Visavid ist eine Videokonferenzsoftware, die vom bayerischen Kultusministerium für die dortigen Schulen von einem kleinen Anbieter beschafft wurde. Die Software wird auch von Steuerberatern eingesetzt. Problem ist nur, dass die Videokonferenzsoftware Visavid, die unter der Haube wohl auf einer Open Source-Lösung basiert, eine Sicherheitslücke aufwies. Über diese konnten Dritte unbemerkt auf die Informationen von Teilnehmern von Videokonferenzen zugreifen. Der Fall wirft auch die Frage auf, wie der Staat oder eine Organisation seine Softwareaufträge vergibt.
Anzeige
Das bayerischen Kultusministerium spricht im konkreten Fall von "einem Hackerangriff", nachdem die Sicherheitsforscherin Lilith Wittmann das Ganze aufgedeckt hat. Die Information ist mir am Sonntag von einem Blog-Leser per Mail zugegangen. Dieser lieferte mir in einer kurzen Mail folgendes Zitat:
Die Arroganz des bayr. Kultusministeriums
Ich habe eine Sicherheitslücke in der primär in bayerischen Schulen und von Steuerberatern eingesetzten Videokonferenz Software Visavid gefunden…
PS. Liebes Kultusministerium, wäre das ein Hackerangriff gewesen, hättet ihr jetzt ein richtig großes Problem (also noch größer als jetzt). Wie wäre es denn mal mit ein Dankeschön für die ehrenamtliche Arbeit anstatt der Diskreditierung von Sicherheitsforschung?
Die Aussage "ich habe eine Sicherheitslücke … gefunden" bezieht sich auf diesen Beitrag von Sicherheitsforscherin Lilith Wittmann auf Medium. Hier ein wenig sortiert, um was es geht.
Was ist Visavid?
Der Name Visavid steht für ein Videokonferenzsystem, welches für Distanzunterricht, Web-Seminare und Online-Meetings angeboten wird. Der Hersteller wirbt mit "genial einfaches Videokonferenz-System made in Germany". Seit dem 21.04.2021 können die Schulleitungen bayerischer Schulen die Nutzung von Visavid im Schulportal beantragen.
Der Hersteller wirbt damit, dass mit Visavid wir eine Videokonferenz-Lösung angeboten werde, die von der Entwicklung bis zum Support zu 100 % Made in Germany ist und neben Datenschutz und einem hohen Sicherheitslevel auch individuelle Anpassungsmöglichkeiten für unterschiedliche Einsatzbereiche bietet.
Anzeige
Einsatz in bayerischen Schulen
In einer Pressemitteilung heißt es, dass Schülerinnen und Schüler sowie Lehrkräfte ab dem Schuljahr 2021/22 für den digitalen Unterricht das Videokonferenztool „Visavid" nutzen werden. Der Vertrag des bisherigen MS Teams-Angebot des Kultusministeriums wird außerdem übergangsweise bis Ende des aktuellen Schuljahres verlängert.
Mit Visavid stellt das Kultusministerium ab Ende April 2021 eine zentrale bayernweite Videokonferenzsoftware für alle Schulen – auch für die Grundschulen – und Schulaufsichtsbehörden bereit. Damit steht eine einfache und für Schulen maßgeschneiderte Software zur Verfügung, die für das pandemiebedingte „Lernen zuhause" eingesetzt werden kann, aber auch für zahlreiche weitere Einsatzzwecke im künftigen Schulalltag geeignet ist.
Kultusminister Prof. Dr. Michael Piazolo erklärte hierzu: „Visavid ist ein benutzerfreundliches, maßgeschneidertes und datenschutzkonformes Videokonferenztool für unsere Schulen. Jetzt haben alle Schulen – auch die Grundschulen – ein Programm, das leicht und auf allen Geräten zu bedienen ist – ganz ohne Installation."
