Besuchen Sie unsere Website mit externen Inhalten, personalisierter Werbung und Werbetracking durch Dritte.
Details und Informationen zu Cookies, Verarbeitungszwecken sowie Ihrer jederzeitigen Widerrufsmöglichkeit
finden Sie in der Datenschutzerklärung und in den
Privatsphäre-Einstellungen.
Weiter mit dem PUR-Abo
Nutzen Sie unser Angebot ohne Werbetracking durch Dritte für 4,99 Euro/Monat.
Kunden mit einem bestehenden Abo (Tageszeitung, e-Paper oder PLUS) zahlen nur 0,99 Euro/Monat.
Informationen zur Datenverarbeitung im Rahmen des PUR-Abos finden Sie in der
Datenschutzerklärung.
Einwilligung:
Durch das Klicken des "Akzeptieren und weiter"-Buttons stimmen Sie der Verarbeitung der auf Ihrem Gerät bzw.
Ihrer Endeinrichtung gespeicherten Daten wie z.B. persönlichen Identifikatoren oder IP-Adressen für die
beschriebenen Verarbeitungszwecke gem. § 25 Abs. 1 TTDSG sowie Art. 6 Abs. 1 lit. a DSGVO durch uns und unsere
bis zu 220 Partner zu. Darüber hinaus nehmen Sie Kenntnis davon,
dass mit ihrer Einwilligung ihre Daten auch in Staaten außerhalb der EU mit einem niedrigeren Datenschutz-Niveau
verarbeitet werden können.
Tracking durch Dritte:
Zur Finanzierung unseres journalistischen Angebots spielen wir Ihnen Werbung aus, die von Drittanbietern kommt.
Zu diesem Zweck setzen diese Dienste Tracking-Technologien ein.
Hierbei werden auf Ihrem Gerät Cookies gespeichert und ausgelesen oder Informationen
wie die Gerätekennung abgerufen, um Anzeigen und Inhalte über verschiedene Websites hinweg basierend auf einem Profil
und der Nutzungshistorie personalisiert auszuspielen.
Externe Inhalte:
Zur Ergänzung unserer redaktionellen Texte, nutzen wir in unseren Angeboten externe Inhalte und
Dienste Dritter („Embeds“) wie interaktive Grafiken, Videos oder Podcasts. Die Anbieter, von
denen wir diese externen Inhalten und Dienste beziehen, können ggf. Informationen auf Ihrem
Gerät speichern oder abrufen und Ihre personenbezogenen Daten erheben und verarbeiten.
Verarbeitungszwecke:
Personalisierte Werbung mit Profilbildung, externe Inhalte anzeigen, Optimierung des Angebots (Nutzungsanalyse,
Marktforschung, A/B-Testing, Inhaltsempfehlungen), technisch erforderliche Cookies oder vergleichbare Technologien.
Die Verarbeitungszwecke für unsere Partner sind insbesondere: Informationen auf einem Gerät speichern und/oder abrufen
Für die Ihnen angezeigten Verarbeitungszwecke können Cookies, Gerätekennungen oder andere
Informationen auf Ihrem Gerät gespeichert oder abgerufen werden.
Personalisierte Anzeigen und Inhalte, Anzeigen und Inhaltsmessungen, Erkenntnisse über
Zielgruppen und Produktentwicklungen
Anzeigen und Inhalte können basierend auf einem Profil personalisiert werden. Es können mehr
Daten hinzugefügt werden, um Anzeigen und Inhalte besser zu personalisieren. Die Performance
von Anzeigen und Inhalten kann gemessen werden. Erkenntnisse über Zielgruppen, die die
Anzeigen und Inhalte betrachtet haben, können abgeleitet werden. Daten können verwendet
werden, um Benutzerfreundlichkeit, Systeme und Software aufzubauen oder zu verbessern.
Distanzunterricht: IT-Expertin entdeckt Sicherheitslücke in bayerischer Schulsoftware
Distanzunterricht
09.07.2021
IT-Expertin entdeckt Sicherheitslücke in bayerischer Schulsoftware
Spätestens zum Schuljahr 2021/22 ersetzt Visavid im Distanzunterricht in Bayern die Anwendung Microsoft Teams. Doch wie sicher ist die neue Videokonferenz-Software?
Eine Berliner IT-Forscherin hat eine kritische Sicherheitslücke bei Visavid entdeckt. Das Programm wird für den Videounterricht an bayerischen Schulen verwendet.
An immer mehr bayerischen Schulen ersetzt seit Ende April das Videokonferenz-Programm Visavid die Anwendung Microsoft Teams. Nach einer Übergangsfrist soll das Programm zum neuen Schuljahr flächendeckend in einem etwaigen Distanz- und Wechselunterricht eingesetzt werden.
