Sicherheitslücke: Unsichtbar im virtuellen Klassenzimmer

In einer Videokonferenz-Software für Schulen hat Lilith Wittmann eine Sicherheitslücke entdeckt. Die IT-Sicherheitsexpertin glaubt nicht, dass es das letzte Problem war.

Artikel veröffentlicht am , Anna Biselli
Videokonferenzsysteme im Unterricht machen immer wieder Probleme.
Videokonferenzsysteme im Unterricht machen immer wieder Probleme. (Bild: Giovanni Gagliardi/unsplash.com)

Auch wenn deutsche Schulen mittlerweile mehrere Monate Distanzunterricht hinter sich haben, tauchen immer wieder neue Sicherheitsprobleme auf. Die IT-Sicherheitsexpertin Lilith Wittmann hat nun ein Problem bei der Videokonferenz-Software Visavid gefunden, die seit April in Bayern für den Unterricht eingesetzt werden kann. Zuerst hatte der Bayerische Rundfunk über die Sicherheitslücke berichtet.

Stellenmarkt
  1. Workplace Administrator (MEMCM / MEMMI) (m/w/d)
    Hays AG, Villingen-Schwenningen
  2. CSB Spezialist (m/w/d)
    Hays AG, Schwabmünchen
Detailsuche

Ein Warteraum in dem Konferenzsystem sollte eigentlich verhindern, dass Unbefugte sich in einen Konferenzraum einklinken. Noch nicht freigeschaltete Nutzer erhielten dafür zunächst ein Token, der Beitritt sollte dann von den Moderatoren bestätigt oder abgelehnt werden. Wittmann fand heraus, dass Nutzer mit dem Token aber auch ohne die Freischaltung der Moderatoren etwa bereits Listen mit Teilnehmenden abfragen oder Videostreams mitschneiden konnten.

"Und besonders krass daran ist, dass ich durch die Lücke sogar unsichtbar teilnehmen konnte: Die anderen Teilnehmenden konnten mich nicht sehen, ich konnte aber alles sehen und hören und auch die Dokumente herunterladen, die während einer solchen Konferenz geteilt werden", sagt Wittmann im Interview mit dem Spiegel.

Wittmann meldete die Lücke an den Hersteller Auctores und das Cert des Bayerischen Landesamts für Sicherheit in der Informationstechnik. Auctores behob das benannte Problem innerhalb von vier Tagen und stuft es in einer Pressemitteilung als kritisch ein. Derzeit werden laut dem Hersteller Untersuchungen durchgeführt, um festzustellen, ob Daten abgeflossen sind. Auctores geht jedoch offenbar davon aus, dass außer Wittmann niemand Drittes auf die Räume zugegriffen hat.

Die Lücke war schnell gefunden

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
  3. 1:1-Videocoaching mit Golem Shifoo
    Berufliche Herausforderungen meistern
Weitere IT-Trainings

Wittmann sagte gegenüber dem BR, dass es weniger als eine Stunde gedauert habe, die Lücke aufzuspüren. Links zu den virtuellen Klassenräumen seien teilweise über Suchmaschinen und auf Schul-Webseiten auffindbar gewesen.

Gegenüber t-online.de fügte sie hinzu, dass man dafür zwar "ein wenig scripten können", aber kein Profi sein müsse: "Jeder 14-Jährige, der etwas Python gelernt hat und etwas von IT-Security versteht, hätte das hinbekommen."

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Dass es mit der behobenen Sicherheitslücke getan ist, glaubt Wittmann nicht. "Das gesamte System ist nämlich eine einzige Sicherheitslücke", schreibt sie. Ein Beispiel seien maximal vierstellige Pins für die Konferenzräume. "Das grundlegende Problem hier ist die Logik, nach der der Staat heute Softwareprodukte aussucht und einkauft", so Wittmann weiter.

Es werde zu viel auf formale Compliancekriterien und zu wenig auf echte Sicherheit geachtet. "Gerade in diesem Fall wäre es einfach gewesen, auf eine Open-Source-Lösung zu setzen, diese selbst zu betreiben und Maintainer bei der Implementierung von neuen Features zu unterstützen."

Mehrere Schulen setzen erfolgreich auf erprobte Open-Source-Videokonferenzsysteme wie Big Blue Button oder Jitsi. In Bayern wurde bisher vor allem Microsoft Teams eingesetzt, das jedoch wegen Datenschutzbedenken bis zum Herbst abgelöst werden soll.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
CDU-Sicherheitslücke
Juristische Drohungen schaden der IT-Sicherheit

Dass eine Person, die verantwortungsvoll eine Sicherheitslücke gemeldet hat, dafür juristischen Ärger bekommt, ist fatal und schadet der IT-Sicherheit.
Ein IMHO von Hanno Böck

CDU-Sicherheitslücke: Juristische Drohungen schaden der IT-Sicherheit
Artikel
  1. Dommermuth: 1&1 will nur echtes Gigabit-5G bauen
    Dommermuth
    1&1 will nur echtes Gigabit-5G bauen

    1&1 wählt als Partner für ein viertes deutsches Mobilfunknetz die japanische Rakuten Group. Man will nur Gigabitgeschwindigkeit bieten, startet aber stark verspätet.

  2. Connect-App: CDU zeigt offenbar Hackerin nach Melden von Lücken an
    Connect-App  
    CDU zeigt offenbar Hackerin nach Melden von Lücken an

    Nach dem Auffinden einer Lücke in einer CDU-App zeigt die Partei nun die Finderin an. Der CCC will deshalb keine Lücken mehr an die CDU melden.

  3. Datenübertragung: Flüssigkernfaser könnte Glasfaser ersetzen
    Datenübertragung
    Flüssigkernfaser könnte Glasfaser ersetzen

    Schweizer Forscher haben eine Faser entwickelt, die Daten genauso gut überträgt wie eine Glasfaser, aber dieser gegenüber Vorteile hat.

Sharkuu 12. Jul 2021 / Themenstart

soweit ich das verstanden habe, kann man rein mit der teams business lizenz sowohl den...

nohoschi 09. Jul 2021 / Themenstart

Microsoft Teams: https://github.com/oskarsve/ms-teams-rce Machen wir mit Jitsi oder Slack...

Kommentieren



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Speicherwoche bei Saturn Samsung • Robas Lund DX Racer Gaming-Stuhl 153,11€ • HyperX Cloud II Gaming-Headset 59€ • Bosch Professional Werkzeuge und Messtechnik • Samsung Galaxy Vorbesteller-Aktion • Speicherwoche bei Media Markt • 60 Jahre Saturn-Aktion [Werbung]
    •  /