WebEx: Hunderttausende Meetings potenziell öffentlich zugänglich
Die Debatte über Sicherheitslücken von WebEx-Instanzen geht weiter. "Die Zeit" fand hunderttausende Meetings, die potenziell öffentlich zugänglich waren.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
- Falk Steiner
Hunderttausende WebEx-Meetings von Behörden und Unternehmen in Deutschland, den Niederlanden, Italien, Österreich, Frankreich, Schweiz, Irland und Dänemark sollen potenziell öffentlich zugänglich gewesen sein. Das berichtet die Wochenzeitung "Die Zeit". Unmengen an Meeting-Termineinträgen scheinen auffindbar gewesen zu sein, die Teilnahme an Meetings auch ohne Passwort möglich. In zwei dieser Videokonferenzen, eines davon ein Daily des Bundesamts für Migration und Flüchtlinge (BAMF) und eines bei der Barmer-Krankenkasse, wählte sich die Autorin der Zeit ein und informierte den Anbieter Cisco Systems. Erst Ende Mai schloss der WebEx-Betreiber die Sicherheitslücke.
Das Bundesinnenministerium, dem auch das zuständige wie Bundesamt für Sicherheit in der Informationstechnik und weitere betroffene Behörden unterstehen, spricht in einer Stellungnahme weiterhin von einer "angeblichen Sicherheitslücke" und weist darauf hin, dass "Schwachstellen in Software-Produkten allein noch keine Grundlage für eine grundsätzliche Aussage über das IT-Sicherheitsniveau eines Produktes" böten. Einzelfall und Rahmenbedingungen seien maßgeblich.
Keine Ausnutzung jenseits der "Zeit"-Recherche bekannt
Wegen der kurzen Speicherdauer von Logdaten sei zudem nicht voll nachvollziehbar, ob die Lücke ausgenutzt worden sei – soweit diese zurückreichten, sei das allerdings nicht der Fall gewesen. "Die Firma Cisco Solutions GmbH hat die nach ihren vorliegenden Erkenntnissen betroffenen Kunden informiert und das BMI über den grundsätzlichen Sachverhalt informiert", sagte eine Sprecherin gegenüber heise online. Ob die BSI-Empfehlung für WebEx nun geändert werden muss, würde derzeit geprüft.
Anfang März hatte eine von russischer Seite geleakte WebEx-Konferenz hochrangiger Bundeswehr-Offiziere für Aufsehen gesorgt. In ihrer unzureichend gesicherten Besprechung über das Videokonferenz-System hatten diese über mögliche Einsatzszenarien des deutschen Marschflugkörpers Taurus KEPD-350 diskutiert. Anfang Mai stellte sich mit einem "Zeit"-Bericht heraus, dass WebEx-Meetings durch einfaches Hochzählen der Meeting-ID auf der jeweiligen Instanz zu erraten waren. Allerdings soll zwischen beiden Sachverhalten kein unmittelbarer Zusammenhang bestanden haben, hatte das Bundesverteidigungsministerium nach einer ersten Prüfung mitgeteilt.
Grüne fordern "Generalrevision"
"Neben mehreren Bundesministerien und -behörden, dem Bundestag, Fraktionen und Staatskanzleien sind offenbar auch mehrere große Unternehmen und das BSI selbst betroffen", erklärten die Grünen-Bundestagsabgeordneten Misbah Khan und Konstantin von Notz, sie fordern deshalb eine "Generalrevision unserer Telekommunikationsinfrastrukturen hinsichtlich ihrer Integrität". Dass diese nicht bereits spätestens Anfang Mai geschah, sei nicht erklärbar. Zuständig dafür wäre das SPD-geführte Bundesministerium des Innern.
Anbieter Cisco argumentierte im Fall der Bundeswehr noch mit einer Konfigurationsfrage der On-Premises-Installation, Cloud-gehostete Meetings seien nicht betroffen. Genau das zieht die "Zeit" in ihrem Bericht nun in Zweifel. Zu ihrem Bericht nahm Cisco bislang noch nicht Stellung.
(anw)
