Ungeschützt im Netz Panne bei Coronavirus-Krisensitzung in Bayern
News folgenSicherheitsexperten des Computermagazins "c’t" konnten heimlich an einer Lagebesprechung des bayerischen Innenministeriums zur Coronavirus-Krise teilnehmen. Die Videokonferenz wurde quasi live im Internet übertragen.
Mehr als 300 bestätigte Coronavirus-Infektionen gibt es derzeit im Freistaat Bayern. Wie überall sind jetzt schnelle Maßnahmen gefragt. Forscher, Behörden und Politiker stehen im ständigen Austausch, um die Lage zu besprechen und Entscheidungen zu treffen. So auch im bayerischen Innenministerium.
Besprechung wurde ungeschützt übertragen
Doch wie das Fachmagazin "c’t" nun aufgedeckt hat, verließ sich der Freistaat Bayern dabei auf ein Videokonferenzsystem mit erheblichen Sicherheitsmängeln. Besprechungen wurden quasi live und ungeschützt im Internet übertragen. Jeder, der den Link zu dem virtuellen Besprechungszimmer hatte, konnte sich zuschalten und unbemerkt lauschen.
Eine Authentifizierung, beispielsweise in Form einer Code-Abfrage, fand nicht statt. Teilnehmer mussten beim Betreten der Chaträume nicht einmal ihren Namen angeben. So konnten die Sicherheitsexperten der "c’t" beispielsweise an einer internen Sitzung mit dem bayerischen Innenminister Joachim Herrmann teilnehmen.
Software hat Konferenzräume ausfindig gemacht
Laut "c’t" wurde das Konferenzsystem unter der Domain video.bayern.de betrieben. Die URL-Adressen zu den einzelnen virtuellen Konferenzräumen setzten sich nach dem Schema video.bayern.de/Pfad/Raumnummer zusammen und waren einfach zu erraten. Mithilfe einer Software, die mehrere Zahlen- und Buchstabenkombinationen durchprobiert, konnten alle verfügbaren Konferenzräume ausfindig gemacht werden.
Im Prinzip mussten die Sicherheitsexperten die ständig verfügbaren Videokonferenzräume nur aufrufen und darauf warten, dass sich ein Mitarbeiter der bayerischen Regierung blicken ließ.
Bei mehreren stichprobenartigen "Rundgängen" durch die Konferenzzimmer stießen sie schließlich zufällig auf eine Besprechung, an der neben dem bayerischen Innenminister Joachim Herrmann noch Mitarbeiter der bayerischen Polizei sowie 20 andere Personen teilnahmen, die jeweils aus einem anderen Konferenzraum zugeschaltet waren. "Die Besprechung drehte sich um die Corona-Krise und die Lage in Bayern – und war offensichtlich nicht für die Öffentlichkeit bestimmt", schreibt "c’t".
Keiner wird misstrauisch
Theoretisch hätte den Konferenzteilnehmern auffallen können, dass sich eine vierte Kamera hinzugeschaltet hatte, die in einen leeren Büroraum gerichtet war. Doch laut dem Bericht wurde keiner der Teilnehmer deswegen misstrauisch, fragte nach oder unterbrach die Leitung.
Die Sicherheitsforscher meldeten ihre Entdeckung nach eigenen Angaben "umgehend" dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und baten auch das Innenministerium um eine Stellungnahme. Bislang hat es sich jedoch nicht dazu geäußert. Immerhin: Inzwischen wurden die Konferenzräume mit einer PIN abgesichert.
Das verwendete Videokonferenzsystem stammt übrigens von dem US-Unternehmen Cisco.