Some Insides: Open Source-Software Janus
Geht man in den Medium-Artikel von Lilith Wittmann, bekommt das schöne Bild ein paar leichte Kratzer, wie sie bei einigen Recherchen herausgefunden hat. Anbieter von Visavid ist die Auctores GmbH mit Standorten in Frankfurt (Main) und in Neumarkt. Die GmbH befasst sich mit Marketing und Software-Entwicklung. Im Grunde eine kleinere Firma bzw. Agentur, die einen größeren Auftrag an Land gezogen hat. Kann man sich drüber freuen, oder mal genauer hinschauen.
So weit alles nichts besonderes, aber in ihrem Artikel vermutet Lilith Wittmann Verstrickungen zwischen der Führung von Auctores und der bayerischen CSU sowie der Freien Wählerschaft. Noch unschöner scheint aber folgender Fakt: Die Lösung Visavid ist keine reine Eigenentwicklung, sondern setzt auf die Open Source Software Janus, ohne das zu erwähnen, wie Wittmann schreibt. Und da wäre noch die Frage, ob man sich mit dem Projekt sicherheitstechnisch nicht vielleicht etwas verhoben hat.
Schwachstelle in Warteräumen
Lilith Wittmann hat bei einer Analyse binnen kurzer Zeit herausgefunden, dass die Lösung Visavid eine größere Schwachstelle aufwies. Über einen geteilten Link konnten Teilnehmer den digitalen Warteraum einer Videokonferenz aufsuchen und anfragen, ob ein Moderator sie in die Konferenz einlässt. Das Problem: Der Nutzer erhielt, wenn er über den Link in den Warteraum kam, einen JWT-Token über die Visavid-API. Das Token ermöglicht die Verbindung zum Videokonferenzserver herzustellen und eine Anfrage zum Betreten des Raumes zu senden. Soweit so gut.
Wittmann fand nun aber heraus, dass der Nutzer über dieses Token ohne Freigabe durch den Moderator z.B. die Liste der Teilnehmenden abrufen, die Videostreams der anderen Teilnehmenden mitschneiden, ihnen Chatnachrichten schicken oder alle geteilten Dateien und Boards ansehen kann. Das Ganze passiert als "stiller Beobachter", ohne dass die Teilnehmer das mitbekommen.
Wer Kenntnisse der Raumnummer besitzt, oder diese durchprobierte, konnte also an einige Daten herankommen, ohne Mitglied einer Konferenz zu sein. In ihrer Timeline gibt Wittmann an, das Cert Bund, das Cert Bayern sowie den Hersteller über die Sicherheitslücke am 4. Juli 2021 informiert zu haben. Die Schwachstelle wurde am 7. Juli 2021 geschlossen – eine schnelle Reaktion des Herstellers.
Der Hersteller hat auch die zuständigen Fachstellen (Bayern-CERT und BayLDA) informiert und schreibt hier, dass das BAyLDA nach derzeitigem von einem geringen Datenschutzrisiko ausgeht. Trotzdem sieht der Hersteller Auctores die entdeckte Sicherheitslücke als kritisch an und bezeichnet Lilith Wittmann auch korrekt als White-Hat-Hackerin. Bis zu diesem Punkt ist noch alles in Ordnung, denn Sicherheitslücken können passieren.
Das lange Ende kommt noch
In ihrem Medium-Artikel sowie in diesem Interview auf Spiegel Online wirft Lilith Wittmann dem bayerischen Staat fehlende Kompetenz bei der Auswahl der Software und der Anbieter vor. Sie kritisiert die Logik, nach der der Staat heute Softwareprodukte aussucht und einkauft. Problem sei, dass es primär darum gehe, nach (häufig von Juristen erstellten) Compliancekriterien ein Produkt auszuwählen. Ob das dann tatsächlich sicher ist, sei erst einmal zweitrangig. Neben der obigen Software Visavid wird auch die Luca App genannt, die da ebenfalls unrühmlich heraussticht.
Lilith Wittmann ist überzeugt, dass es bei der Software Visavid einfach gewesen wäre, auf eine Open Source Lösung zu setzen, diese selbst zu betreiben und Maintainer bei der Implementierung von neuen Features zu unterstützen. Es gibt ja entsprechende Videokonferenzsoftware für den schulischen Bereich. Stattdessen habe man sich für eine Ausschreibung entschieden, die auf kleine Anbieter zugeschnitten sei, die sich schon gut mit der öffentlichen Vergabe/Förderung auskennen.
