11.03.2020 - 15:27 Uhr
MünchenOberpfalz

Videokonferenz: Sicherheitslücke im bayerischen Innenministerium

Wegen der Ausbreitung des Coronavirus gibt es im bayerischen Innenministerium einiges zu besprechen und planen - auch in Videokonferenzen. Aufgrund einer Sicherheitslücke konnte aber wohl jeder Minister Joachim Herrmann zuhören.

Bei einer Pressekonferenz ist der bayerischen Innenminister Joachim Herrmann (CSU) froh, wenn die Kameras die Bilder in alle Welt übertragen. An internen Videokonferenzen sollen keine Fremden teilnehmen. Genau das ist passiert.
von Alexander Pausch Kontakt Profil

Das vom bayerischen Innenministerium genutzte Videokonferenzsystem war für jeden von außen zugänglich. So konnten Fremde interne Besprechungen beobachten. Wie das Computermagazin "c't" berichtet, habe es deshalb "an einer internen Besprechung zum Coronavirus mit Bayerns Innenminister Joachim Herrmann teilnehmen" können.

Demnach sei es noch bis vor kurzem möglich gewesen, "virtuelle Konferenzräume ohne jegliche Authentifizierung oder Angabe eines Namens zu betreten". Zur Teilnahme an einer dieser Videokonferenzen der Staatsregierung habe es gereicht, "die Adresse für den jeweiligen Raum zu kennen".

In einem Raum sei "c't" auf eine Konferenz von drei Teilnehmergruppen gestoßen: Innenminister Herrmann, ein Stab aus etwa 20 Personen und ein Konferenzraum der bayerischen Polizei, in dem sechs Personen zu sehen waren. Der Minister sei als "jabberguest" zugeschaltet gewesen. Die Besprechung habe sich um die Corona-Krise und die Lage in Bayern gedreht - und schreibt "c't", sie sei "offensichtlich nicht für die Öffentlichkeit bestimmt gewesen.

Besucher nicht kontrolliert

Obwohl c't unangemeldet die Konferenz betreten habe, schien "keinem der Teilnehmer die vierte zugeschaltete Kamera aufzufallen, die einen leeren Büroraum zeigte", schreibt das Magazin. Es sei weder gefragt worden, wer sich dahinter verbarg, noch sei "c't" entfernt worden. Nach Verlassen der Konferenz habe "c't" umgehend das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert, "um auf das ungesicherte Konferenzsystem hinzuweisen".

Das Konferenzsystem werde unter der Domain video.bayern.de betrieben, schreibt "c't". Die URLs der virtuellen Konferenzräume seien nach einem festen Schema aufgebaut (video.bayern.de/Pfad/Raumnummer). Dabei bestehe der "Pfad" aus wenigen Buchstaben und die "Raumnummer" aus sechs Ziffern. "c't" schreibt, die ständig erreichbaren Räume könnten jederzeit von Mitarbeitern der Staatsregierung für virtuelle Meetings genutzt werden. "Da die Nummern nur wenige Stellen lang sind, kann man durch ein simples Skript innerhalb von Sekunden alle verfügbaren Konferenzräume ausfindig machen." Noch einfacher: Durch einfaches Hoch- und Herunterzählen seien mehrere Räume zu entdecken. Inzwischen müsse, wer sich jetzt als Gast über die URL einwählen wolle, eine PIN eintippen.

"Der öffentliche Zugang ist zwingend erforderlich ", teilte ein Sprecher des bayerischen Gesundheitsministeriums mit, das diese Videoschalte organisiert hatte, auf Anfrage von Oberpfalz-Medien mit. Nur so könne die Teilnahme von Personen außerhalb des Bayerischen Behördennetzes gewährleistet werden. "Der Zugang wurde jedoch umgehend passwortgeschützt." Die während der Konferenz besprochenen Sachverhalte seien pressewirksam veröffentlicht worden.

Strafrechtliche Prüfung

Zugleich verwies der Sprecher, darauf, der Mitschnitt habe "Kenntnis von Zeit und virtuellem Ort der Videokonferenz erfordert". Es werde "geprüft, ob durch die Weitergabe dieser Daten an den Verlag ein disziplinarrechtlicher und/oder strafrechtlicher Tatbestand verwirklicht wurde." Offensichtlich geht das Ministerium davon aus, dass es interne Hilfe gegeben haben könnte.

Klicken Sie hier für mehr Artikel zum Thema:

Für Sie empfohlen

 

Videos aus der Region

Kommentare

Um Kommentare verfassen zu können, müssen Sie sich anmelden.

Bitte beachten Sie unsere Nutzungsregeln.