Sicherheitslücke: Unsichtbar im virtuellen Klassenzimmer

In einer Videokonferenz-Software für Schulen hat Lilith Wittmann eine Sicherheitslücke entdeckt. Die IT-Sicherheitsexpertin glaubt nicht, dass es das letzte Problem war.

Artikel veröffentlicht am , Anna Biselli
Videokonferenzsysteme im Unterricht machen immer wieder Probleme.
Videokonferenzsysteme im Unterricht machen immer wieder Probleme. (Bild: Giovanni Gagliardi/unsplash.com)

Auch wenn deutsche Schulen mittlerweile mehrere Monate Distanzunterricht hinter sich haben, tauchen immer wieder neue Sicherheitsprobleme auf. Die IT-Sicherheitsexpertin Lilith Wittmann hat nun ein Problem bei der Videokonferenz-Software Visavid gefunden, die seit April in Bayern für den Unterricht eingesetzt werden kann. Zuerst hatte der Bayerische Rundfunk über die Sicherheitslücke berichtet.

Stellenmarkt
  1. Mitarbeiter IT-Koordination (m/w/d)
    PTK Bayern, München
  2. UX/UI Designer (m/w/d)
    Brückner Maschinenbau GmbH & Co. KG, Siegsdorf
Detailsuche

Ein Warteraum in dem Konferenzsystem sollte eigentlich verhindern, dass Unbefugte sich in einen Konferenzraum einklinken. Noch nicht freigeschaltete Nutzer erhielten dafür zunächst ein Token, der Beitritt sollte dann von den Moderatoren bestätigt oder abgelehnt werden. Wittmann fand heraus, dass Nutzer mit dem Token aber auch ohne die Freischaltung der Moderatoren etwa bereits Listen mit Teilnehmenden abfragen oder Videostreams mitschneiden konnten.

"Und besonders krass daran ist, dass ich durch die Lücke sogar unsichtbar teilnehmen konnte: Die anderen Teilnehmenden konnten mich nicht sehen, ich konnte aber alles sehen und hören und auch die Dokumente herunterladen, die während einer solchen Konferenz geteilt werden", sagt Wittmann im Interview mit dem Spiegel.

Wittmann meldete die Lücke an den Hersteller Auctores und das Cert des Bayerischen Landesamts für Sicherheit in der Informationstechnik. Auctores behob das benannte Problem innerhalb von vier Tagen und stuft es in einer Pressemitteilung als kritisch ein. Derzeit werden laut dem Hersteller Untersuchungen durchgeführt, um festzustellen, ob Daten abgeflossen sind. Auctores geht jedoch offenbar davon aus, dass außer Wittmann niemand Drittes auf die Räume zugegriffen hat.

Die Lücke war schnell gefunden

Golem Karrierewelt
  1. Angular für Einsteiger: virtueller Zwei-Tage-Workshop
    26./27.09.2022, Virtuell
  2. Blender Grundkurs: virtueller Drei-Tage-Workshop
    06.-08.09.2022, Virtuell
Weitere IT-Trainings

Wittmann sagte gegenüber dem BR, dass es weniger als eine Stunde gedauert habe, die Lücke aufzuspüren. Links zu den virtuellen Klassenräumen seien teilweise über Suchmaschinen und auf Schul-Webseiten auffindbar gewesen.

Gegenüber t-online.de fügte sie hinzu, dass man dafür zwar "ein wenig scripten können", aber kein Profi sein müsse: "Jeder 14-Jährige, der etwas Python gelernt hat und etwas von IT-Security versteht, hätte das hinbekommen."

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Dass es mit der behobenen Sicherheitslücke getan ist, glaubt Wittmann nicht. "Das gesamte System ist nämlich eine einzige Sicherheitslücke", schreibt sie. Ein Beispiel seien maximal vierstellige Pins für die Konferenzräume. "Das grundlegende Problem hier ist die Logik, nach der der Staat heute Softwareprodukte aussucht und einkauft", so Wittmann weiter.

Es werde zu viel auf formale Compliancekriterien und zu wenig auf echte Sicherheit geachtet. "Gerade in diesem Fall wäre es einfach gewesen, auf eine Open-Source-Lösung zu setzen, diese selbst zu betreiben und Maintainer bei der Implementierung von neuen Features zu unterstützen."

Mehrere Schulen setzen erfolgreich auf erprobte Open-Source-Videokonferenzsysteme wie Big Blue Button oder Jitsi. In Bayern wurde bisher vor allem Microsoft Teams eingesetzt, das jedoch wegen Datenschutzbedenken bis zum Herbst abgelöst werden soll.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Sharkuu 12. Jul 2021

soweit ich das verstanden habe, kann man rein mit der teams business lizenz sowohl den...

nohoschi 09. Jul 2021

Microsoft Teams: https://github.com/oskarsve/ms-teams-rce Machen wir mit Jitsi oder Slack...



Aktuell auf der Startseite von Golem.de
US-Streaming
Abonnenten immer unzufriedener mit Netflix

Wenn Netflix-Abonnenten das Abo kündigen, wird vor allem der hohe Preis sowie ein schlechtes Preis-Leistungs-Verhältnis als Grund dafür genannt.

US-Streaming: Abonnenten immer unzufriedener mit Netflix
Artikel
  1. Elektro-SUV: Drako Dragon soll Teslas Model X Plaid deutlich übertreffen
    Elektro-SUV
    Drako Dragon soll Teslas Model X Plaid deutlich übertreffen

    Das Elektroauto Drako Dragon soll mit seinen vier Motoren eine Leistung von 1.470 kW entwickeln und 320 km/h Spitze fahren.

  2. Evari 856: Minimalistisches E-Bike mit Monocoque-Rahmen und Titan
    Evari 856
    Minimalistisches E-Bike mit Monocoque-Rahmen und Titan

    Evari 856 heißt das E-Bike, das mit einem Monocoque-Rahmen aus Carbon ausgestattet ist. Dadurch soll es besonders leicht und stabil sein.

  3. Machine Learning: Die eigene Stimme als TTS-Modell
    Machine Learning
    Die eigene Stimme als TTS-Modell

    Mit Machine Learning kann man ein lokal lauffähiges und hochwertiges TTS-Modell der eigenen Stimme herstellen. Dauert das lange? Ja. Braucht man das? Nein. Ist das absolut nerdig? Definitv!
    Eine Anleitung von Thorsten Müller

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MSI RTX 3080 Ti Ventus 3X 12G OC 1.049€ • Alternate (u. a. Corsair Vengeance LPX 32 GB DDR4-3600 106,89€) • be quiet! Pure Rock 2 26,99€ • SanDisk microSDXC 400 GB 29€ • The Quarry + PS5-Controller 99,99€ • Samsung Galaxy Watch 3 119€ • Top-PC mit Ryzen 7 & RTX 3070 Ti 1.700€ [Werbung]
    •  /