Tausende Meeting-Zugänge im Netz: Bundeswehr sperrt Webex für externe Kommunikation
Die Bundeswehr sperrt Webex für die externe Kommunikation, berichtet Heise Online. Zeit Online hatte am Wochenende eine Schwachstelle in der Videokonferenz-Lösung publik gemacht. Meeting-Räumen – mit teils vertraulichen Themen – waren offen über das Internet zugänglich.
Webex ist grundsätzlich in zwei Varianten verfügbar: Der Cloud-Version sowie eine On-Premise-Version, bei der die Webex-Instanzen auf den Servern der Kunden laufen. Wichtig ist das etwa beim Umgang mit sensiblen Daten oder wenn es – wie im Fall der Bundeswehr – um die nationale Sicherheit geht. Über das Videokonferenz-System hält die Bundeswehr 45.000 Meetings pro Monat ab.
Schwachstellen im System
Entdeckt wurde die Schwachstelle von IT-Experten des Vereins Netzbegrünung, Zeit Online hatte die Schwachstelle bestätigt. Demnach handelt es sich im Kern um zwei Probleme: Alte Meetings wurden nicht gelöscht und neue Meeting-Räume wurden mit einer systematischen Nummerierung erstellt, diese ließen sich also durch das Hoch- und Herunterzählen der Meeting-Codes erraten. Angreifer hätten so von einem Meeting zum nächsten Springen können. Einsehen ließe sich der Titel, der Zeitpunkt sowie die einladende Person.
Zeit Online identifizierte in der Recherche mehr als 6.000 Meetings, das älteste stammte vom 23. November 2023. Online waren jedoch noch deutlich mehr. Betroffen waren auch Meetings mit vertraulichen Themen, die als Verschlusssache eingestuft waren.
Neben den Video-Konferenzräumen waren auch die persönlichen Meeting-Räume aller Bundeswehr-Nutzer – das sind rund 248.000 Personen – offen zugänglich. Zeit Online gelang es auch, sich in den Meeting-Raum von Ingo Gerhartz, Chef der deutschen Luftwaffe, einzuwählen. Er stand im Mittelpunkt, als die Chefredakteurin des russischen Staatssenders RT im März die Audioaufnahmen von einer Webex-Konferenz veröffentlichte, in der Bundeswehroffiziere über den Taurus-Marschflugkörper diskutierten. Die aktuelle Schwachstelle soll jedoch nicht für den damaligen Leak verantwortlich sein.
Bundeswehr prüft weiter
Die Bundeswehr hatte zunächst auf Anfrage von Zeit Online erklärt, man könne Datenabflüsse nicht ausschließen. Das System wurde daher zunächst vom Internet getrennt. Mittlerweile gibt man sich zuversichtlicher. Durch die Schwachstelle sei keine unbemerkte oder unbefugte Teilnahme an Videokonferenzen möglich gewesen, sagte ein Sprecher des Kommandos Cyber- und Informationsraum (CIR) auf Anfrage von Heise Online. Zugang hätten Externe nur zu Warteräumen gehabt. Um an Konferenzen teilzunehmen, hätten diese jedoch aktiv von den Besitzern der jeweiligen Instanz eingelassen werden müssen.
Nichtsdestotrotz sei es ein Versäumnis gewesen, dass die Standardeinstellungen von Webex nicht ausreichend überprüft worden sind. Selbst bei als sicher geltenden Lösungen könne nicht ausgeschlossen werden, dass die Konfiguration angepasst werden muss.
Bis die Analysen abgeschlossen sind, bleibt Webex aber für die externe Kommunikation gesperrt. Danach wird über das weitere Vorgehen sowie zusätzliche Schutzmechanismen entschieden, so der CIR-Sprecher auf Anfrage von Heise Online. Für die interne Kommunikation sei das System wie gehabt nutzbar.