Die rasante Ausbreitung des Coronavirus stellt alle vor große Herausforderungen. Besonders der zu enge Kontakt zwischen Menschen beschleunigt die Verbreitung des Virus. Viele Betriebe erlauben ihren Mitarbeitern Heimarbeit. Insgesamt geht es darum, möglichst die Übertragungswege des Krankheitserregers zu reduzieren.
Alternative zum Konferenztisch: Die Videokonferenz
Schwieriger wird dies für Gremien, die weiter tagen müssen, um den Kampf gegen Corona zu organisieren. Ministerien gehören dazu. Die gesunde Alternative zum Konferenztisch ist die Videokonferenz. Dabei sollten Organisatoren allerdings auf die Sicherheit ihrer Daten achten, wie ein Beispiel aus dem bayerischen Innenministerium zeigt.
Sicherheit Webcam – damals nicht in Bayern
Wer über die Webcam kommuniziert, sollte darauf achten, dass nur berechtigte Personen an der Konferenz teilnehmen. Umso erstaunlicher ist der laxe Umgang mit der digitalen Konferenztechnik im Bayerischen Innenministerium. Das dort genutzte System stand völlig ungeschützt im Internet. Das Fachmagazin c´t konnte so einer internen Sitzung des bayerischen Innenministeriums beiwohnen. Mit dabei war Innenminister Joachim Herrmann. In der Konferenz ging es um die Corona-Krise.
Bei internen Besprechungen gibt es sicher kontroverse Diskussionen, bei denen es nicht wünschenswert ist, dass unberechtigte Personen mithören können. Interpretieren sie die Beratung falsch, könnten sie völlig unberechtigte Panik auslösen. Umso erstaunlicher ist deshalb, dass das bayerische Innenministerium ein von außen problemlos zugängliches Videosystem für seine Konferenzen verwendete. Inzwischen hat das Ministerium auf Hinweise der c´t zwar reagiert, aber es ist nicht lange her, als die virtuellen Konferenzräume völlig barrierelos zugänglich waren. Das System forderte weder eine Authentifizierung noch die Nennung eines Namens. Wer die Internet-Adresse des virtuellen Konferenzraumes kannte, konnte dem Meeting beiwohnen.
Sicherheit Webcam – Fehlanzeige: Das Herausfinden der Webadresse eines Konferenzraumes in Bayern war bis vor Kurzem kein Hexenwerk. Die virtuellen Räume finden Interessierte unter der Domain video. bayern.de. Der Aufbau der Adresse lautet video.bayern.de/XXXXX/123456. XXXXX ist eine Folge aus wenigen Buchstaben. Darauf folgt die sechsstellige Nummer des Raumes.
Tag der offenen Tür
Wie ein Redakteur der c´t zeigte, war die Entschlüsselung keine große Herausforderung. Ein einfaches Skript ermittelt in Sekunden aktive Räume. Aber nicht einmal das war wirklich nötig. Praktischerweise reichte es, die Raumnummern einfach hochzuzählen. Schon hatten die Zuschauer Zugang zu verschiedenen Meetings. Eine Zugangssperre mittels Passwort oder Zugangscode gab es nicht. Einzige Hürde war die Konferenzsoftware, wie Nutzer vorher herunterladen mussten. Dies ist jedoch kostenlos. Die Frage ist, ob ein derartiges Maß an Transparenz wirklich sinnvoll ist.
Das System für die Videokonferenz stammt von Cisco. Für die Verfolgung der Konferenzen luden die Redakteure zunächst das Tool “Cisco Jabber Guest” herunter. Das Unternehmen stellt das Programm den Nutzern kostenfrei zum Download bereit. Dass der Name des Programms den Begriff “Jabber” enthält, ist kein Zufall. Cisco kaufte vor gut zehn Jahren das Unternehmen Jabber Inc.
