{"id":255592,"date":"2021-07-12T20:10:04","date_gmt":"2021-07-12T18:10:04","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=255592"},"modified":"2024-03-31T20:17:35","modified_gmt":"2024-03-31T18:17:35","slug":"videokonferenzsoftware-visavid-die-sicherheitslcke-und-bayerische-schulen-und-steuerberater","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/07\/12\/videokonferenzsoftware-visavid-die-sicherheitslcke-und-bayerische-schulen-und-steuerberater\/","title":{"rendered":"Videokonferenzsoftware Visavid, die Sicherheitslücke sowie bayerische Schulen und Steuerberater"},"content":{"rendered":"

\"SicherheitVisavid ist eine Videokonferenzsoftware, die vom bayerischen Kultusministerium f\u00fcr die dortigen Schulen von einem kleinen Anbieter beschafft wurde. Die Software wird auch von Steuerberatern eingesetzt. Problem ist nur, dass die Videokonferenzsoftware Visavid, die unter der Haube wohl auf einer Open Source-L\u00f6sung basiert, eine Sicherheitsl\u00fccke aufwies. \u00dcber diese konnten Dritte unbemerkt auf die Informationen von Teilnehmern von Videokonferenzen zugreifen. Der Fall wirft auch die Frage auf, wie der Staat oder eine Organisation seine Softwareauftr\u00e4ge vergibt. <\/p>\n

<\/p>\n

\"\"Das bayerischen Kultusministerium spricht im konkreten Fall von \"einem Hackerangriff\", nachdem die Sicherheitsforscherin Lilith Wittmann das Ganze aufgedeckt hat. Die Information ist mir am Sonntag von einem Blog-Leser per Mail zugegangen. Dieser lieferte mir in einer kurzen Mail folgendes Zitat:<\/p>\n

\n

Die Arroganz des bayr. Kultusministeriums<\/em><\/p>\n

Ich habe eine Sicherheitsl\u00fccke in der prim\u00e4r in bayerischen Schulen und von Steuerberatern eingesetzten Videokonferenz Software Visavid gefunden… <\/p>\n

PS. Liebes Kultusministerium, w\u00e4re das ein Hackerangriff gewesen, h\u00e4ttet ihr jetzt ein richtig gro\u00dfes Problem (also noch gr\u00f6\u00dfer als jetzt). Wie w\u00e4re es denn mal mit ein Dankesch\u00f6n f\u00fcr die ehrenamtliche Arbeit anstatt der Diskreditierung von Sicherheitsforschung? <\/p>\n<\/blockquote>\n

Die Aussage \"ich habe eine Sicherheitsl\u00fccke … gefunden\" bezieht sich auf diesen Beitrag<\/a> von Sicherheitsforscherin Lilith Wittmann auf Medium. Hier ein wenig sortiert, um was es geht.<\/p>\n

Was ist Visavid?<\/h2>\n

Der Name Visavid steht f\u00fcr ein Videokonferenzsystem, welches f\u00fcr Distanzunterricht, Web-Seminare und Online-Meetings angeboten wird. Der Hersteller wirbt<\/a> mit \"genial einfaches Videokonferenz-System made in Germany\". Seit dem 21.04.2021 k\u00f6nnen die Schulleitungen bayerischer Schulen die Nutzung von Visavid im Schulportal beantragen<\/a>.<\/p>\n

Der Hersteller wirbt damit, dass mit Visavid<\/em> wir eine Videokonferenz-L\u00f6sung angeboten werde, die von der Entwicklung bis zum Support zu 100 % Made in Germany ist und neben Datenschutz und einem hohen Sicherheitslevel auch individuelle Anpassungsm\u00f6glichkeiten f\u00fcr unterschiedliche Einsatzbereiche bietet.<\/p>\n

\"Visavid\"<\/a><\/p>\n

Einsatz in bayerischen Schulen<\/h2>\n

In einer Pressemitteilung<\/a> hei\u00dft es, dass Sch\u00fclerinnen und Sch\u00fcler sowie Lehrkr\u00e4fte ab dem Schuljahr 2021\/22 f\u00fcr den digitalen Unterricht das Videokonferenztool \u201eVisavid\" nutzen werden. Der Vertrag des bisherigen MS Teams-Angebot des Kultusministeriums wird au\u00dferdem \u00fcbergangsweise bis Ende des aktuellen Schuljahres verl\u00e4ngert.<\/p>\n

Mit Visavid stellt das Kultusministerium ab Ende April 2021 eine zentrale bayernweite Videokonferenzsoftware f\u00fcr alle Schulen \u2013 auch f\u00fcr die Grundschulen \u2013 und Schulaufsichtsbeh\u00f6rden bereit. Damit steht eine einfache und f\u00fcr Schulen ma\u00dfgeschneiderte Software zur Verf\u00fcgung, die f\u00fcr das pandemiebedingte \u201eLernen zuhause\" eingesetzt werden kann, aber auch f\u00fcr zahlreiche weitere Einsatzzwecke im k\u00fcnftigen Schulalltag geeignet ist.<\/p>\n

Kultusminister Prof. Dr. Michael Piazolo erkl\u00e4rte hierzu: \u201eVisavid ist ein benutzerfreundliches, ma\u00dfgeschneidertes und datenschutzkonformes Videokonferenztool f\u00fcr unsere Schulen. Jetzt haben alle Schulen \u2013 auch die Grundschulen \u2013 ein Programm, das leicht und auf allen Ger\u00e4ten zu bedienen ist \u2013 ganz ohne Installation.\"<\/p>\n

Some Insides: Open Source-Software Janus<\/h2>\n

Geht man in den Medium-Artikel<\/a> von Lilith Wittmann, bekommt das sch\u00f6ne Bild ein paar leichte Kratzer, wie sie bei einigen Recherchen herausgefunden hat. Anbieter von Visavid ist die Auctores GmbH<\/a> mit Standorten in Frankfurt (Main) und in Neumarkt. Die GmbH befasst sich mit Marketing und Software-Entwicklung. Im Grunde eine kleinere Firma bzw. Agentur, die einen gr\u00f6\u00dferen Auftrag an Land gezogen hat. Kann man sich dr\u00fcber freuen, oder mal genauer hinschauen. <\/p>\n

So weit alles nichts besonderes, aber in ihrem Artikel vermutet Lilith Wittmann Verstrickungen zwischen der F\u00fchrung von Auctores und der bayerischen CSU sowie der Freien W\u00e4hlerschaft. Noch unsch\u00f6ner scheint aber folgender Fakt: Die L\u00f6sung Visavid ist keine reine Eigenentwicklung, sondern setzt auf die Open Source Software Janus<\/a>, ohne das zu erw\u00e4hnen, wie Wittmann schreibt. Und da w\u00e4re noch die Frage, ob man sich mit dem Projekt sicherheitstechnisch nicht vielleicht etwas verhoben hat. <\/p>\n

Schwachstelle in Warter\u00e4umen<\/h2>\n

Lilith Wittmann hat bei einer Analyse binnen kurzer Zeit herausgefunden, dass die L\u00f6sung Visavid eine gr\u00f6\u00dfere Schwachstelle aufwies. \u00dcber einen geteilten Link konnten Teilnehmer den digitalen Warteraum einer Videokonferenz aufsuchen und anfragen, ob ein Moderator sie in die Konferenz einl\u00e4sst. Das Problem: Der Nutzer erhielt, wenn er \u00fcber den Link in den Warteraum kam, einen JWT-Token \u00fcber die Visavid-API. Das Token erm\u00f6glicht die Verbindung zum Videokonferenzserver herzustellen und eine Anfrage zum Betreten des Raumes zu senden. Soweit so gut. <\/p>\n

Wittmann fand nun aber heraus, dass der Nutzer \u00fcber dieses Token ohne Freigabe durch den Moderator z.B. die Liste der Teilnehmenden abrufen, die Videostreams der anderen Teilnehmenden mitschneiden, ihnen Chatnachrichten schicken oder alle geteilten Dateien und Boards ansehen kann. Das Ganze passiert als \"stiller Beobachter\", ohne dass die Teilnehmer das mitbekommen. <\/p>\n

Wer Kenntnisse der Raumnummer besitzt, oder diese durchprobierte, konnte also an einige Daten herankommen, ohne Mitglied einer Konferenz zu sein. In ihrer Timeline gibt Wittmann an, das Cert Bund, das Cert Bayern sowie den Hersteller \u00fcber die Sicherheitsl\u00fccke am 4. Juli 2021 informiert zu haben. Die Schwachstelle wurde am 7. Juli 2021 geschlossen – eine schnelle Reaktion des Herstellers. <\/p>\n

Der Hersteller hat auch die zust\u00e4ndigen Fachstellen (Bayern-CERT und BayLDA) informiert und schreibt hier<\/a>,  dass das BAyLDA nach derzeitigem von einem geringen Datenschutzrisiko ausgeht. Trotzdem sieht der Hersteller Auctores die entdeckte Sicherheitsl\u00fccke als kritisch an und bezeichnet Lilith Wittmann auch korrekt als White-Hat-Hackerin. Bis zu diesem Punkt ist noch alles in Ordnung, denn Sicherheitsl\u00fccken k\u00f6nnen passieren. <\/p>\n

Das lange Ende kommt noch<\/h2>\n

In ihrem Medium-Artikel<\/a> sowie in diesem Interview<\/a> auf Spiegel Online wirft Lilith Wittmann dem bayerischen Staat fehlende Kompetenz bei der Auswahl der Software und der Anbieter vor. Sie kritisiert die Logik, nach der der Staat heute Softwareprodukte aussucht und einkauft. Problem sei, dass es prim\u00e4r darum gehe, nach (h\u00e4ufig von Juristen erstellten) Compliancekriterien ein Produkt auszuw\u00e4hlen. Ob das dann tats\u00e4chlich sicher ist, sei erst einmal zweitrangig. Neben der obigen Software Visavid wird auch die Luca App genannt, die da ebenfalls unr\u00fchmlich heraussticht. <\/p>\n

Lilith Wittmann ist \u00fcberzeugt, dass es bei der Software Visavid einfach gewesen w\u00e4re, auf eine Open Source L\u00f6sung zu setzen, diese selbst zu betreiben und Maintainer bei der Implementierung von neuen Features zu unterst\u00fctzen. Es gibt ja entsprechende Videokonferenzsoftware f\u00fcr den schulischen Bereich. Stattdessen habe man sich f\u00fcr eine Ausschreibung<\/a> entschieden, die auf kleine Anbieter zugeschnitten sei, die sich schon gut mit der \u00f6ffentlichen Vergabe\/F\u00f6rderung auskennen<\/a>. <\/p>\n

Am Projekt verhoben<\/h2>\n

Nun kann die F\u00f6rderung lokaler Unternehmen ja durchaus Sinn machen. Aber es gibt halt Projekte, wo sich kleine Unternehmen schnell verheben k\u00f6nnen. Dazu meint Wittmann: <\/p>\n

\n

Ich wei\u00df nicht, was ich an diese Situation nun schlimmer finden: Die bayerische Arroganz, in der das Kultusministerium davon ausgeht, das ein kleine Agentur eine sinnvolle Alternative zu den gro\u00dfen Anbietern und Open Source Projekten bieten kann. Oder die Leichtfertigkeit, in der hier mit der Datensicherheit der Sch\u00fclerschaft eines ganzen Bundeslandes umgegangen wird und das alles nur f\u00fcr ein bisschen antiamerikanischen Populismus.<\/p>\n<\/blockquote>\n

Wittmann sieht das Ganze sehr kritisch, denn es wurde ein gro\u00dfes amerikanisches Unternehmen Microsoft mit Teams gegen eine L\u00f6sung aus dem bayerischen Mittelstand ausgetauscht, von der zweifelhaft ist, ob der Hersteller die entsprechende Kompetenz mitbringt, um das Ganze zu stemmen. Die Kritik geht nicht in die Richtung, dass man Microsoft Teams auslaufen l\u00e4sst, sondern greift die Frage auf: Beauftrage ich einen europ\u00e4ischen Anbieter oder eine Open Source-Community, wo entsprechende Kompetenz vorhanden ist, oder vergebe ich das an kleine Agenturen. <\/p>\n

In Spiegel Online<\/a> f\u00fchrt Wittmann an, dass staatliche Software von einem kleinen propriet\u00e4ren deutschen Anbieter mit 20 Mann entwickelt werde, der sich bei Open-Source-L\u00f6sungen bedient und ein bisschen was drum herum baue, aber eigentlich keine Ahnung habe und Fehler mache. Als Gegenst\u00fcck f\u00fchrt die Sicherheitsforscherin die US-Videokonferenzsoftware Zoom an, wo 2500 Leute den ganzen Tag an nichts anderem, als sichere Videokonferenzl\u00f6sungen zu bauen arbeiten w\u00fcrden. Das wirft in der Tat Fragen nach der Beschaffung auf. <\/p>\n

Arroganz des Kultusministers<\/h3>\n

Was Wittmann besonders \u00e4rgert, ist der Umstand, dass das bayerische Kultusministerium von einem \"gezielten Hackerangriff\", wie er \"leider inzwischen allt\u00e4glich\" geworden sei, spricht. Dazu Wittmann:<\/p>\n

\n

Ich wei\u00df nicht, was ich an diese Situation nun schlimmer finden: Die bayerische Arroganz, in der das Kultusministerium davon ausgeht, das ein kleine Agentur eine sinnvolle Alternative zu den gro\u00dfen Anbietern und Open Source Projekten bieten kann. Oder die Leichtfertigkeit, in der hier mit der Datensicherheit der Sch\u00fclerschaft eines ganzen Bundeslandes umgegangen wird und das alles nur f\u00fcr ein bisschen antiamerikanischen Populismus.<\/p>\n<\/blockquote>\n

Leider scheint das Ende dieser Entwicklung noch nicht erreicht, denn Wittmann schreibt in ihrem Medium-Artikel<\/a>: <\/p>\n

\n

Mit der heute vorherrschenden immer umfassenderen Externalisierung der digitalen Basisinfrastruktur der Verwaltung und der konsequenten Weigerung zum beh\u00f6rdeninternen Wissensaufbau werden diese Art von Probleme in der Zukunft immer gr\u00f6\u00dfer werden. Eigentlich ist es mittlerweile schon egal, ob die Daten der Sch\u00fcler*innen bei Microsoft oder einem DSGVO konformen Anbieter liegen. Die Verwaltung hat einfach nicht die Kompetenz sie zu sch\u00fctzen.<\/p>\n<\/blockquote>\n

Ziemliche Armutszeugnis, was den staatlichen Stellen dort ausgestellt wird, finde ich. Aber ich denke, Wittmann hat mir ihrer Argumentation Recht, es ist eine arg bescheidene Situation, Deutschland ist diesbez\u00fcglich sowohl von den Beh\u00f6rden als auch von der Softwareentwicklung schlicht Entwicklungsland. <\/p>\n","protected":false},"excerpt":{"rendered":"

Visavid ist eine Videokonferenzsoftware, die vom bayerischen Kultusministerium f\u00fcr die dortigen Schulen von einem kleinen Anbieter beschafft wurde. Die Software wird auch von Steuerberatern eingesetzt. Problem ist nur, dass die Videokonferenzsoftware Visavid, die unter der Haube wohl auf einer Open … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-255592","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255592","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=255592"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/255592\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=255592"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=255592"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=255592"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}