Am Projekt verhoben
Nun kann die Förderung lokaler Unternehmen ja durchaus Sinn machen. Aber es gibt halt Projekte, wo sich kleine Unternehmen schnell verheben können. Dazu meint Wittmann:
Ich weiß nicht, was ich an diese Situation nun schlimmer finden: Die bayerische Arroganz, in der das Kultusministerium davon ausgeht, das ein kleine Agentur eine sinnvolle Alternative zu den großen Anbietern und Open Source Projekten bieten kann. Oder die Leichtfertigkeit, in der hier mit der Datensicherheit der Schülerschaft eines ganzen Bundeslandes umgegangen wird und das alles nur für ein bisschen antiamerikanischen Populismus.
Wittmann sieht das Ganze sehr kritisch, denn es wurde ein großes amerikanisches Unternehmen Microsoft mit Teams gegen eine Lösung aus dem bayerischen Mittelstand ausgetauscht, von der zweifelhaft ist, ob der Hersteller die entsprechende Kompetenz mitbringt, um das Ganze zu stemmen. Die Kritik geht nicht in die Richtung, dass man Microsoft Teams auslaufen lässt, sondern greift die Frage auf: Beauftrage ich einen europäischen Anbieter oder eine Open Source-Community, wo entsprechende Kompetenz vorhanden ist, oder vergebe ich das an kleine Agenturen.
In Spiegel Online führt Wittmann an, dass staatliche Software von einem kleinen proprietären deutschen Anbieter mit 20 Mann entwickelt werde, der sich bei Open-Source-Lösungen bedient und ein bisschen was drum herum baue, aber eigentlich keine Ahnung habe und Fehler mache. Als Gegenstück führt die Sicherheitsforscherin die US-Videokonferenzsoftware Zoom an, wo 2500 Leute den ganzen Tag an nichts anderem, als sichere Videokonferenzlösungen zu bauen arbeiten würden. Das wirft in der Tat Fragen nach der Beschaffung auf.
Arroganz des Kultusministers
Was Wittmann besonders ärgert, ist der Umstand, dass das bayerische Kultusministerium von einem "gezielten Hackerangriff", wie er "leider inzwischen alltäglich" geworden sei, spricht. Dazu Wittmann:
Ich weiß nicht, was ich an diese Situation nun schlimmer finden: Die bayerische Arroganz, in der das Kultusministerium davon ausgeht, das ein kleine Agentur eine sinnvolle Alternative zu den großen Anbietern und Open Source Projekten bieten kann. Oder die Leichtfertigkeit, in der hier mit der Datensicherheit der Schülerschaft eines ganzen Bundeslandes umgegangen wird und das alles nur für ein bisschen antiamerikanischen Populismus.
Leider scheint das Ende dieser Entwicklung noch nicht erreicht, denn Wittmann schreibt in ihrem Medium-Artikel:
Mit der heute vorherrschenden immer umfassenderen Externalisierung der digitalen Basisinfrastruktur der Verwaltung und der konsequenten Weigerung zum behördeninternen Wissensaufbau werden diese Art von Probleme in der Zukunft immer größer werden. Eigentlich ist es mittlerweile schon egal, ob die Daten der Schüler*innen bei Microsoft oder einem DSGVO konformen Anbieter liegen. Die Verwaltung hat einfach nicht die Kompetenz sie zu schützen.
Ziemliche Armutszeugnis, was den staatlichen Stellen dort ausgestellt wird, finde ich. Aber ich denke, Wittmann hat mir ihrer Argumentation Recht, es ist eine arg bescheidene Situation, Deutschland ist diesbezüglich sowohl von den Behörden als auch von der Softwareentwicklung schlicht Entwicklungsland.
Anzeige
Die Arroganz, aber vor allem Ignoranz bei (nicht nur) bayerischen Behörden ist mittlerweile nur noch als episch zu bezeichnen.
Dennoch wirkt das Eindreschen auf die Vergabe an kleine Anbieter und die Argumentation drumherum eher aufgeregt als konsistent.
