Zu offenes Bayern
Bayerisches Ministerium führte interne Gespräche in ungeschützten Videoräumen
Die virtuellen Konferenzräume des bayerischen Gesundheitsministeriums standen offen im Netz. So konnte c’t an einer internen Sitzung zum Coronavirus mit Bayerns Innenminister Joachim Herrmann teilnehmen.
Entschuldigung, könntet ihr ein bisschen klarer, verständlich sprechen, oder näher ans Mikrofon.“ Der Mann, der zu hören ist, sitzt alleine in einem Konferenzraum und ist als „jabberguest“ in die Videokonferenz zugeschaltet. Es ist der bayerische Innenminister Joachim Herrmann, der sich über die schlechte Tonqualität im Gesundheitsministerium beschwert, das in einem zweiten Raum mit rund 20 Personen am Gespräch teilnimmt. In einem dritten Raum hört ein Stab der bayerischen Polizei zu.
Die Videokonferenz dreht sich um das Coronavirus und die Lage in Bayern dazu. Es ist eine nichtöffentliche Besprechung. Und niemand bemerkt die vierte Kamera, die seit einigen Minuten uneingeladen dazugeschaltet ist und einen leeren Raum zeigt: Dahinter verbirgt sich die c’t-Redaktion.
Offene Konferenzräume
Dass c’t unbemerkt teilnehmen konnte, liegt an dem Videokonferenzsystem, das das bayerische Staatsministerium für Gesundheit und Pflege (StMGP) bis vor Kurzem ohne Zugangsschutz betrieben hat.
Mit dem auf Cisco Webex basierenden Online-Meeting-Dienst lassen sich Videokonferenzen in unterschiedlichen Modi starten. Entweder erstellt man Meetings individuell und lädt dann die Teilnehmer per Mail ein. Oder man setzt einen virtuellen Konferenzraum auf, der jederzeit genutzt werden kann. Dann braucht der Mitarbeiter nur die Adresse des Raums zu kennen, um ein Meeting zu initiieren. Je nach Einstellung kann der Verantwortliche neue Teilnehmer erst einmal in einer vorgeschalteten Lobby warten lassen und manuell dazuholen – oder den Zugang mit Passwort oder PIN einschränken.
Das Gesundheitsministerium hatte mit dem Cisco-System gleich mehrere virtuelle Räume aufgesetzt, die für Mitarbeiter offenbar jederzeit zugänglich waren. Dabei nutzte es allerdings weder die von Cisco vorgesehenen Sicherheitsmechanismen, noch schirmte es den Zugang von außen ab. Man musste lediglich die Adresse des Raums in seinen Browser eintippen, um mithören und mitschauen zu können.
Das Konferenzsystem wird unter der Domain video.bayern.de betrieben. Dort sind Räume nach dem Schema video.bayern.de/Pfad/Raumnummer angelegt, wobei der „Pfad“ aus wenigen Buchstaben und die „Raumnummer“ aus sechs Ziffern besteht. Die Räume verwenden fortlaufende Nummern, sodass man durch Hoch- und Runterzählen gleich mehrere entdeckt.
Nachdem wir auf den Link gestoßen waren, wollten wir uns davon überzeugen, dass es sich nicht bloß um ein schlecht abgesichertes Demosystem handelte. Wir betraten an mehreren Tagen stichprobenartig verschiedene Räume. Während wir die Räume in den meisten Fällen leer vorfanden, stießen wir in einem Fall auf die Krisenkonferenz. Nachdem wir nach einigen Minuten sicher waren, dass es sich hierbei um keine öffentliche Veranstaltung handelte, verließen wir das Meeting unbemerkt und informierten umgehend das Bundesamt für Sicherheit in der Informationstechnik (BSI). Außerdem baten wir das bayerische Innenministerium um Stellungnahme.
Schnelle PIN-Sperre
Im Hintergrund schien sich nun einiges zu tun, denn als wir einen Werktag später den Raum erneut betreten wollten, forderte das System nun zu einer PIN-Eingabe auf. Die Frist zur Stellungnahme ließ das bayerische Innenministerium indes verstreichen. Erst nach Veröffentlichung auf heise online meldete sich das bayerische Gesundheitsministerium bei uns.
Nach Ansicht des Ministeriums sei ein öffentlicher Zugang zwingend erforderlich, um die Teilnahme von Personen außerhalb des bayerischen Behördennetzes zu ermöglichen. Dass jeder teilnehmen konnte, war aber offenbar nicht gewollt: „Der Zugang wurde jedoch umgehend passwortgeschützt.“ Die in der Konferenz besprochenen Sachverhalte seien nicht als geheim oder vertraulich einzustufen.
Also alles halb so schlimm? Nein, denn selbst wenn das Ministerium den Inhalt des Meetings nicht als geheim ansieht: Die Gespräche waren eindeutig nicht für die Allgemeinheit bestimmt. Dazu kommt, dass das unsichere Betreiben unnötig war: Offenbar aus Bequemlichkeit hatte man die vorhandenen Sicherheitsmechanismen nicht genutzt. Und auch der freie Zugang von außen ist nicht notwendig – per VPN hätte sich der Innenminister über eine sichere Verbindung ins Behördennetz einloggen können. (acb@ct.de)
Viele c’t-Investigativ-Recherchen sind nur möglich dank anonymer Informationen von Hinweisgebern.
Wenn Sie Kenntnis von einem Missstand haben, von dem die Öffentlichkeit erfahren sollte, können Sie uns Hinweise und Material zukommen lassen. Nutzen Sie dafür bitte unseren anonymen und sicheren Briefkasten.