BR24 Logo
BR24 Logo
Startseite
© BR
Bildrechte: pa / dpa

Sicherheitslücke bei Visavid

35
Per Mail sharen
  • Artikel mit Audio-Inhalten
  • Artikel mit Video-Inhalten

Sicherheitslücke in Videosoftware für bayerische Schulen

Mit Visavid stellt das Bayerische Kultusministerium eine Videokonferenzsoftware für Schulen zur Verfügung. Nach BR-Informationen wurde nun eine kritische Sicherheitslücke entdeckt. Angreifer hätten sich unbemerkt in Videoschalten einklinken können.

35
Per Mail sharen
Von
  • Maximilian Zierer

Eigentlich sollten nur Lehrkräfte entscheiden können, wer an einer Videokonferenz ihrer Klasse teilnehmen kann. Unerwünschte Gäste sollen draußen bleiben. In der vom bayerischen Kultusministerium eigens beschafften Videosoftware Visavid gibt es deswegen einen virtuellen Warteraum.

Doch nach BR-Informationen kam es genau hier zu einer kritischen Sicherheitslücke. Unbefugte hätten den Warteraum umgehen und sich unbemerkt von der Lehrkraft in die Videoschalten von Schulklassen einklinken können: Heimlich Videos mitschneiden, eigene Inhalte teilen, private Nachrichten oder Bilder an Schülerinnen und Schüler schicken, all das wäre offenbar möglich gewesen.

Seit April stellt das bayerische Kultusministerium Visavid bayerischen Schulen kostenfrei zur Verfügung. Die Software soll insbesondere ab dem neuen Schuljahr andere Anwendungen wie Microsoft Teams ablösen. Knapp die Hälfte der bayerischen Schulen, etwa 2.800, haben sich nach Angaben des Ministeriums bereits bei Visavid angemeldet.

IT-Sicherheitsexpertin warnt Entwickler-Firma und Behörden

Die Berliner IT-Sicherheitsexpertin Lilith Wittmann hat die Schwachstelle entdeckt und informierte das Landesamt für Sicherheit in der Informationstechnik (LSI) sowie die Firma Auctores aus Neumarkt in der Oberpfalz, die Visavid anbietet. Nach wenigen Tagen war die Schwachstelle behoben.

Auctores bestätigte dem BR die Sicherheitslücke und schätzt sie als "kritisch" ein. "Beim Thema Sicherheit der Funktion Warteraum ist uns ein Fehler unterlaufen", so das Unternehmen. Bisher gebe es keine Hinweise, dass die Sicherheitslücke von Dritten ausgenutzt wurde, ausgeschlossen werden könne dies jedoch nicht, schreibt Auctores auf Anfrage.

Auch das Kultusministerium bestätigte dem BR die Sicherheitslücke und teilt mit, sie sei umgehend behoben worden. In einer schriftlichen Antwort ist die Rede von einem "gezielten Hackerangriff", wie er "leider inzwischen alltäglich" geworden sei. Für "normale" Nutzer von Visavid sei die Sicherheitslücke zu keinem Zeitpunkt auffindbar oder ausnutzbar gewesen, heißt es von Seiten des Kultusministeriums und von Auctores. Sicherheitsexpertin Lilith Wittmann sagt im BR-Interview, es habe weniger als eine Stunde gedauert, die Lücke zu finden. Ihre Erkenntnisse teilte sie detailliert mit den Behörden, so konnte die Sicherheitslücke rasch geschlossen werden. Mit einem Hackerangriff habe ihr Vorgehen nichts zu tun, sagt Wittmann.

Konferenz-Links als Einfallstor

Das Einfallstor für potentielle Angreifer waren Links zu den virtuellen Klassenräumen. Wer einen Link kannte, konnte sich mit dem notwendigen Know-how Zugang verschaffen. Über Suchanfragen in gängigen Suchmaschinen konnte Wittmann nach eigenen Angaben etwa vierzig dieser Links finden. Offenbar hatten mehrere Schulen sie selbst auf ihren Websites eingestellt.

Zwar lassen sich die Konferenzräume nach Angaben von Auctores zusätzlich durch einen Einwahlcode schützen, diese Option ist aber nicht verpflichtend. Das Unternehmen verweist darauf, dass das Teilen der Konferenz-Links im Internet nicht den Nutzungsbedingungen entspreche und kündigt an, die Schulen gemeinsam mit dem Kultusministerium zu sensibilisieren. In der Vergangenheit war es immer wieder vorgekommen, dass Schüler Links zu Videokonferenzen anderer Programme selbst in den sozialen Netzwerken geteilt hatten, oftmals verbunden mit dem Aufruf, den Unterricht zu stören.

Im Januar durchsuchten Polizeibeamte die Wohnung eines damals 21-jährigen Augsburgers, der sich immer wieder in Videochats einwählte, um den Unterricht unter anderem mit Zwischenrufen und lauter Musik zu unterbrechen. Die Videos seiner Attacken stellte er ins Internet. In Mainburg hatte ein Unbekannter das Foto eines nackten Mannes an eine Achtjährige geschickt, in einem weiteren Fall spielte ein Angreifer pornographische Videos im Videochat einer Grundschule in Bamberg ab. Alle Fälle hatten Ermittlungen der Zentralstelle Cybercrime Bayern bei der Generalstaatsanwaltschaft Bamberg zur Folge.

Gütesiegel für Datensicherheit gefordert

Der Bayerische Landesbeauftragte für den Datenschutz, Thomas Petri, teilt auf BR-Anfrage mit, die Sicherheit eines Videokonferenzsystems hänge wesentlich von einem risikobewussten Umgang der Nutzerinnen und Nutzer mit den Zugangsdaten ab. Aber auch die Hersteller sieht Petri in der Pflicht: In Videokonferenzsysteme müssten Features zum Schutz personenbezogener Daten eingebaut werden. Petri spricht sich etwa für ein Gütesiegel aus, mit dem sicher betreibbare Systeme gekennzeichnet werden.

Auch die Präsidentin des Bayerischen Lehrer- und Lehrerinnenverbands, Simone Fleischmann, verlangt im BR-Interview hohe Qualitätsstandards und Zertifizierungsverfahren für digitale Tools, wie sie etwa von Schulbüchern bekannt sind: "Wir Lehrerinnen und Lehrer sind darauf angewiesen, dass die Materialien, die wir verwenden, rechtskonform sind, dass sie keine Sicherheitslücken haben, dass sie datenschutzkonform sind", so Fleischmann.

Nicht die erste Sicherheitslücke in Schulsoftware

Seit Beginn der Corona-Pandemie waren mehrfach Sicherheitslücken bei Anwendungen für den Distanzunterricht bekannt geworden, unter anderem bei der Lernplattform Mebis des Bayerischen Kultusministeriums. Im März hatten BR-Reporter eine Schwachstelle in der beliebten Schul-App Anton aufgedeckt.

Beide Schwachstellen wurden inzwischen behoben. Schon damals forderten Experten ein Gütesiegel für Bildungs-Apps. Aus dem Bayerischen Kultusministerium heißt es dazu, man beteilige sich am Aufbau länderübergreifender Prüfverfahren. Das Landesamt für Sicherheit in der Informationstechnik werde zudem einen Nachtest der geschlossenen Sicherheitslücke bei Visavid durchführen.

© BR
Bildrechte: BR

Für das Streamen und für Videoschalten aus dem Klassenzimmer nach Hause können Schulen seit April die Plattform Visavid nutzen. Nach BR-Informationen gab es eine Sicherheitslücke.

"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!