Sicherheitslücken bei WebEx-Konferenzen haben Behörden und Unternehmen in Bedrängnis gebracht. Wie konnte das passieren und was bedeutet das für die IT-Sicherheit?

Sicherheitslücken bei WebEx: Was war passiert?

Laut einem Bericht der Wochenzeitung „Die Zeit“ waren hunderttausende WebEx-Meetings von Behörden und Unternehmen in mehreren europäischen Ländern potenziell öffentlich zugänglich. Betroffen waren unter anderem Deutschland, die Niederlande, Italien, Österreich, Frankreich, die Schweiz, Irland und Dänemark. Die Teilnahme an diesen Meetings war auch ohne Passwort möglich, was ernsthafte Sicherheitsbedenken aufwarf.

Besonders brisant: In zwei Videokonferenzen – eine davon ein Daily des Bundesamts für Migration und Flüchtlinge (BAMF) und eine bei der Barmer-Krankenkasse – gelang es der Autorin der „Zeit“, sich einzuwählen. Cisco Systems, der Betreiber von WebEx, schloss die Sicherheitslücke erst Ende Mai.

Bundesinnenministerium wiegelt ab

Das Bundesinnenministerium, dem auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) untersteht, bezeichnete die Lücke als „angeblich“ und betonte, dass Schwachstellen in Software-Produkten allein keine grundsätzliche Aussage über das IT-Sicherheitsniveau eines Produktes zulassen. Maßgeblich seien Einzelfall und Rahmenbedingungen.

Keine bekannten Ausnutzungen

Bislang gibt es keine Hinweise darauf, dass die Lücke jenseits der „Zeit“-Recherche ausgenutzt wurde. Wegen der kurzen Speicherdauer von Logdaten lässt sich das jedoch nicht abschließend klären. Cisco hat betroffene Kunden informiert und das BMI über den Sachverhalt unterrichtet. Ob die BSI-Empfehlung für WebEx nun geändert werden muss, wird derzeit geprüft.

Der Bundeswehr-Vorfall

Im März sorgte eine von russischer Seite geleakte WebEx-Konferenz hochrangiger Bundeswehr-Offiziere für Aufsehen. In dieser unzureichend gesicherten Besprechung wurden mögliche Einsatzszenarien des deutschen Marschflugkörpers Taurus KEPD-350 diskutiert. Ein Zusammenhang zwischen dieser Lücke und der kürzlich entdeckten wurde vom Bundesverteidigungsministerium jedoch verneint.

Grüne fordern „Generalrevision“

Die Grünen-Bundestagsabgeordneten Misbah Khan und Konstantin von Notz fordern eine „Generalrevision unserer Telekommunikationsinfrastrukturen hinsichtlich ihrer Integrität“. Sie kritisieren, dass diese Maßnahmen nicht spätestens Anfang Mai ergriffen wurden. Zuständig wäre das SPD-geführte Bundesministerium des Innern.

Cisco: Eine Frage der Konfiguration?

Cisco argumentierte im Fall der Bundeswehr, dass es sich um eine Konfigurationsfrage der On-Premises-Installation gehandelt habe. Cloud-gehostete Meetings seien nicht betroffen. Die „Zeit“ zweifelt dies in ihrem Bericht jedoch an. Eine Stellungnahme von Cisco zu diesen neuen Enthüllungen steht noch aus.

Fazit: Ein Weckruf für die IT-Sicherheit

Die Enthüllungen rund um die WebEx-Sicherheitslücken zeigen, wie wichtig es ist, IT-Infrastrukturen regelmäßig zu überprüfen und zu sichern. Gerade in einer Zeit, in der Videokonferenzen zum Alltag gehören, müssen Sicherheitsstandards hochgehalten werden. Behörden und Unternehmen sollten diese Vorfälle als Weckruf sehen und ihre IT-Sicherheitsstrategien überdenken. Schließlich wollen wir doch alle in unseren Meetings nicht nur inhaltlich, sondern auch technisch auf der sicheren Seite sein.

Wer hätte gedacht, dass ein simpler Zahlendreher in der Meeting-ID zu einem so großen Problem werden könnte? Vielleicht sollten wir beim nächsten Meeting einfach wieder persönlich zusammenkommen – natürlich mit genügend Abstand!