SPIEGEL: Frau Wittmann, Sie haben eine Sicherheitslücke in der Videokonferenz-Software Visavid gefunden, die der bayerische Staat für die dortigen Schulen gekauft hat – was genau ist das Problem?

Lilith Wittmann: Durch die Lücke konnte ich mich als Angreiferin in eine Videokonferenz einschleichen, selbst wenn diese durch einen Warteraum gesichert ist. Ich brauche dafür nur die Raumnummer zu wissen, und die kann man manchmal sogar über die Google-Suche finden.

SPIEGEL: Und so hätten Sie beispielsweise eine Schulstunde stören können?

Wittmann: Ja. Und besonders krass daran ist, dass ich durch die Lücke sogar unsichtbar teilnehmen konnte: Die anderen Teilnehmenden konnten mich nicht sehen, ich konnte aber alles sehen und hören und auch die Dokumente herunterladen, die während einer solchen Konferenz geteilt werden. Nach meinem Hinweis wurde die Lücke inzwischen geschlossen.

SPIEGEL: Hätte der Anbieter diese Lücke selbst bemerken können?

Wittmann: Er hätte sie sogar bemerken müssen. Ich habe mir das System nur eine Stunde lang angeschaut und diese Lücke gefunden. Wenn so eine massive Sicherheitslücke in einer Software ist, heißt das, dass der Anbieter keinerlei wirksame Sicherheitstests macht. Und dass er vermutlich auch keine große Kompetenz darin hat, sichere Software zu entwickeln.

SPIEGEL: An sich war das System ja als sichere Alternative zu Microsoft Teams gedacht – da die Software des US-Anbieters angeblich nicht DSGVO-konform ist. Ist Bayern damit jetzt vom Regen in die Traufe gekommen?

Wittmann: Sagen wir mal so: Ist es schlimmer, wenn der US-amerikanische Staat möglicherweise unsere Schülerinnen und Schüler abhört oder wenn das jeder tun kann, der auch nur ein kleines bisschen Ahnung von IT-Systemen hat?

SPIEGEL: Beides ist nicht besonders erstrebenswert.

Wittmann: Ich halte es aber für problematisch, wenn antiamerikanischer Populismus dazu führt, dass staatliche Software von einem kleinen proprietären deutschen Anbieter entwickelt wird, der sich bei Open-Source-Lösungen bedient und ein bisschen was drumherum baut, aber eigentlich keine Ahnung hat und Fehler macht. Bei Zoom arbeiten 2500 Leute den ganzen Tag an nichts anderem, als sichere Videokonferenzlösungen zu bauen. Warum sollen das 20 Leute aus einer bayerischen Kleinstadt schaffen?

SPIEGEL: Es ist ja nicht so, dass es bei Zoom keine Sicherheitslücken gegeben hätte. Außerdem werden Daten gesammelt, auf die möglicherweise auch US-Behörden zugreifen können. Was ist falsch an der Forderung, europäische Softwaresysteme zu bauen, die unseren Ideen von Datenschutz und Privatsphäre entsprechen?

Wittmann: Die Idee an sich ist nicht falsch, aber so, wie sie gerade umgesetzt wird, ist es ein Problem. Wir sehen doch, dass es immer wieder mit lückenhaften Systemen endet. Bei den Behörden fehlt Wissen und Kompetenz, um zu beurteilen, was sie ausschreiben, und um zu überprüfen, ob sie auch ein sicheres System geliefert bekommen haben.

SPIEGEL: Seien es die Luca-App, Schnelltestzentren oder nun die Videokonferenzsoftware – seit Beginn der Pandemie weisen Sie immer wieder auf Sicherheitslücken in Software hin, die in Zusammenhang mit der Pandemie entstanden ist. Steckt dahinter ein strukturelles Problem?

Wittmann: Die fehlende Kompetenz bei den Behörden ist ein großes Problem. Persönlich denke ich, dass man beispielsweise so ein Videokonferenzsystem hätte inhouse bauen können und vielleicht auch sollen. Man könnte eine offene Software nehmen, beispielsweise Jitsi, an der viele Tausend Leute mitentwickelt haben und die sicher ist, und sie an die eigenen Bedürfnisse anpassen. Ich fände es besser, wenn staatliche digitale Infrastruktur auch vom Staat geschaffen werden würde. Wir haben ein staatliches Bildungssystem, deshalb sollte auch die digitale Bildungsinfrastruktur staatlich sein.

SPIEGEL: Gleichzeitig wurde gerade in der Pandemie vieles in die Hände von Start-ups gegeben. Woran liegt es aus Ihrer Sicht, dass Behörden das mit der digitalen Infrastruktur offenbar anders sehen als Sie?

Wittmann: Man muss sich die Kultur der Verwaltung anschauen, die sich über Jahre entwickelt hat. Für einen Beamten ist das Risiko am geringsten, wenn er eine externe Consultingfirma beauftragt und die alles macht, angefangen bei der Ausschreibung. Würde der Beamte entscheiden, das intern zu machen, müsste er erst zehn Planstellen beantragen, und es würde lange dauern, bis diese genehmigt wären. Wir haben ein recht starres System, und dann kommt eine Pandemie und auf einmal heißt es: Jetzt müssen wir flexibel sein.