Da wurde eine Sicherheitslücke gefunden, die binnen kürzester Frist geschlossen wurde. Und daran zieht sich die Sicherheitsforscherin hoch und bringt Teams, Zoom und Opensource in Eigenregie gleichermaßen in Stellung als leuchtende Gegenbeispiele. Dass Teams, Zoom und Konsorten auch schon Fette Bugs hatten und die auch nicht schneller gefixt haben, wird für die Schelte in den Skat gedrückt. Und dass Behörden in Eigenregie auch nicht mehr Manpower aufbieten können, als die kleinere Klitsche, sollte man schon wissen. Die haben ja noch hunderte andere IT-Aufgaben und können sich noch viel weniger spezialisieren.
Teams und Co da überhaupt in die Diskussion zu werfen, finde ich aber schon grundsätzlich abwegig. Wir setzen in einem kleinen Kreis auch so eine Big-Player-Lösung ein und die überschreiten einfach alle Grenzen.
Wir liefern eine Anleitung mit, wie man das forcierte Installieren des Clients im Benutzerumfeld verhindern kann und trotzdem rufen immer wieder Teilnehmer von Sitzungen an, was uns einfiele, bei ihnen einfach Software zu installieren und das auch noch heimlich.
Und das konnten wir nachvollziehen. Nach Hersteller-Anleitung vorgegangen und -zack- installiert sich im Hintergrund der Client. Natürlich ein "bedauerlicher Fehler", kann ja mal passieren. Dann hat man einen Client auf dem Rechner, der bei jedem Systemstart aufpoppt und im Benutzerumfeld auf Webseiten reagiert.
Da sind die Daten nicht nur mal bei einer Sitzung in Gefahr, sondern gleich ständig. Und die zu Sitzungen eingeladenen Benutzer sind teils mächtig verärgert.
Wobei mich da eigentlich noch mehr schockiert, wie vielen es total egal zu sein scheint, dass da heimlich Software auf ihren Systemen landet. Es beschweren sich ja immer nur wenige, der Rest scheint mit der digitalen Selbstbestimmung abgeschlossen zu haben.
Ich muss jetzt aber Mal mit dem Ranten zum Thema Videosysteme aufhören, sonst überschreite ich noch Grenzen. Mit den Big Playern im Markt schlagen wir uns nämlich nahezu täglich rum, weil die unsere User an der Nase rumführen und zum unerwünschten Handeln nötigen ("sie müssen dem und dem zustimmen, wenn sie.." – nein, müssen sie nicht, dürfen sie nicht mal) und ohne Ende technische Probleme machen.
Keine Ahnung, wieso die so hochgejubelt werden, kriegen teilweise keine stabile Sitzung mit stabilem Bild und Ton hin, wo unsere Systeme problemlos agieren (Basis jitsi und BBB). Was die an personellen Ressourcen in der IT-Betreuung aufrauchen, ist völlig unverhältnismäßig.
Ach, ich wollte ja aufhören, mich aufzuregen…
Wir hatten vor kurzem eine Partei-Videokonferenz bei WebEx und konnten plötzlich laut streitende uns unbekannte Personen einer anderen Videokonferenz eines Betriebsrats eines Staubsaugerherstellers hören?! Also mit der Sicherheit scheint es wohl bei allen Anbietern Probleme zu geben.
Apropos Arroganz: Diese Lilith Wittmann scheint ja auch eine ziemliche Selbstdarstellerin zu sein. Hätte sie für ihren Hinweis zur Sicherheitslücke den bayerischen Verdienstorden erwartet oder was? Ausgerechnet der Bayerischen Staatsregierung Antiamerikanismus unterschieben zu wollen, zeugt ja nicht gerade von Sachkenntnis.
Wenn eine Behörde auf MS, Apple & Co. setzt, wird sie kritisiert.
Wenn eine Behörde versucht, in Eigenregie eine Lösung zu stricken, wird sie kritisiert.
Wenn eine Behörde ein Projekt an unabhängige Fachfirmen ausschreibt, wird sie kritisiert.
