Sicherheitslücke: Unsichtbar im virtuellen Klassenzimmer

Auch wenn deutsche Schulen mittlerweile mehrere Monate Distanzunterricht hinter sich haben, tauchen immer wieder neue Sicherheitsprobleme auf. Die IT-Sicherheitsexpertin Lilith Wittmann hat nun ein Problem bei der Videokonferenz-Software Visavid gefunden, die seit April in Bayern für den Unterricht eingesetzt werden kann. Zuerst hatte der Bayerische Rundfunk über die Sicherheitslücke berichtet.

Ein Warteraum in dem Konferenzsystem sollte eigentlich verhindern, dass Unbefugte sich in einen Konferenzraum einklinken. Noch nicht freigeschaltete Nutzer erhielten dafür zunächst ein Token, der Beitritt sollte dann von den Moderatoren bestätigt oder abgelehnt werden. Wittmann fand heraus, dass Nutzer mit dem Token aber auch ohne die Freischaltung der Moderatoren etwa bereits Listen mit Teilnehmenden abfragen oder Videostreams mitschneiden konnten.

"Und besonders krass daran ist, dass ich durch die Lücke sogar unsichtbar teilnehmen konnte: Die anderen Teilnehmenden konnten mich nicht sehen, ich konnte aber alles sehen und hören und auch die Dokumente herunterladen, die während einer solchen Konferenz geteilt werden", sagt Wittmann im Interview mit dem Spiegel.

Wittmann meldete die Lücke an den Hersteller Auctores und das Cert des Bayerischen Landesamts für Sicherheit in der Informationstechnik. Auctores behob das benannte Problem innerhalb von vier Tagen und stuft es in einer Pressemitteilung als kritisch ein. Derzeit werden laut dem Hersteller Untersuchungen durchgeführt, um festzustellen, ob Daten abgeflossen sind. Auctores geht jedoch offenbar davon aus, dass außer Wittmann niemand Drittes auf die Räume zugegriffen hat.

Die Lücke war schnell gefunden

Wittmann sagte gegenüber dem BR, dass es weniger als eine Stunde gedauert habe, die Lücke aufzuspüren. Links zu den virtuellen Klassenräumen seien teilweise über Suchmaschinen und auf Schul-Webseiten auffindbar gewesen.

Gegenüber t-online.de fügte sie hinzu, dass man dafür zwar "ein wenig scripten können", aber kein Profi sein müsse: "Jeder 14-Jährige, der etwas Python gelernt hat und etwas von IT-Security versteht, hätte das hinbekommen."

Dass es mit der behobenen Sicherheitslücke getan ist, glaubt Wittmann nicht. "Das gesamte System ist nämlich eine einzige Sicherheitslücke", schreibt sie. Ein Beispiel seien maximal vierstellige Pins für die Konferenzräume. "Das grundlegende Problem hier ist die Logik, nach der der Staat heute Softwareprodukte aussucht und einkauft", so Wittmann weiter.

Es werde zu viel auf formale Compliancekriterien und zu wenig auf echte Sicherheit geachtet. "Gerade in diesem Fall wäre es einfach gewesen, auf eine Open-Source-Lösung zu setzen, diese selbst zu betreiben und Maintainer bei der Implementierung von neuen Features zu unterstützen."

Mehrere Schulen setzen erfolgreich auf erprobte Open-Source-Videokonferenzsysteme wie Big Blue Button oder Jitsi. In Bayern wurde bisher vor allem Microsoft Teams eingesetzt, das jedoch wegen Datenschutzbedenken bis zum Herbst abgelöst werden soll.