Aufgrund des Coronavirus setzen Unternehmen vermehrt auf Videokonferenzen, um ihre Mitarbeiter im Home-Office besser einbinden zu können. Dass man bei dieser Technik auch die IT-Sicherheit im Auge haben sollte, erfuhr nun das bayrische Innenministerium. Weil das eigene System nicht mit einem Passwort geschützt war, konnten Mitarbeiter des Computermagazins "c’t" an einer politischen Krisenbesprechung zum Coronavirus teilnehmen.

Leichter Zugang

Ciscos Videokonferenzsystem war nämlich von außen relativ frei zugänglich. Man musste nur die URL und verwendeten Schemata kennen: Video.bayern.de/Pfad/Raumnummer. Der Pfad bestehe aus wenigen Buchstaben, die Raumnummer aus sechs Zahlen. Die richtige Kombination konnte man nun entweder erraten, oder man übergab die Arbeit einem Skript. Sobald man die vollständige URL beisammen hatte, wurde man aufgefordert, "Cisco Jabber Guest" zu installieren. Damit konnte man dann in die Konferenzräume blicken.

Das tat "c’t" auch und stieß dabei meistens auf leere Konferenzräume – aber einmal eben auch auf eine stattfindende Besprechung. Zu sehen: der bayerische Innenminister Joachim Herrmann und zahlreiche Mitarbeiter und Vertreter der Polizei. Sie besprachen die Corona-Lage in Bayern. Herrmann war als "jabberguest" zugeschaltet.

Reaktion

"C’t" informierte nach der Konferenz umgehend das Bundesamt für Sicherheit in der Informationstechnik. Das bayrische Innenministerium gab bisher noch keine Stellungnahme dazu ab. Das Gesundheitsministerium sagte, dass der Zugang umgehend passwortgeschützt wurde. (red, 11.3.2020)