Webex-Konferenzpläne der Bundeswehr offen im Netz
Informationen zu tausenden Videokonferenzen der Bundeswehr sollen monatelang offen im Internet gestanden haben. Wie eine Recherche von Zeit Online ergab, konnten Außenstehende einladende Personen, Themen und Zeitpunkte von Webex-Konferenzen einsehen. Einige der Meetings waren als Verschlusssache eingestuft. Zudem konnten Unbefugte Meetingräumen ohne Passwort beitreten.
Entdeckt hatten die Probleme IT-Sicherheitsexpertinnen und -experten des Vereins Netzbegrünung; Zeit Online verifizierte die Angaben durch Stichproben.
Ursache für die Sicherheitsprobleme waren unter anderem einfach zu erratende Internetadressen der Meetings. Demnach konnten Informationen zu Videobesprechungen abgerufen werden, indem Zahlen in den Adressen hoch- oder runtergezählt wurden. “Das bedeutet, dass unter Kenntnis eines halbwegs aktuellen Meetings, das beispielsweise öffentlich dokumentiert wurde oder eines persönlichen Meetingraums, schnell weitere Nummern ausprobiert werden können, die dann Informationen über anstehende oder jüngst vergangene Meetings verraten”, erklärte Netzbegrünung in einem Blog-Eintrag vom Samstag.
Empfohlen wird in der IT-Sicherheit, die Nummern in den URLs zufällig zu vergeben. Im Rahmen der Recherche fand die Zeit-Redaktion durch die fehlerhafte Konfiguration Informationen zu mehr als 6000 Videokonferenzen der Bundeswehr. Offenbar wurden auch vergangene Meetings nicht gelöscht.
Die Titel einiger Meetings gaben deutlichen Aufschluss darüber, womit sich die Militärangehörigen beschäftigten. So habe beispielsweise im April ein Treffen zum Marschflugkörper Taurus stattgefunden, ebenso wie eines zum Lenkflugkörper Meteor. Ende Mai stand das Thema Digitales Gefechtsfeld auf der Agenda.
Meetingräume betretbar
Auch berichten die IT-Experten von einer zweiten Sicherheitslücke, über die es möglich war, in virtuelle Gesprächsräume zu gelangen. Denn auch die Adressen der persönlichen Meetingräume waren leicht erratbar und der Zugang nicht durch Passwörter geschützt. So konnte die Redaktion in ihrem Versuch Meetingräume mit einem Klick betreten. Der private Meetingraum des Chefs der deutschen Luftwaffe, Ingo Gerhartz, sei beispielsweise mit den Zugangsdaten “Test” betretbar gewesen. Zudem waren die Links der Räume bei der Bundeswehr immer nach dem gleichen Schema aufgebaut schreibt die Zeit.
Und nicht nur die Bundeswehr ist von diesem Problem betroffen: Die Redakteure stießen bei ihrer Recherche auch auf Meetingräume von Angehörigen der Bundesregierung und des Bundestages – wie etwa von Bundeskanzler Olaf Scholz, Wirtschaftsminister Robert Habeck und Finanzminister Christian Lindner. Nach Hinweisen an das IT-Sicherheitsteam des Bundes CERT seien einige der persönlichen Besprechungsräume geschlossen worden.
Nachdem die Bundeswehr über die Probleme informiert worden war, hätten die Mitarbeiter versucht, vergangene Meetings zu löschen. Laut Zeit war das aber auch nach Tagen nicht möglich und so habe man die gesamte Webex-Instanz offline genommen. Die Daten sollen bis letzten Freitag einsehbar gewesen sein.
Webex in der Kritik
Die Webkonferenzsoftware Webex stammt von dem US-Unternehmen Cisco Systems. Das Programm ist seit 2019 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Kommunikation in Behörden zugelassen. Die Bundeswehr nutzt die sogenannte On-Premise-Version des Konferenzprogramms. Diese läuft auf Behörden-eigenen Servern in Deutschland. Die IT-Sicherheitsexperten von Netzbegrünung kritisieren, dass es zu kurz greife, einfach nur eine Software auf eigenen Servern zu betreiben. Für einen sicheren und zuverlässigen Betrieb sei es notwendig, die genutzte Software verstanden und überprüft zu haben. Aus Sicht des Vereins lässt sich dies nur mit Open-Source-Programmen bewerkstelligen.
Netzbegrünung kritisiert zudem, dass es Cisco bekannt sein dürfte, dass die On-Premise-Version in Institutionen mit erhöhten Sicherheitsanforderungen zum Einsatz kommt. “Dennoch ist das Produkt offensichtlich so gestaltet, dass die Nutzer:innen entweder sehr leicht und ohne Verständnis der Konsequenzen falsche Einstellungen auswählen können, oder sogar von vornherein gefährliche Einstellungen ausgewählt sind.” Der Verein ist sich sicher, dass das Datenleck hätte verhindert werden können, wenn die Voreinstellungen besser gewählt worden wären.
Leitfaden missachtet
Auf Anfrage von Zeit Online äußerte sich Cisco nur ausweichend. Man sei nur “Lösungslieferant und nicht Betreiber der von der Bundeswehr und anderen Behörden genutzten Webex-Instanzen”. Zu der Nutzung der eigenen Software bei den Behörden wollte sich die Firma nicht äußern und verwies auf die eigenen Best Practices. Dort rät Cisco unter anderem dazu, keine privaten Meetingräume für sicherheitskritische Besprechungen zu nutzen und diese zu schließen, wenn sie aktuell nicht genutzt werden. Auch wird im Leitfaden darauf hingewiesen, dass Besprechungstitel sensible Informationen ungewollt preisgeben können und dort vermieden werden sollten.
Die Bundeswehr führt eigenen Angaben zufolge mehr als 1000 Gespräche pro Tag über Webex. Die Frage, ob Unbefugte über die Lücken an Informationen gelangt sind, konnte die Bundeswehr gegenüber der Zeit-Redaktion nicht eindeutig beantworten. Auch erklärte sie, dass es “nach den derzeit hier vorliegenden Erkenntnissen” keinen inhaltlichen Zusammenhang mit dem sogenannten Taurus-Leak gebe. Anfang März hatte Russland den Mitschnitt eines Webex-Gesprächs der Luftwaffe veröffentlicht. An der Konferenz hatten vier hohe Offiziere teilgenommen, darunter Luftwaffen-Chef Ingo Gerhartz. (hcz)