Freistaat Bayern hält ungeschützte Coronavirus-Videokonferenzen ab
Bayern schützt sich vor dem Coronavirus und verlegt seine Konferenzen ins Netz. Das Bundesland öffnet dafür die Tore für Computerviren und Hacker-Eingriffe.
Das Wichtigste in Kürze
- Alle Videokonferenzen des Freistaats Bayern waren in den letzten Tagen unverschlüsselt.
- Spione und Hacker hätten mühelos vertraulichen Konferenzen beiwohnen können.
- Deutsche IT-Journalisten deckten die Fahrlässigkeit auf – sie wurde mittlerweile behoben.
Der Freistaat Bayern hat zahlreiche Konferenzen ins Internet verlegt. Das ist eigentlich eine vernünftige Massnahme im Kampf gegen die Ausbreitung des Coronavirus. Doch mit dem Schritt haben die bayrischen Behörden Hackern Tür und Tor geöffnet: Alle Videokonferenzen waren bis vor kurzem völlig unverschlüsselt.
Nicht etwa Hacker oder Cybersicherheits-Unternehmen deckten die brisante Sicherheitslücke auf, sondern das deutsche Computermagazin «c't». Redaktoren des IT-Magazins konnten einer Videokonferenz ganz einfach über einen Weblink beitreten. Gestern Mittwoch machten sie den Fall publik.
Ungeprüfter Zugriff
Wer einer Videokonferenz des bayrischen Staatsapparats beitreten wollte, brauchte dafür bis vor kurzem lediglich einen Weblink. Dieser funktionierte nach dem einfachen Schema «video.bayern.de/Pfad/Raumnummer». Dabei bestand der Pfad lediglich aus wenigen Buchstaben, die Raumnummer steckte in einer sechsstelligen Zahl.
Mithilfe eines simplen Scripts konnte «c't» binnen kürzester Zeit die Internetadressen aller Videokonferenz-Räume ausfindig machen. Danach musste nur noch die frei verfügbare Software «Cisco Jabber Guest» installiert werden, um dem bayrischen Cisco-Konferenzsystem beizutreten.
Konferenz beim bayrischen Innenminister
Prompt sassen die «c't»-Journalisten mit dem bayrischen Innenminister Joachim Hermann, der Polizei und weiteren Akteuren in einer Videokonferenz zum Coronavirus. Niemandem schien aufzufallen, dass ein weiterer Gesprächspartner der Konferenz beigetreten war.
Wie Achim Barczok von «c't» in einem Interview bei «nachgehakt» bestätigte, wurden auch vertrauliche Themen behandelt: «Wir konnten feststellen, dass in dem Raum mindestens eine Veranstaltung stattfand, die definitiv nicht für die Öffentlichkeit bestimmt war.»
Nachdem «c't» die Behörden unverzüglich informierte, sind alle Konferenzen inzwischen passwortgeschützt. Dass dies jedoch nicht von Anfang an der Fall war, ist skandalös genug. Was dem deutschen Computermagazin gelingt, hätte genauso gut zur Spionage genutzt werden können.
