Mögliche Datenschutzverletzung auf dem Videokonferenz-Server

UPDATE: Zu diesen Beitrag gibt es ein Update. Bitte dort weiterlesen

TLDR; Leider können wir aktuell nicht ausschließen, dass von Videokonferenzen auf dem Big Blue Button Server unter bbb.un-hack-bar.de ohne Wissen oder Einwilligung der Teilnehmer Aufzeichnungen angefertigt wurden.

Wir, der Verein UN-Hack-Bar e.V., bieten auf unseren Webseiten den Zugang zu einem Big Blue Button – Videokonferenzserver (kurz: BBB) an, der uns von einem unserer ehemaligen Mitglieder zur Verfügung gestellt und verwaltet wird. BBB wurde für uns selbst ebenfalls für vereinsinterne Besprechungen genutzt.

Während einer mehr oder weniger vereinsinternen Diskussion kam zum Ausdruck, dass ein Mittschnitt von einem vereinsinternen Meeting exisitert. Bislang ist noch unklar, wie dieser Abschnitt zustande gekommen ist. Dieser könnte z.B. von einem Teilnehmer des Meetings ohne Wissen der anderen Teilnehmer angefertigt, oder direkt aus dem BBB entnommen worden sein. Weitere Möglichkeiten sind zwar theoretisch möglich (z.B. Malwarebefall bei Teilnehmern), aber unwahrscheinlicher.

Eine der Standardkonfigurationen des BBB erlaubt eine Extraktion der Rohdaten von Konferenzen von bis zu 14 Tagen (siehe unten “Technischer Hintergrund”). Ob diese Standard-Einstellung verändert wurde, ist derzeit noch in der Klärung. 

Bis zur abschließenden Aufklärung des Vorfalls haben wir uns entschieden die Links zum BBB zu entfernen und diesen Service nicht länger anzubieten.  

Der Verein ist über diese Entwicklung entsetzt. Wir sehen uns der Hackerethik defintiv und uneingeschränkt verpflichtet. In dem aktuellen Fall sind dies insbesondere die Punkte:

  • Öffentliche Daten nützen, private Daten schützen
  • Mülle nicht in den Daten anderer Leute

Wir müssen leider feststellen, dass, falls sich die o.g. Tatbestände erhärten, nicht alle an diese Ethik gebunden fühlen und wir dieses Verhalten auf schärfste missbilligen. 

Gibt es weitere Informationen zu dem Thema werden wir sie in unserem Blog veröffentlichen. Fragen können direkt an den Vorstand gestellt werden.

Technischer Hintergrund

Lokale Aufzeichnung

Eine lokale Aufzeichnung kann von jedem Teilnehmer einer BBB-Besprechung ohne Wissen der andere Teilnehmer angelegt werden. Dazu eignet sich verschiedene Software (z.B. OBS für Video und Ton oder Audacity für nur Ton). So eine Aufzeichnung kann dann beliebig weitergegeben werden.

Big Blue Button

Mitschnitte auf dem BBB-Server sind ebenfalls ohne Wissen der Teilnehmer möglich. Dazu werden Rohdaten, die BBB zur Laufzeit der Besprechung anlegt, nachträglich zu einem Mitschnitt umgewandelt. 

Siehe https://bbb-hilfe.de/docs/aufnahme-funktion-in-bigbluebutton-technische-datenschutzinformation/

“Wichtig ist hier zu verstehen, dass die Rohdaten auch dann anfallen (also die Konferenz erst einmal vollständig aufgenommen wird), wenn der Moderator den Aufnahmeknopf nie betätigt. Wenn man dies nicht will, kann man die Aufnahmefunktion von BigBlueButton generell deaktivieren. Dann fertigt BigBlueButton auch keine Rohdaten an.”