SPIEGEL: Heißt das, dass es in der Eile der Pandemie nicht möglich war, sichere Software zu bauen – einfach weil es schnell gehen musste?

Wittmann: Ich glaube nicht, dass es ein Zeitproblem ist. Sichere Software zu bauen, ist nicht viel aufwendiger, es ist eher eine Frage der Prioritäten. Wer sichere Software bauen will, muss die Sicherheit von Anfang an mit einplanen und bedenken. Dafür braucht es Kompetenz. Aber Sicherheit wird in den IT-Ausbildungen viel zu wenig vermittelt, da geht es mehr darum, was wirtschaftlich erfolgreich ist.

SPIEGEL: Aber trotzdem: Kompetenz für Sicherheit und das Dasein als Start-up schließen sich doch nicht prinzipiell aus?

Wittmann: Vielleicht nicht unbedingt, aber es ist doch auch klar, dass venturefinanzierte Start-ups andere Ziele haben als das Gemeinwohl. Deren Ziel ist, dass der Gewinn exponentiell wächst. Digitale Basisinfrastruktur sollte der Gesellschaft dienen und nicht Start-ups mit Gewinnstreben. Denn das führt zu unsicherer Software. Das sieht man ja auch an den Testzentren: Die haben schnell zusammengezimmerte Lösungen, weil sie primär Geld verdienen wollen – und so kam es zu massiven Sicherheitslücken dort. Und das hat einmal spürbare Folgen, wie beispielsweise Bußgelder der Datenschutzbehörden.

SPIEGEL: Aktuell machen Sie diese ganze Arbeit ehrenamtlich und haben damit Schaden von der Gesellschaft abgewendet – schließlich wurden einige Sicherheitslücken durch Ihre Interventionen entdeckt und geschlossen. Könnten Sie sich vorstellen, als staatliche Pentesterin zu arbeiten und zu verhindern, dass so viel unsichere Software verwendet wird?

Wittmann: Ich komme mit den Strukturen in Behörden nicht klar. Ich zweifle an den hierarchischen Systemen von Behörden, die aus meiner Sicht von innen heraus kaputt sind. Da sitzen Menschen an zentralen Stellen, nicht weil sie kompetent sind, sondern weil sie Mitglied in einer Partei sind oder die richtigen Kontakte haben. Gute Ideen zählen oft nicht, wenn sie nicht zur Parteilinie passen. Ich habe 2020 für einige Monate im Bundesministerium für Bildung und Forschung gearbeitet, im Rahmen des Fellowships »Work for Germany« – aber ich bin nach vier Monaten rausgeflogen, weil ich zu kritisch war.

SPIEGEL: Nun hat Sie das Unternehmen hinter Visavid angefragt, ob Sie dort bezahlt als Pentesterin arbeiten wollen. Wieso haben Sie abgelehnt?

Wittmann: Ich mache das prinzipiell nicht für Unternehmen, deren Code nicht offen ist. Ich halte das für einen grundlegenden Fehler. Wäre das ein Projekt, das open source an einer guten Lösung für eine Videokonferenzsoftware arbeitet, wäre ich mit Stolz dabei. Dazu kommt, dass ich vermute, dass sich bei Visavid noch viele grundlegende Probleme verbergen.

SPIEGEL: Inwiefern?

Wittmann: Die Erfahrung zeigt: Wenn ich nach so kurzer Zeit eine solche massive Lücke finde, liegt da mehr im Argen. Ich werde das allerdings nicht weiter verfolgen, weil ich das ehrenamtlich mache. Zudem ist der Quellcode der Software nicht offen, sodass eine externe Überprüfung natürlich sowieso schwierig ist.

SPIEGEL: Sie hacken schon seit etwa zehn Jahren, gleichzeitig hört man erst seit der Pandemie von Ihnen. Hat das Thema eine neue Dimension erlangt, oder wieso treten Sie erst jetzt öffentlich in Erscheinung?

Wittmann: Tatsächlich habe ich solche Sachen vorher nicht öffentlich und nicht unter meinem richtigen Namen gemacht. Da haben wir eben Lücken in Software gefunden und den Unternehmen Bescheid gegeben. Aber mit der Pandemie ging auf einmal so viel in eine falsche Richtung, dass ich dachte: Vielleicht muss ich doch mal öffentlich dafür einstehen, um eine gesellschaftliche Debatte zu ermöglichen.

SPIEGEL: Was läuft denn generell schief, und welche Debatte wollen Sie führen?

Wittmann: Generell finde ich, geben wir in der Pandemie viel zu bereitwillig die Datensicherheit auf. Das ist unnötig. Ich würde beispielsweise, anstatt über jede einzelne Lücke der Luca-App zu reden, lieber darüber reden, wie wir ein solches System gesellschaftlich gut lösen können. Das heißt, ohne die Luca-App und vergleichbare Ansätze. Ein gutes System beinhaltet nämlich keine zentrale Sammlung persönlicher Daten. Das kann man aufgrund der Architektur nicht richtig lösen, also nicht in einer sicheren Form. Eine gute und funktionierende Lösung wäre ohne persönliche Daten und dezentralisiert, also beispielsweise so, wie es die Corona-Warn-App macht.