In Deutschland wurde in Krankenhäusern Teststationen für das Coronavirus eingerichtet

© APA/AFP/TOBIAS SCHWARZ / TOBIAS SCHWARZ

Netzpolitik
03/11/2020

Coronavirus: Krisenkonferenz von Minister ungesichert im Netz

Die Videokonferenz zwischen Innenminister, Krisenstab und Polizei war eigentlich nicht für die Öffentlichkeit bestimmt.

Das Innenministerium von Bayern nutzt eine Videokonferenzlösung. Soweit ist das nicht ungewöhnlich. Allerdings wurde verabsäumt, diese mit einem Passwort zu schützen.

So konnte sich jeder in die Konferenzen einklinken. Alles was dazu benötigt wurde, war eine leicht zu erratende URL, berichtet c't. So konnte etwa bei einer Sitzung des Krisenstabs zum Coronavirus mitgelauscht werden.

URL erraten

Das Konferenzsystem nutzt die Domain video.bayern.de. Laut c't kann man sich in die virtuellen Konferenzräume einloggen, indem man einfach video.bayern.de/Pfad/Raumnummer eingibt. Der Pfad bestehe aus wenigen Buchstaben. Die Raumnummer besteht laut c't aus 6 Ziffern.

Wer schon mal in einem Amt war, kann sehr gut erraten, wie die Raumnummern lauten. Laut c't könnte man auch ein Skript schreiben, um in wenigen Sekunden alle verfügbaren Räume zu erfahren. Nötig ist das aber nicht, weil man einfach mit Rauf- und Runterzählen die meisten Räume finden kann.

Hat man so einen Konferenzraum gefunden, wird man auf der Website aufgefordert „Cisco Jabber Guest“ zu installieren. Damit kann man sich in die Konferenzen einloggen.

Krisenbesprechung zu Coronavirus

c't hat über mehrere Tage hinweg stichprobenartig auf Räume zugegriffen, um zu überprüfen, ob dieses Videokonferenzsystem tatsächlich genutzt wird. In einem Fall wurde eine aktive Konferenz gefunden. An dieser nahmen 3 Teilnehmer an unterschiedlichen Orten teil: Der bayrische Innenminister Joachim Herrmann, ein Stab aus 20 Personen und 6 Personen der bayrischen Polizei. Das Thema: Coronavirus und die Lage in Bayern.

Die Besprechung war offensichtlich nicht für die Allgemeinheit bestimmt. Anscheinend störte es aber keinen, dass plötzlich ein vierter Teilnehmer bei der Konferenz anwesend war. c't hatte die Webcam so justiert, dass nur ein leerer Büroraum zu sehen ist. Keiner der Personen in der Konferenz hinterfragte dies oder entfernte den unbekannten Teilnehmer aus der Krisensitzung.

c't meldete danach den Fund der zuständigen Behörde. Seitdem wurde ein PIN-Code eingerichtet. Diesen müssen jetzt Gäste eingeben, wenn sie über die URL an Videokonferenzen teilnehmen wollen. Wie oft zuvor mit dieser Methode von Außenstehenden bei Besprechungen mitgehört wurde, ist nicht bekannt.