Sicherheitslücken in Big Blue Button – Symptom für ein Problem

2020 ist das Jahr der Videokonferenz. Dienstreisen und Meetings wurden in den virtuellen Raum verlegt. Dabei spielt natürlich zunehmend die Frage eine Rolle, wer diesen Raum kontrolliert und über die Sicherheit entscheidet. Der Primus Zoom war deshalb im Frühjahr heftiger Kritik ausgesetzt. Nun hat es Big Blue Button erwischt.

Die Kritik im Frühjahr an Zoom war heftig. Proprietär, unsicher, mangelhafter Respekt vor Datenschutz – die Vorwürfe waren mannigfaltig und vor allem die Open Source Community blies hier heftig mit ins Horn. Teilweise auch ungerechtfertigt, denn verschlüsselte Gruppenvideotelefonie bot bis dahin niemand an. Aber man hatte ja Jitsi Meet und Big Blue Button, für die man fleißig die Werbetrommel rührte.

Das ist natürlich nicht falsch. Digitale Souveränität kann es nicht geben, wenn vom Ministerium bis zur kleinen Firma alle von der Kommunikationslösung einiger weniger vorwiegend US-amerikanischer Firmen abhängig sind. Die funktionalen Defizite und Probleme in der Stabilität, insbesondere bei vielen Teilnehmern, wurden zwar von manchen etwas leichtfertig unter den Tisch gekehrt, aber im Grunde genommen können wir dankbar sein, dass es diese Projekte gibt.

Der Golem-Bericht zeigt halt nun, dass diese kleinen Projekte nicht unbedingt professioneller auf das Thema Sicherheit und Datenschutz reagieren als die ach so bösen IT-Konzerne. Die Liste der Vorwürfe reicht von Intransparenz, verschleppten Sicherheitsfixes und üblen Designentscheidungen bei Themen wie Videoaufzeichnung und Stummschaltung. Bei Zoom & Co wäre die erregungsfreudige Internet-Öffentlichkeit vermutlich schon durch die Decke gegangen.

Das ist meiner Meinung nach aber nicht mal das Hauptproblem. Die Sicherheitsprobleme bei BBB sind mal wieder symptomatisch für die Probleme viel genutzter Open Source Projekte. Ein kleines Team entwickelt und zukunftsversprechende Software und leistet im Rahmen ihrer Möglichkeiten großartige Arbeit. Zahllose kleine, aber auch sehr viele große Anbieter greifen dann auf die Software zurück – und geben dann in der Regel nichts zurück. Die Gründe hierfür sind mannigfaltig. Zwei Hauptprobleme seien aber angesprochen. Open Source ist bei vielen eben doch oft Freibier und die Finanzierung der meist spendenbasiert agierenden Projekte für die öffentliche Hand schwierig. Eine öffentliche Einrichtung darf schlicht nicht an Projekte spenden.

Ein Teufelskreis, von dem letztlich nur die proprietären Dienstanbieter profitieren.

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...