Die Berliner IT-Sicherheitsforscherin Lilith Wittmann hat nun eine kritische Sicherheitslücke bei eben diesem neuen Programm entdeckt. Wie sie in einem ausführlichen Blogbeitrag auf der Internetplattform Medium erklärt, war es Angreifern damit möglich, unbemerkt auf Videokonferenzen zuzugreifen, mitzuhören und mit Teilnehmenden zu interagieren. Wittmann informierte nach ihrem Fund den Visavid-Hersteller Auctores sowie die Sicherheitsbehörden CERT Bund und CERT Bayern.
Distanzunterricht in Bayern: Sicherheitslücke bei Visavid ist bereits behoben
Hintergrund der Umstellung auf Visavid waren datenschutzrechtliche Fragen beim US-Unternehmen Microsoft und dessen Programm Teams, auf die auch der Landesdatenschutzbeauftragte Thomas Petri verwiesen hatte. Bayerns Kultusminister Michael Piazolo (Freie Wähler) erklärte Mitte April zur Einführung der neuen Anwendung: "Visavid ist ein benutzerfreundliches, maßgeschneidertes und datenschutzkonformes Videokonferenztool für unsere Schulen."
Wir benötigen Ihre Einwilligung, um den Inhalt von Twitter anzuzeigen
Hier kann mit Ihrer Einwilligung ein externer Inhalt angezeigt werden, der den redaktionellen Text ergänzt. Indem Sie den Inhalt über „Akzeptieren und anzeigen“ aktivieren, kann die Twitter International Company Informationen auf Ihrem Gerät speichern oder abrufen und Ihre personenbezogenen Daten erheben und verarbeiten, auch in Staaten außerhalb der EU mit einem niedrigeren Datenschutz Niveau, worin Sie ausdrücklich einwilligen. Die Einwilligung gilt für Ihren aktuellen Seitenbesuch, kann aber bereits währenddessen von Ihnen über den Schieberegler wieder entzogen werden. Datenschutzerklärung
Am Freitag schrieb der Hersteller in einer Pressemitteilung, die Sicherheitslücke des Programms sei durch ein Software-Update behoben worden. Laut dem in Neumarkt in der Oberpfalz ansässigen Anbieter war es durch diese Schwachstelle lediglich "versierten Angreifern mit entsprechender krimineller Energie möglich, einen Raum trotz aktivierten Warteraumes ohne Freigabe durch den Moderator zu betreten." Für normale Nutzer wäre dies nicht möglich gewesen.
Sicherheitsexpertin Lilith Wittmann vermutet weitere Probleme bei Visavid
Lilith Wittmann sieht das anders. Sie schreibt auf Twitter von einer "supersimpel ausnutzbaren Schwachstelle", die jeder mit entsprechenden Vorkenntnissen im IT-Sicherheitsbereich innerhalb einer Stunde hätte finden können. Gegenüber dem Nachrichtenmagazin Spiegel erläutert Wittmann: "Durch die Lücke konnte ich mich als Angreiferin in eine Videokonferenz einschleichen, selbst wenn diese durch einen Warteraum gesichert ist. Ich brauche dafür nur die Raumnummer zu wissen, und die kann man manchmal sogar über die Google-Suche finden."
Wir benötigen Ihre Einwilligung, um den Inhalt von Twitter anzuzeigen
Hier kann mit Ihrer Einwilligung ein externer Inhalt angezeigt werden, der den redaktionellen Text ergänzt. Indem Sie den Inhalt über „Akzeptieren und anzeigen“ aktivieren, kann die Twitter International Company Informationen auf Ihrem Gerät speichern oder abrufen und Ihre personenbezogenen Daten erheben und verarbeiten, auch in Staaten außerhalb der EU mit einem niedrigeren Datenschutz Niveau, worin Sie ausdrücklich einwilligen. Die Einwilligung gilt für Ihren aktuellen Seitenbesuch, kann aber bereits währenddessen von Ihnen über den Schieberegler wieder entzogen werden. Datenschutzerklärung
Die Sicherheitsforscherin vermutet grundlegende Probleme bei Visavid. "Wenn ich nach so kurzer Zeit eine solche massive Lücke finde, liegt da mehr im Argen. Ich werde das allerdings nicht weiter verfolgen, weil ich das ehrenamtlich mache", so Wittmann im Spiegel-Interview. Das Kultusministerium bestätigte dem Bayerischen Rundfunk in einer schriftlichen Stellungnahme die Sicherheitslücke und sprach von einem "gezielten Hackerangriff". Lilith Wittmann reagierte darauf in ihrem Blogbeitrag mit den Worten: "Liebes Kultusministerium, wäre das ein Hackerangriff gewesen, hättet ihr jetzt ein richtig großes Problem (also noch größer als jetzt). Wie wäre es denn mal mit ein Dankeschön für die ehrenamtliche Arbeit anstatt der Diskreditierung von Sicherheitsforschung?"
Die Diskussion ist geschlossen.