Die rasante Ausbreitung des Coronavirus stellt alle vor grosse Herausforderungen. Besonders der zu enge Kontakt zwischen Menschen beschleunigt die Verbreitung des Virus. Viele Betriebe erlauben ihren Mitarbeitenden Heimarbeit. Es geht darum, die Übertragungswege des Krankheitserregers so weit wie möglich zu reduzieren.
Alternative zum Konferenztisch: Die Videokonferenz
Schwieriger wird dies für Gremien, die weiter tagen müssen, um den Kampf gegen Corona zu organisieren. Ministerien gehören dazu. Die gesunde Alternative zum Konferenztisch ist die Videokonferenz. Dabei sollten Organisatorinnen und Organisatoren allerdings auf die Sicherheit ihrer Daten achten – wie ein Beispiel aus dem bayerischen Innenministerium zeigt.
Sicherheit Webcam – damals nicht in Bayern
Wer über die Webcam kommuniziert, sollte sicherstellen, dass nur berechtigte Personen an der Konferenz teilnehmen. Umso erstaunlicher ist der laxe Umgang mit der digitalen Konferenztechnik im Bayerischen Innenministerium. Das dort genutzte System stand völlig ungeschützt im Internet. Das Fachmagazin c’t konnte so einer internen Sitzung des bayerischen Innenministeriums beiwohnen – mit dabei war Innenminister Joachim Herrmann. Thema: die Corona-Krise.
Bei internen Besprechungen gibt es kontroverse Diskussionen, bei denen unberechtigte Zuhörerinnen und Zuhörer schlicht nichts zu suchen haben. Wer solche Beratungen aus dem Kontext reisst, kann unnötige Panik auslösen. Das bayerische Innenministerium verwendete trotzdem ein von aussen problemlos zugängliches Videosystem für seine Konferenzen. Inzwischen hat das Ministerium auf Hinweise der c’t reagiert – aber eine Zeit lang waren die virtuellen Konferenzräume komplett barrierelos zugänglich. Das System forderte weder eine Authentifizierung noch die Nennung eines Namens. Wer die Internet-Adresse des virtuellen Konferenzraums kannte, konnte dem Meeting beiwohnen.
Die Webadresse herauszufinden war kein Hexenwerk. Die virtuellen Räume lagen unter der Domain video.bayern.de. Der Adressaufbau: video.bayern.de/XXXXX/123456 – XXXXX eine kurze Buchstabenfolge, dahinter eine sechsstellige Raumnummer.
Tag der offenen Tür
Ein c’t-Redakteur zeigte, dass die Entschlüsselung keine grosse Herausforderung war. Ein einfaches Skript ermittelte in Sekunden aktive Räume. Aber nicht einmal das war wirklich nötig: Es reichte, die Raumnummern einfach hochzuzählen. Schon hatten Aussenstehende Zugang zu verschiedenen Meetings. Eine Zugangssperre per Passwort oder Code gab es nicht. Einzige Hürde war die Konferenzsoftware, die Nutzende vorher herunterladen mussten – kostenlos.
Das System für die Videokonferenz stammt von Cisco. Für die Verfolgung der Konferenzen luden die Redakteure zunächst das Tool «Cisco Jabber Guest» herunter. Cisco stellt das Programm kostenfrei bereit. Dass der Name den Begriff «Jabber» enthält, ist kein Zufall: Cisco kaufte vor gut zehn Jahren das Unternehmen Jabber Inc.
Sicher ist: Es war keine schlecht gesicherte Demoversion
Theoretisch hätte es sich bei den Konferenzräumen auch um einen Test handeln können. Die Redakteure prüften deshalb stichprobenartig an mehreren Tagen unterschiedliche Räume – und fanden oft leere Räume vor.
Einmal erlebten sie ein reales Meeting. Drei Gruppen nahmen teil: der bayerische Innenminister Joachim Herrmann, der als «jabberguest» eingeloggt war, ein Ministeriumsstab von rund 20 Personen und – in einem weiteren Konferenzraum – sechs Personen der bayerischen Polizei. Thema war die Lage in Bayern rund um das Coronavirus. Die anwesenden Journalisten schlossen daraus, dass das Meeting nicht für die Öffentlichkeit bestimmt war.
Ganz unauffällig ist ein ungebetener Zutritt zu einer Konferenz nicht. Die anderen Teilnehmenden hätten den vierten Konferenzraum sehen müssen – die zugeschaltete Kamera zeigte einen leeren Raum. Das schien niemanden zu stören. Keine Nachfrage, keine Entfernung aus der Konferenz. Interessierte hätten problemlos Details aus vertraulichen Gesprächen mitgehört und nach aussen getragen. Es ist bemerkenswert, wie sorglos staatliche Institutionen bisweilen mit Datensicherheit umgehen.
Die Redakteure informierten nach dem Verlassen der Konferenz das Bundesamt für Sicherheit in der Informationstechnik (BSI). Vom bayerischen Innenministerium erbaten sie eine Stellungnahme, warum Konferenzen über ungesicherte Systeme stattfanden.
Unnötiges Risiko
Der Schutz der Konferenzräume beschränkte sich darauf, dass die URLs öffentlich unbekannt waren. Realistisch lässt sich die Weitergabe von Internet-Adressen nicht verhindern. Die Recherche der c’t ergab immerhin, dass keine URL ins Internet gelangte. Warum die bayerische Regierung dieses Risiko einging, bleibt unklar. Besuche Unautorisierter liessen sich technisch problemlos unterbinden – etwa indem das Ministerium den Zugang von aussen nur per VPN erlaubt hätte. Ausserdem unterstützt die Cisco-Software die Kopplung des Konferenzzugangs an eine PIN.
Keine Stellungnahme, aber eine Reaktion
Das bayerische Innenministerium reagierte auf die Anfrage der c’t-Redaktion. Gäste, die sich über eine URL von aussen einwählen, müssen sich nun per PIN legitimieren. Eine inhaltliche Stellungnahme blieb die Behörde schuldig. Das Gesundheitsministerium antwortete hingegen und lieferte eine Erklärung: Der öffentliche Zugang zum Konferenzsystem sei beabsichtigt gewesen, um externen Spezialisten ohne Zugang zum bayerischen Behördennetz die Teilnahme zu ermöglichen. Einen allgemeinen Zugang habe man dabei nicht im Sinn gehabt. Der Zugang sei inzwischen passwortgeschützt. Die Behörde beteuerte, dass während der Konferenzen keine geheimen oder vertraulichen Themen erörtert worden seien.