Ein Blick hinter die digitalen Kulissen: Unsere Autorin hat es geschafft, sich unbemerkt in Webex-Meetings der SPD einzuschleichen.

Ein unerkannter Zuhörer in einem SPD-Meeting? Klingt nach einem Plot für einen Agententhriller, ist aber leider Realität. Unsere Autorin konnte sich mithilfe einer Sicherheitslücke in der Konferenzsoftware Webex unbemerkt in Gespräche der SPD einschleichen.

In einem „Update Kabinettfrühstück“ der Bundesgeschäftsführung der SPD belauschte sie unbemerkt hochrangige Gespräche. Selbst als sie sich nach einigen Minuten zu erkennen gab, waren die Teilnehmer überrascht. Die Partei schaltete das betroffene System sofort ab, doch die Sicherheitslücke bleibt bestehen.

Die Sicherheitslücke betrifft nicht nur die SPD, sondern auch andere Institutionen, wie kürzliche Recherchen zeigen. Bereits im Mai entdeckten wir eine ähnliche Schwachstelle in der Webex-Lösung der Bundeswehr. Tausende Links zu Webex-Meetings standen offen im Netz, darunter auch vertrauliche Informationen.

Diese Schwachstelle ermöglicht es, unbemerkt an Meetings teilzunehmen und sensible Informationen abzufangen. Das wirft die Frage auf: Wie können wir sicherstellen, dass echte Spione nicht an vertrauliche Informationen gelangen?

Die aktuelle Sicherheitslücke ist nicht neu. Bereits 2020 gab es ähnliche Probleme mit Webex, die bis heute nicht behoben wurden. Obwohl der Hersteller Cisco behauptet, die Lücke geschlossen zu haben, ist es immer noch möglich, unbemerkt zuzuhören.

Die SPD nutzt Webex für eine Vielzahl von Meetings, doch nur jedes zehnte ist passwortgeschützt. Das bedeutet, dass ahnungslose Teilnehmer leicht in eine Falle tappen können. Wichtige und vertrauliche Gespräche werden laut SPD in passwortgeschützten Meetings geführt, doch in der Realität sieht es anders aus.

Die Recherche zeigt, dass auch andere Behörden von dieser Sicherheitslücke betroffen sind. Die Bundesregierung nutzt ebenfalls Webex, und persönliche Meetingräume von Politikern waren im Netz offen zugänglich. Obwohl diese Räume angeblich kein Sicherheitsrisiko darstellen, zeigen sie eine Meeting-ID an, die von Spionen ausgenutzt werden könnte.

Können wir ausschließen, dass sensible Informationen bereits abgeflossen sind? Nein, das können wir nicht mit absoluter Sicherheit sagen. Die Sicherheitslücke bleibt bestehen, und echte Spione würden sich nicht selbst zu erkennen geben.

Es ist an der Zeit, dass der Hersteller Cisco und die betroffenen Institutionen wie die SPD und die Bundeswehr handeln, um diese Sicherheitslücke zu schließen und sensible Informationen zu schützen. Denn sonst könnte der nächste Agententhriller Realität werden.