Sicher ist: Es war keine schlecht gesicherte Demoversion
Theoretisch hätte es sich bei den Konferenzräumen auch um einen Test handeln können. Deshalb untersuchten die Redakteure, ob sie wirklich echte Konferenzen verfolgten. Sie betraten stichprobenartig an mehreren Tagen unterschiedliche Räume, um zu testen, ob dort wirklich echte Beratungen stattfanden. Oft fanden die Redakteure leere Räume vor.
Einmal erlebten sie aber ein reales Meeting. An der Unterredung nahmen drei Gruppen teil. Darunter war der bayerische Innenminister Joachim Herrmann. Er nahm als “jabberguest” teil. Außerdem diskutierte ein Stab des Ministeriums mit. Es soll sich um etwa 20 Personen gehandelt haben. In einem weiteren Konferenzraum sahen die Teilnehmer sechs Personen der bayerischen Polizei. Bei der Unterredung ging es um die Lage in Bayern und um die Krise rund um das Coronavirus. Die anwesenden Journalisten schließen daraus, dass das Meeting nicht für die Öffentlichkeit bestimmt war.
Ganz unauffällig ist ein Zutritt zu einer Konferenz nicht. Die anderen Teilnehmer hätten den vierten Konferenzraum sehen müssen. Die zugeschaltete Kamera zeigte einen leeren Raum. Dies schien die anderen Teilnehmer nicht zu irritieren. Keiner interessierte sich dafür, wer sich hinter der Webcam verbarg. Es gab keine Nachfrage, die Webcam wurde nicht aus der Konferenz entfernt. Es ist schon erstaunlich, wie naiv staatliche Institutionen mit der Datensicherheit umgehen. Interessierte hätten problemlos Details aus vertraulichen Gesprächen belauschen und in die Öffentlichkeit tragen können. Dass dies im Interesse der politisch Verantwortlichen liegt, ist unwahrscheinlich. Nicht auszudenken, wenn einzelne Meinungen wiedergegeben werden und in der Bevölkerung Unruhe auslösen.
Die Redakteure informierten nach dem Verlassen der Konferenz umgehend das Bundesamt für Sicherheit in der Informationstechnik (BSI). Vom bayerischen Innenministerium erbaten die Journalisten eine Stellungnahme, warum Konferenzen über ungesicherte Konferenzsysteme stattfanden.
Unnötiges Risiko
Der Schutz der vom bayerischen Innenministerium betriebenen Konferenzräume beschränkte sich darauf, dass die URL öffentlich unbekannt waren. Realistisch betrachtet, lässt sich die Weitergabe der Internet-Adressen nicht verhindern. Die Recherche der c´t-Redakteure ergab immerhin, dass keine URL ins Internet gelangte. Warum die bayerische Regierung dieses Risiko einging, bleibt unklar. Grundsätzlich lassen sich Besuche Unautorisierter zu den Konferenzräumen effektiv unterdrücken. Dazu hätte das Ministerium den Zugang von außen beispielsweise nur per VPN zulassen dürfen. Außerdem unterstützt die Software von Cisco, den Zugang zu einer Konferenz an eine PIN zu koppeln.
Keine Stellungnahme, aber eine Reaktion
Das bayerische Innenministerium reagierte auf die Nachfrage der c´t-Redaktion. Gäste, die sich über eine URL von außen einwählen, müssen sich nun durch eine PIN legitimieren. Eine Stellungnahme blieb die Behörde schuldig. Dafür antwortete das Gesundheitsministerium und gab sogar eine plausible Erklärung. Demnach ist der öffentliche Zugang zum Konferenzsystem erwünscht. Die Ministerien stellen damit die Teilnahme externer Spezialisten, die nicht über einen Zugang zum bayerischen Behördennetz verfügen, sicher. Einen allgemeinen Zugang beabsichtigten die Behörden natürlich nicht. Inzwischen sei der Zugang passwortgeschützt. Die Behörde beteuerte, dass sie während der Konferenzen keine geheimen oder vertraulichen Themen erörtet.