was ist die Lösung?
WalterSobchak 23. Okt 2020

Eine Lösung wäre mal das Rechtemanagement in Linux zu nutzen. Der Prozess, der die PDF...

Wieviel geiler wäre doch die Überschrift ..
robos 22. Okt 2020

.. wenn die lauten würde: "Diverse Sicherheitslücken in BigBlueButton durch Golem...

Aktuell auf der Startseite von Golem.de
Grace Hopper Superchip
Nvidia zeigt den DGX GH200 AI-Supercomputer

Computex 2023 Die Kombination aus Grace Hopper, Bluefield 3 und NVLink ergibt funktional eine riesige GPU mit der Rechenkapazität eines Supercomputers und 144 TByte Grafikspeicher.

Grace Hopper Superchip: Nvidia zeigt den DGX GH200 AI-Supercomputer
Artikel
  1. Cortex v9 & v5 GPU: Arm setzt für Mobile SOCs voll auf 64-Bit
    Cortex v9 & v5 GPU
    Arm setzt für Mobile SOCs voll auf 64-Bit

    Computex 2023 Handys sollten durch den Wegfall von 32-Bit schneller, sicherer und trotzdem deutlich sparsamer werden.

  2. Reiner Haseloff: Ministerpräsident fordert Nullrunde bei Rundfunkbeitrag
    Reiner Haseloff
    Ministerpräsident fordert Nullrunde bei Rundfunkbeitrag

    Zwei Jahre soll der Rundfunkbeitrag eingefroren werden, die Zukunftskommission derweil Reformideen vorlegen, schlägt Sachsen-Anhalts Ministerpräsident vor.

  3. System Shock Remake angespielt: Die Kult-KI Shodan kämpft frisch entfesselt
    System Shock Remake angespielt
    Die Kult-KI Shodan kämpft frisch entfesselt

    System Shock gilt als wegweisendes Shooter-Rollenspiel. Jetzt ist Golem.de im Remake wieder gegen die Super-KI Shodan angetreten (Windows-PC).
    Von Peter Steinlechner

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Microsoft Xbox Wireless Controller 40,70€ • Lexar Play 1 TB 99,60€ • DAMN!-Deals mit AMD-Bundle-Aktion • MindStar: AMD Ryzen 9 5950X 429€, MSI RTX 3060 Gaming Z Trio 12G 329€, GIGABYTE RTX 3060 Eagle OC 12G 299€, be quiet! Pure Base 500DX 89€ • Logitech bis -46% [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /