Startseite
Icon Pfeil nach unten
Bayern
Icon Pfeil nach unten

Distanzunterricht: IT-Expertin entdeckt Sicherheitslücke in bayerischer Schulsoftware

Distanzunterricht

IT-Expertin entdeckt Sicherheitslücke in bayerischer Schulsoftware

    • |
    Spätestens zum Schuljahr 2021/22 ersetzt Visavid im Distanzunterricht in Bayern die Anwendung Microsoft Teams. Doch wie sicher ist die neue Videokonferenz-Software?
    Spätestens zum Schuljahr 2021/22 ersetzt Visavid im Distanzunterricht in Bayern die Anwendung Microsoft Teams. Doch wie sicher ist die neue Videokonferenz-Software? Foto: Alexander Kaya (Symbol)

    An immer mehr bayerischen Schulen ersetzt seit Ende April das Videokonferenz-Programm Visavid die Anwendung Microsoft Teams. Nach einer Übergangsfrist soll das Programm zum neuen Schuljahr flächendeckend in einem etwaigen Distanz- und Wechselunterricht eingesetzt werden.

    Die Berliner IT-Sicherheitsforscherin Lilith Wittmann hat nun eine kritische Sicherheitslücke bei eben diesem neuen Programm entdeckt. Wie sie in einem ausführlichen Blogbeitrag auf der Internetplattform Medium erklärt, war es Angreifern damit möglich, unbemerkt auf Videokonferenzen zuzugreifen, mitzuhören und mit Teilnehmenden zu interagieren. Wittmann informierte nach ihrem Fund den Visavid-Hersteller Auctores sowie die Sicherheitsbehörden CERT Bund und CERT Bayern.

    Distanzunterricht in Bayern: Sicherheitslücke bei Visavid ist bereits behoben

    Hintergrund der Umstellung auf Visavid waren datenschutzrechtliche Fragen beim US-Unternehmen Microsoft und dessen Programm Teams, auf die auch der Landesdatenschutzbeauftragte Thomas Petri verwiesen hatte. Bayerns Kultusminister Michael Piazolo (Freie Wähler) erklärte Mitte April zur Einführung der neuen Anwendung: "Visavid ist ein benutzerfreundliches, maßgeschneidertes und datenschutzkonformes Videokonferenztool für unsere Schulen."

    Am Freitag schrieb der Hersteller in einer Pressemitteilung, die Sicherheitslücke des Programms sei durch ein Software-Update behoben worden. Laut dem in Neumarkt in der Oberpfalz ansässigen Anbieter war es durch diese Schwachstelle lediglich "versierten Angreifern mit entsprechender krimineller Energie möglich, einen Raum trotz aktivierten Warteraumes ohne Freigabe durch den Moderator zu betreten." Für normale Nutzer wäre dies nicht möglich gewesen.

    Sicherheitsexpertin Lilith Wittmann vermutet weitere Probleme bei Visavid

    Lilith Wittmann sieht das anders. Sie schreibt auf Twitter von einer "supersimpel ausnutzbaren Schwachstelle", die jeder mit entsprechenden Vorkenntnissen im IT-Sicherheitsbereich innerhalb einer Stunde hätte finden können. Gegenüber dem Nachrichtenmagazin Spiegel erläutert Wittmann: "Durch die Lücke konnte ich mich als Angreiferin in eine Videokonferenz einschleichen, selbst wenn diese durch einen Warteraum gesichert ist. Ich brauche dafür nur die Raumnummer zu wissen, und die kann man manchmal sogar über die Google-Suche finden."

    Die Sicherheitsforscherin vermutet grundlegende Probleme bei Visavid. "Wenn ich nach so kurzer Zeit eine solche massive Lücke finde, liegt da mehr im Argen. Ich werde das allerdings nicht weiter verfolgen, weil ich das ehrenamtlich mache", so Wittmann im Spiegel-Interview. Das Kultusministerium bestätigte dem Bayerischen Rundfunk in einer schriftlichen Stellungnahme die Sicherheitslücke und sprach von einem "gezielten Hackerangriff". Lilith Wittmann reagierte darauf in ihrem Blogbeitrag mit den Worten: "Liebes Kultusministerium, wäre das ein Hackerangriff gewesen, hättet ihr jetzt ein richtig großes Problem (also noch größer als jetzt). Wie wäre es denn mal mit ein Dankeschön für die ehrenamtliche Arbeit anstatt der Diskreditierung von Sicherheitsforschung?"

    Diskutieren Sie mit
    0 Kommentare
    Dieser Artikel kann nicht mehr kommentiert werden