Bayern | Peinliche Panne: Sicherheitslücke in Schulsoftware entdeckt

Weil es bei Microsoft Teams Datenschutzbedenken gab, will Bayern in Zukunft auf das Videokonferenztool eines Oberpfälzischen Anbieters setzen. Eine Sicherheitsexpertin hat da aber bereits eine Lücke gefunden.

Die Videokonferenzsoftware Visavid enthielt eine Sicherheitslücke, mit der Unbekannte auch ohne Zugangsberichtigung Räume betreten und so beispielsweise Chats mitlesen konnten. Das berichtet die Sicherheitsforscherin Lilith Wittmann auf ihrem Blog. Wittmann hat die Lücke am Sonntag entdeckt. Der "BR24" berichtet zuerst über den Fall.

Visavid des Unternehmens Auctores soll im Schuljahr Schuljahr 2021/2022 als Videotool für Bayerns Schüler dienen. Wer bei der Software einem Konferenzraum beitreten will, muss zwar, einen Link zum virtuellen Klassenraum besitzen, beziehungsweise die Raumnummer kennen und unter anderem erst auf die Bestätigung eines Moderators warten.

Wittmann konnte aber mithilfe eines selbst geschrieben Scripts auch ohne Erlaubnis einen Raum beitreten. Angreifern sei es so möglich, Teilnehmer in einem Raum einzusehen, Chatnachrichten zu schicken und auch Gespräche aufzuzeichnen, schreibt Wittmann.

"Man muss für eine Attacke kein Profi sein"

Auf Anfrage von "BR24" stufte Auctores die Lücke als "kritisch" ein. Auctores hat zudem am Donnerstag auf Twitter die Lücke bestätigt und die Lücke auch kurz nach Wittmanns Meldung an das Unternehmen geschlossen. Laut dem Unternehmen hätten aber nur "versierte Angreifer mit entsprechender krimineller Energie" die Attacke durchführen können. "Für einen normalen Nutzer war dies nicht möglich".

Wittmann sieht das etwas anders. Im Gespräch mit t-online sagt die Sicherheitsexpertin: "Natürlich muss man für so etwas ein wenig scripten können. Aber man muss auch kein krasser Profi sein" und fügt hinzu: "Jeder 14-Jährige, der etwas Python gelernt hat und etwas von IT-Security versteht, hätte das hinbekommen."

Wittmann habe für ihren Fund etwa eine Stunde gebraucht, sagte sie. Über Suchmaschinen konnte sie zudem etwa 40 Links zu virtuellen Klassenräumen finden, wie sie "BR24" berichtet.

Lücken können schlimme Folgen haben

Wittmann bezeichnet die Software auf ihrem Blog als "eine einzige Sicherheitslücke". Zudem bemängelt die Sicherheitsforscherin, dass die Sicherheitscodes für Räume maximal vierstellig sind.

Wittmann weist auch darauf hin, dass solche Lücken auch schädliche Folgen für Kinder haben könnten, wenn sie von Unbekannten entdeckt und ausgenutzt werden. Dies mache etwa auch "sexuelle Belästigung" möglich. Auf ihrem Blog verweist die Sicherheitsforscherin dazu auch auf das Phänomen Zoombombing. Dabei treten Unbekannte beispielsweise einem Online-Unterricht bei und veröffentlichen im Chat Beleidigungen, pornografische Inhalte oder Links mit Schadsoftware. Auch das FBI warnte im März 2020 vor solchen Attacken.

Visavid sollte Teams ersetzen

Visavid ist ein ein Tool für Videokonferenzen des Oberpfälzischen Unternehmens Auctores. Der Anbieter bewirbt die Software auf seiner Website für Firmen und Schulen. In Bayern soll das Videoprogramm für das neue Schuljahr 2021/2022 das bisherige genutzte Microsoft Teams ablösen. Mehr dazu lesen Sie hier. Denn bezüglich Teams hatte der bayerische Staat "erhebliche datenschutzrechtliche Bedenken", wie die "Süddeutsche Zeitung" berichtet. Auch in Behörden im Ressortbereich inklusive der Dienststellen der Schulaufsicht" soll die Software eingesetzt werden, sagt das Kultusministerium auf Anfrage.

Als Alternative zu Teams hatten laut der "Süddeutschen Zeitung" zumindest in München das Tool Webex des US-Tech-Giganten Cisco zur Auswahl gestanden und die Software Visavid. In einer Pressemitteilung lobt das bayerische Kultusministerium Visavid unter anderem für seine datenschutzkonforme Datenverarbeitung. Der Vertrag ist auf fünf Jahre begrenzt, teilte das bayerische Kulturministerium auf Anfrage mit.

Das Ministerium bestätigte zudem auf Anfrage von t-online, dass Auctores sie über die Lücke informiert habe. Laut dem Ministerium gehe die Schwachstelle auf "einen gezielten Hacker-Angriff zurück, wie er leider inzwischen alltäglich geworden ist", so ein Sprecher. "Es liegen keine Hinweise vor, dass Nutzerdaten abgegriffen wurden oder sich Unbefugte Zugang zu den Videokonferenzen verschafft hätten."

"Öffentliche Infrastruktur ist mir ein wichtiges Anliegen"

Wittmann hatte bereits im Mai auf sich aufmerksam gemacht, als sie eine Schwachstelle in der CDU-Wahlkampf-App "CDU Connect" entdeckt hatte. Mehr dazu lesen Sie hier.

Wittmann zeigt sich zudem verärgert darüber, dass das Kultusministerium ihre Aktion als "Hackerangriff" bezeichnet. "Das ist absurd. Ich bin Sicherheitsforscherin und beschäftige mich damit, wie man öffentliche Infrastruktur sicherer machen kann", sagt Wittmann.

Die Sicherheitsforscherin erklärt im Gespräch mit t-online, dass sie solche Nachprüfungen ohne Aussicht auf Bezahlung durchführe. Bei großen US-Firmen ist es beispielsweise so, dass Hacker für das freiwillige Finden von Sicherheitslücken Geld als Belohnung erhalten. In diesem Fall habe Wittmann laut eigenen Angaben aber tatsächlich von Auctores ein Angebot als Sicherheitstesterin bekommen.

Laut Wittmann beschäftige sie sich aber gerne in ihrer Freizeit mit solchen Themen, da ihr "öffentliche Infrastruktur ein wichtiges Anliegen" sei. "Ich finde, das Ganze ist ein Thema, mit dem wir uns als Gesellschaft zu wenig beschäftigen", sagt Wittmann. "Ich sehe es aber als ein Problem, wenn der Staat auf eine Videokonferenzsoftware setzt, die innerhalb kürzester Zeit gehackt werden kann. Irgendwann kann so etwas Böse enden. Und das will ich nicht. Ich will, dass wir irgendwann dahinkommen, dass wir eine sichere und für die gesamte Gesellschaft gut funktionierende Infrastruktur haben."