Recherche: Schwere Sicherheitsmängel bei Software „Webex“
Journalisten decken eklatante Schwachstellen bei Programm für Online-Konferenzen auf / Nutzung durch Bundeswehr und Bundesbehörden im Fokus / Bundesamt für Sicherheit in der Informationstechnik streitet Verantwortung ab
(Diese Meldung ist eine Übernahme von multipolar)
Laut Recherchen des Vereins „Netzbegrünung“ und der Wochenzeitung „Die Zeit“ besitzt die unter anderem von der deutschen Bundesregierung genutzte Videotelefonie-Software „Webex“ eklatante Sicherheitslücken. „Tausende Webex-Videokonferenzen deutscher Behörden standen offen im Netz“, kritisiert die Zeit. Die Journalisten konnten sich eigenen Angaben zufolge ohne Passwort und unbemerkt in mehrere Konferenzen einwählen und diese mithören. Selbst Termine von Bundesministern waren öffentlich einsehbar, heißt es in dem Bericht. „Zumindest potenziell“ hätten „Außenstehende bei solchen Besprechungen auch mithören“ können. Als Beispiel genannt wird ein internes Gespräch von Wirtschaftsminister Robert Habeck (Grüne) mit Finanzminister Christian Lindner (FDP).
Die Berichte von „Netzbegrünung“ und „Zeit“ zeigen, dass durch einfaches Hoch- und Herunterzählen von Meetingnummern hunderttausende Metadaten jeweils zeitlich angrenzender Konferenzen wie Titel, Gastgeber, Startzeit, Regelmäßigkeit von Meetings und Profilbilder öffentlich einsehbar waren. Zudem werden laut der Wochenzeitschrift die Webadressen persönlicher Meetingräume durch die jeweiligen Vor- und Nachnamen zusammengesetzt und könnten auf diese Weise leicht erraten werden.
Die Recherchen werfen unter anderem die Frage auf, ob das Abhören der Telefonkonferenz ranghoher Bundeswehroffiziere im Februar zum Einsatz von Taurus-Marschflugkörpern in der Ukraine auf eklatante Defizite des IT-Sicherheitskonzeptes des Bundesamts für Sicherheit in der Informationstechnik (BSI) zurückzuführen ist. Offiziell heißt es, die Konferenz-Teilnahme per Mobiltelefon von Generalleutnant Ingo Gerhartz, Chef der deutschen Luftwaffe, sowie Brigadegeneral Frank Gräfe über nicht verschlüsselte Verbindungen hätte den Datenabfluss verursacht. Dafür wurden sie Anfang Juni in einem Disziplinarverfahren mit jeweils vierstelligen Geldbußen bestraft.
Der „Zeit“ ist es nach eigenen Angaben gelungen, einige nicht mit einem Passwort geschützte Meetingräume zu betreten – unter anderem den von Generalleutnant Gerhartz. Laut der Wochenzeitung liege der Verdacht nahe, dass das sensible Gespräch ranghoher Bundeswehroffiziere zum Einsatz der Taurus-Marschflugkörper in einem ungeschützten und leicht auffindbaren Meeting stattgefunden hat sowie im Prinzip von jedem Internetnutzer hätte mitgeschnitten werden können. Auf „Zeit“-Anfrage teilte das BSI mit, dass Schwachstellen in Softwareprodukten „allein noch keine Grundlage für eine grundsätzliche Aussage über das IT-Sicherheitsniveau eines Produktes“ bieten.
Der Verein „Netzbegrünung“ bewertet den Einsatz von Webex aus verschiedenen Gründen „sehr kritisch“. Zum einen sei das „Produkt offensichtlich so gestaltet, dass die Nutzer:innen entweder sehr leicht und ohne Verständnis der Konsequenzen falsche Einstellungen auswählen können, oder sogar von vornherein gefährliche Einstellungen ausgewählt sind“, heißt es. Zum anderen sei der Quellcode nicht einsehbar und damit nicht überprüfbar, ob die Sicherheitsanforderungen eingehalten werden. Hingegen würden verfügbare „OpenSource-Programmierungen“ es Behörden ermöglichen, „ein hohes IT-Sicherheitsniveu zu erreichen“.
Dem Magazin „Heise Online“ liegt ein aktuelles Schreiben vor, in dem der Vizepräsident des BSI erklärt, dass seine Behörde die Nutzung von Webex „nie ausdrücklich empfohlen“ habe. Das Bundesamt rät den Behörden nun geplante Konferenzen neu anzulegen, da Meetings sonst „weiterhin erraten und wenn kein Passwortschutz gesetzt ist, wohl auch betreten werden“ könnten, heißt es im Heise-Bericht. (11. Juni) Oppositionspolitikerin Anke Domscheit-Berg (Linke) macht Bundesinnenministerin Nancy Faeser (SPD) für die Nutzung der unsicheren Konferenzsoftware und für die daraus entstandenen Schäden verantwortlich. Faeser warne zwar vor hybriden Bedrohungen, sagte Domscheit-Berg, doch habe das „Taurusleak“ vor rund drei Monaten zu keinen Konsequenzen geführt.