Offene Tür für neugierige Blicke: Tausende Links zu Videomeetings der Bundeswehr standen monatelang im Netz.

Wer wissen wollte, was die Bundeswehr intern bespricht, musste nicht lange suchen: Mehrere Tausend Links zu Videomeetings mit vertraulichen Informationen waren frei im Internet zugänglich. Sogar vergangene Meetings blieben offenbar ungelöscht. Die Bundeswehr reagierte erst, nachdem ZEIT ONLINE auf diese Sicherheitslücke aufmerksam gemacht hatte, und trennte ihr Videokonferenzsystem vom Internet. Es ist unklar, ob vertrauliche Informationen in falsche Hände gelangt sind.

Die Schwachstelle wurde von IT-Sicherheitsexperten des Vereins Netzbegrünung entdeckt und von ZEIT ONLINE verifiziert.

Titel, Zeiten und Einladende wichtiger Meetings einsehbar

Die Sicherheitslücke betraf die Webex-Instanz der Bundeswehr, die eigentlich als besonders sicher gilt und auch für Gespräche mit Geheimhaltungsstufen genutzt wird. Durch einfaches Hoch- oder Herunterzählen ließen sich die Links zu den Videomeetings erraten, ohne dass ein Passwort erforderlich war. So konnte man die Titel, den Zeitpunkt und die einladende Person wichtiger Meetings einsehen. Beispielsweise wurde ein Meeting zum Thema „Review Meilensteinplan Taurus und Finalisierung“ am 25. April morgens abgehalten und ein weiteres zum Thema „Digitales Gefechtsfeld“ für Ende Mai geplant.

Persönliche Meetingräume von Offizieren leicht zugänglich

Auch persönliche Meetingräume waren leicht erratbar und nicht durch Passwörter geschützt. Diese Räume sind permanente Videokonferenzen, die jederzeit abrufbar sind. Man konnte sie betreten, ohne ein Passwort eingeben zu müssen. Zudem waren die zugehörigen URLs besonders einfach zu kombinieren. So wurde beispielsweise der persönliche Meetingraum von Ingo Gerhartz, dem Chef der deutschen Luftwaffe, gefunden.

Gerhartz war ein Teilnehmer des Taurus-Gesprächs, das von russischen Medien geleakt wurde. In einer Telegram-Gruppe wurde eine Audioaufnahme einer Webex-Konferenz von ranghohen Bundeswehroffizieren veröffentlicht, in der über den Einsatz von Taurus-Raketen diskutiert wurde.

Haben Webex-Sicherheitslücken zur Taurus-Affäre geführt?

Es stellt sich die Frage, ob Sicherheitslücken in Webex zum Abhörskandal geführt haben könnten. Bislang hatte das Verteidigungsministerium eine nicht geschützte Telefonverbindung eines Bundeswehrgenerals in Singapur als Ursache angegeben. Ob Spione sich unbemerkt in Webex-Meetings eingeschlichen haben könnten, indem sie sie im Netz gefunden und das Passwort erraten haben, bleibt ungeklärt.

Unsicherheit mit System?

Die Sicherheitslücken wurden von der Bundeswehr nach der Entdeckung unverzüglich geschlossen. Doch der Vorfall wirft ein Schlaglicht auf die Sicherheit von Webex. Es scheint schwierig zu sein, Webex sicher zu machen. Selbst einfache Sicherheitsvorkehrungen wie der Schutz persönlicher Meetingräume durch Passwörter fehlten.

In IT-Sicherheitskreisen wird darauf hingewiesen, dass Sicherheit bereits bei der Entwicklung von Software berücksichtigt werden muss. Auch die Verwendung von offenen Softwarelösungen, deren Code öffentlich einsehbar ist, wird empfohlen. Die Bundeswehr betreibt zwar eine eigene Webex-Instanz, aber die Sicherheitslücken zeigen, dass dies allein nicht ausreicht.

Auch Bundesregierung betroffen

Nicht nur die Bundeswehr, sondern auch der Bundestag und die Bundesregierung nutzen Webex. Im Zuge der aktuellen Recherche wurden auch die persönlichen Meetingräume von Kanzler Olaf Scholz, Wirtschaftsminister Robert Habeck und Finanzminister Christian Lindner gefunden und besucht.

Cisco, der Anbieter von Webex, wollte sich auf Anfrage nicht zu den Sicherheitslücken äußern. Es bleibt abzuwarten, wie die Bundeswehr und andere Behörden künftig ihre Videokonferenzsysteme besser absichern werden.