Videokonferenzsoftware eduMEET im Pentest

25. September 2024

Im Rahmen der aktuellen Testung der Videokonferenzsoftware eduMEET wurde im August 2024 ein Penetrationstest (Pentest) durchgeführt. Dabei wurden zwei Ziele verfolgt: Zum einen sollten potenzielle Sicherheitsschwachstellen auf den eigenen Servern beim Betrieb von eduMEET identifiziert werden, zum anderen sollte der durch den Pentest entstehende Sicherheitsaufwand untersucht werden.

Beauftragt wurde in Abstimmung mit dem DFN-CERT ein externer Pentester, der gezielt nach angreifbaren Komponenten suchte. Darüber hinaus wurde bei der Auswertung auf die Expertise des Kompetenzzentrums für Videokonferenzdienste (VCC) an der TU Dresden zurückgegriffen, die über weitreichende Erfahrungen im Betrieb von Cloud-Videodiensten auf verschiedenen Plattformen verfügen. Involviert war ebenso Softwareentwickler Stefan Otto vom norwegischen Forschungsnetz SIKT.

Das Ergebnis: An einer Stelle wurden Informationen über verwendete Serversoftware samt Versionsnummer sichtbar. Diese Gefahr wurde im Testbericht als „möglicherweise hoch“ bezeichnet, weil das eingesetzte Softwaremodul augenscheinlich veraltet ist. Hier herrscht also Handlungsbedarf. Die gute Nachricht ist, dass das eduMEET-Entwicklerteam eine zeitnahe Aktualisierung zugesagt hat.

Das zweite Ergebnis sollte zeigen, wie Pentests in den Software-Entwicklungsprozess eingeplant werden können. Wichtig war hier, den Ressourceneinsatz für IT-Sicherheit bei Open-Source-Software seriös einzuschätzen. Als Resultat lässt sich festhalten, dass allein der zeitliche Aufwand bereits bei einer funktional recht überschaubaren Software wie eduMEET nicht unerheblich ist. Das bedeutet, dass das Bedürfnis nach erhöhter digitaler Souveränität, die mitunter mit dem Einsatz von Open-Source-Software in Verbindung gebracht wird, sich hinsichtlich der notwendigen Ressourcen mit steigenden Kosten auswirken kann.

Die WebRTC-basierte Videokonferenzsoftware eduMEET wurde im Rahmen des GÉANT-Projekts GN5-1 für die Community der nationalen Forschungsnetze (NRENs) entwickelt. Im Gegensatz zu vielen kommerziellen Produkten ist eduMEET vollständig quelloffen sowie Open-Source-lizenziert und kann so von der Community weiterentwickelt werden. Bei einigen NRENs ist der Videodienst bereits im Einsatz. In Deutschland prüft der DFN-Verein derzeit mit teilnehmenden Einrichtungen mögliche Nutzungs- und Einsatzszenarien.

Weitere Details zum Pentest sowie zu anderen Tests rund um eduMEET werden im Dezember beim 27. VCC-Workshop in Dresden vorgestellt.