Bloß wie man's richtig macht, das verrät von all den kritischen Fachleuten auch keiner.
Wenn ich den Beitrag richtig gelesen habe, wurden von Wittmann konkrete Vorschläge gemacht. Von OSS mit Unterstützung durch Community bis hin zu Ausschreibungen, die nicht mit Bias kleine Anbieter erzwingen, war alles dabei. Meine Industrie-Tätigkeit ist zwar 28 Jahre her. Aber bei Ausschreibungen wurde darauf geachtet, dass der Anbieter das auch erfüllen konnte und Ahnung hat. Nur die Projekte, wo Kunde und Einkaufe gegen meine Expertise agierten, gingen meist in die Hose. Lang ist's her. Vermutlich hat man heute bessere Managementtools, oder das ultimative Wissen ;-).
Ja, Herr Born. Mit Blick auf meine Ausschreibungserfahrungen scheint mir, dass heute alle das ultimative Wissen haben.
Sei es der Chef des Auftraggebers, der Kraft ultimativen Wissens mit einem Blick weiß: das ist das beste Produkt, das wird beschafft!
Oder die teilnehmenden Firmen, die ohne weitere Informationen verlautbaren, dass entweder nur ihr Produkt geeignet sein oder die Ausschreibung völlig falsch sein muss.
Oder Unbeteiligte, die sowieso alles besser gemacht hätten, weil das bestimmt zu teuer oder zu schlecht ist.
Eigentlich egal wer. Alle haben das ultimative Wissen.
Außer der, der das fachlich im Ganzen geplant, als einziger alle Rahmenbedingungen geprüft hat und vielleicht Auskunft geben könnte, warum Anforderungen so waren, wie sie halt waren. Der hat als einziger keine Ahnung und wird dann auch nicht mehr gefragt.
Ist ja auch Quatsch, schließlich weiß man ja alles.
Wenn ich für jede Vorwurfstirade aus dem Off eine Beruhigungspille genommen hätte, würde die Kontinentaldrift neben mir hektisch wirken.
Tatsächlich ist es Gang und Gäbe, dass über die Vergabepraxis hergezogen wird .. ohne Ende. Das passiert manchmal zu Recht und meist ist das totaler Nonsens, weil das alles sauber hergeleitet und begründet ist. Das weiß aber immer nur der Durchführende, weil der alle Infos hat.
Das Problem ist letztlich die verordnete Intransparenz, die daraus herrührt, das einem jede falsche Formulierung massive Konsequenzen eintragen kann. Also darf ich zum Beispiel gar nicht mehr sagen, als im öffentlichen Verfahren schon steht. Und entsprechend dürfen auch woanders die stichhaltigen Argumente des genauen Warums auch nicht zur Verteidigung der Behörde eingebracht werden. Das mag Schummler schützen, bringt aber auch die Ordentlichen in das Zwielicht der Mauschelei.
Bis jemand klagt, dann werden auch die internen Vermerke für das Gericht geöffnet.
Hier helfen nur zwei Dinge:
a) klagen, klagen, klagen
b) neue, knallharte und umfassende Transparenzregeln für Vergabeunterlagen aller Art
B wird's nicht geben. Sicherheit, blablubb, wissense…
In jedem Fall nicht helfen: Tiraden oder gar verschwörungstheoretische Tiraden, die man auf alle möglichen Leute loslässt, ohne den Willen, sich die Nachweise dafür zu erklagen. Das ist nur das alte Spiel: perlt an der Behörde ab und der Tiradenablasser macht sich für einen Gutteil der Leute unmöglich.
Edit: Triaden in Tiraden korrigiert, weil.. äh.. besser so..
Als jemand, der das Ausschreibungsverfahren sehr gut kennt…
Nein, da war kein Blumentopf zu gewinnen.
Die Ausschreibung selbst war schon grauenhaft (habe hier noch das PDF dazu, aber ist ja geheim…), und auch das sonstige Setting war eher toxisch.
Als Kommentator sollte man, bevor man so lustige Sachen trollt, schon Einblick in die Sachen haben, über die man kommentiert…