Ungeschützte Videokonferenzen im bayerischen Innenministerium
Das bayerische Innenministerium nutzt für Besprechungen ein System für Videokonferenzen, das bis vor kurzem ungeschützt über das Internet zu erreichen war. Weder ein Passwort noch die Angabe eines Namens waren nötig, um einer Konferenz beizutreten, berichtet die Zeitschrift c’t.
Demnach läuft das Videokonferenzsystem unter der Adresse video.bayern.de. Um Räume zu finden, sind ein Pfad und eine Raumnummer nötig. Der Pfad besteht aus wenigen Buchstaben, die Raumnummern aus sechs Ziffern. Es soll möglich gewesen sein, mehrere Räume zu finden, indem die sechsstellige Zahl einfach leicht abgeändert wurde.
Jeder, der diese Adresse kannte oder gefunden hatte, konnte nach Einschätzung der c’t den virtuellen Konferenzräumen beitreten. Die zur Teilnahme an einer Konferenz nötige Software vom Hersteller Cisco, wurde direkt als Browser-Erweiterung zum Download angeboten.
Interne Corona-Besprechung öffentlich zugänglich
Die c’t-Redakteure sind testweise verschiedenen Räumen beigetreten, um zu überprüfen, ob es sich um ein tatsächlich produktiv eingesetztes System handelt. Dabei stießen sie auf eine gerade laufende Besprechung, unter anderem mit dem bayerischen Innenminister Joachim Herrmann (CSU) und einer Gruppe Polizisten, in der es um die aktuelle Corona-Lage in Bayern ging. Die c’t-Redaktion als zusätzlicher Teilnehmer fiel dabei wohl nicht auf: Weder sei nachgefragt worden, wer sich hinter der neu zugeschalteten Kamera befand, noch sei die c’t aus der Konferenz entfernt worden – das Videobild der Redaktion zeigte ein leeres Büro.
Die Journalisten haben daraufhin das Bundesamt für Sicherheit in der Informationstechnik (BSI) über das ungesicherte System informiert und das bayerische Innenministerium um eine Stellungnahme gebeten. Ein Sprecher des bayerischen Gesundheitsministeriums sagte gegenüber der c’t, die Konferenzen seien bewusst von außen erreichbar gewesen, einen Passwortschutz habe man jedoch umgehend eingerichtet. Die besprochenen Sachverhalte seien nicht vertraulich gewesen. Momentan ist die Adresse des Systems gar nicht mehr erreichbar. (js)