Ein vom bayerischen Innenministerium genutztes Videokonferenzsystem stand ungeschützt im Netz. So konnte c't an einer internen Sitzung zum Coronavirus mit Bayerns Innenminister Joachim Herrmann teilnehmen.

Das bayerische Innenministerium benutzte für interne Besprechungen ein von außen frei zugängliches Videokonferenzsystem. Dadurch war es bis vor kurzem möglich, virtuelle Konferenzräume ohne jegliche Authentifizierung oder Angabe eines Namens zu betreten. Um an einer Videokonferenz teilzunehmen, reichte es, die Adresse für den jeweiligen Raum zu kennen.

Das Konferenzsystem wird unter der Domain video.bayern.de betrieben. Die URLs der virtuellen Konferenzräume sind nach dem Schema video.bayern.de/Pfad/Raumnummer aufgebaut, wobei der "Pfad" aus wenigen Buchstaben und die "Raumnummer" aus sechs Ziffern besteht.

Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript

Ungeschützte Coronavirus-Videokonferenz | nachgehakt

Die ständig erreichbaren Räume können offensichtlich jederzeit von Mitarbeitern der bayerischen Staatsregierung für virtuelle Meetings genutzt werden. Da die Nummern nur wenige Stellen lang sind, kann man durch ein simples Skript innerhalb von Sekunden alle verfügbaren Konferenzräume ausfindig machen. Aber das ist gar nicht nötig: Ein einfaches Hoch- und Herunterzählen reichte in diesem Fall schon, um gleich mehrere Räume zu entdecken.

Das bayerische Innenministerium nutzt die Videokonferenz-Software Cisco Jabber.

Das verwendete Videokonferenzsystem stammt von Cisco. Um sich in einen Raum einzuklinken, muss man zunächst "Cisco Jabber Guest" installieren – das wird dem Nutzer direkt zum Download angeboten. Der Name erinnert nicht zufällig an das vor vielen Jahren populäre Messaging-Protokoll Jabber: Cisco hatte das Unternehmen Jabber Inc. 2009 gekauft.

Eintritt ohne Kontrolle

Um uns davon zu überzeugen, dass es sich bei den unter der URL betriebenen Konferenzräumen nicht nur um ein schlecht gesichertes Demosystem handelte, betraten wir an mehreren Tagen stichprobenartig verschiedene Räume und überprüften, ob dort tatsächlich Meetings abgehalten wurden.

Während wir die Räume in den meisten Fällen leer vorfanden und nur ein Cisco-Logo zu sehen bekamen, stießen wir in einem Fall auf eine aktive Konferenz, in der sich drei Teilnehmergruppen besprachen: der bayerische Innenminister Joachim Herrmann, ein Stab aus etwa 20 Personen und ein Konferenzraum der bayerischen Polizei, in dem sechs Personen zu sehen waren. Der Innenminister war als "jabberguest" zugeschaltet. Die Besprechung drehte sich um die Corona-Krise und die Lage in Bayern – und war offensichtlich nicht für die Öffentlichkeit bestimmt.

Vor Betreten der virtuellen Konferenzräume werden dem Nutzer die Downloads für die erforderliche Software angeboten.

Obwohl c't unangemeldet diese Konferenz betrat, schien keinem der Teilnehmer die vierte zugeschaltete Kamera aufzufallen, die einen leeren Büroraum zeigte. So wurde weder nachgefragt, wer sich dahinter verbarg, noch wurden wir aus dem Raum entfernt. Nach Verlassen des Konferenzraums informierte c't umgehend das Bundesamt für Sicherheit in der Informationstechnik (BSI), um auf das ungesicherte Konferenzsystem hinzuweisen. Außerdem baten wir das bayerische Innenministerium um Stellungnahme.

Unnötig schutzlos

Der einzige Schutz der betriebenen Räume bestand im Fall des bayerischen Innenministeriums darin, dass die URL nicht jedermann bekannt war. Die Weitergabe einer solchen URL kann jedoch kaum verhindert werden – bisher scheint sie sich unseren Recherchen zufolge immerhin nicht im Netz verbreitet zu haben.

Das bayerische Innenministerium ist hier ein unnötiges Risiko eingegangen. Zum einen hätte sie Zugriffe von außen grundsätzlich blockieren können – dann wäre eine Teilnahme von außerhalb der Ministerien nur per VPN möglich gewesen. Außerdem können bei der Cisco-Software Konferenzräume und Sitzungen mit einer Zugangs-PIN geschützt werden.

Jetzt mit PIN

Während das bayerische Innenministerium unsere Frist zur Stellungnahme verstreichen ließ, hat man offensichtlich inzwischen auf unseren Sicherheitshinweis reagiert: Wer sich jetzt als Gast über die URL einwählen möchte, muss eine PIN eintippen. (acb)



In einer Stellungnahme teilte ein Sprecher des bayerischen Gesundheitsministeriums am heutigen Mittwoch gegenüber c't mit, dass das Konferenzsystem bewusst von außen erreichbar ist: "Der öffentliche Zugang ist zwingend erforderlich (Teilnahme von Personen außerhalb des Bayerischen Behördennetzes)." Dass jeder an den Konferenzen teilnehmen konnte, war aber offenbar nicht gewollt: "Der Zugang wurde jedoch umgehend passwortgeschützt." Die während der Konferenz besprochenen Sachverhalte seien nicht als geheim oder vertraulich einzustufen.