WebEx: BSI empfiehlt Ciscos Konferenzprodukt nicht

In einem Schreiben an die Vorsitzende des Digitalausschusses des Bundestages Tabea Rößner (Grüne) legt BSI-Vizepräsident Gerhard Schabhüser dar, dass das BSI keine Empfehlung für WebEx ausgesprochen habe. Zwar gebe es sogenannte C5-Testate, erläutert Schabhüser in dem Schreiben. Doch dieses Verfahren würde ohne Mitwirkung der Bonner IT-Sicherheitsbehörde stattfinden: "Die Erfüllung der Kriterien kann beispielsweise durch Wirtschaftsprüfer testiert und somit gegenüber Kunden nachgewiesen werden. Diese Prüfer werden in diesem Fall direkt vom Cloud-Anbieter beauftragt", heißt es in dem Schreiben, das heise online vorliegt. Cisco hatte ab 2019 damit geworben, dass WebEx die Kriterien des "Cloud Computing Compliance Controls Catalogue" (C5) erfülle. Eine Begutachtung durch das BSI selbst sei in diesem Prozess auch nicht vorgesehen.

Keine Empfehlung des BSI für WebEx

Es gebe zudem auch keine Empfehlung des BSI zum Einsatz von WebEx, stellt Schabhüser klar. Für die Besprechung eingestufter Inhalte, also ab der behördlichen Einstufung "nur für den Dienstgebrauch", sei WebEx nur dann geeignet, wenn es in einer gemäß Verschlusssachenanordnung vollständig gesicherten Umgebung genutzt werde. Das Bundesministerium des Innern hatte vergangene Woche in einer ersten Reaktion auf die neuen Berichte davon gesprochen, dass das BSI derzeit seine Empfehlungen prüfe.

Die Bonner IT-Sicherheitsbehörde des Bundes habe alle ihr bekannten Betroffenen unverzüglich informiert und stehe mit dem WebEx-Anbieter Cisco in Austausch, heißt es in dem heutigen Schreiben. "Die bekanntgewordenen IT-Sicherheitslücken wurden nach Bekanntwerden durch Cisco geschlossen", schreibt Vizepräsident Schabhüser an den Digitalausschuss. "Sofern erforderlich behält das BSI sich vor, die ihm zur Verfügung stehenden rechtlichen Mitteln auszuschöpfen, um alle notwendigen Auskünfte zu einem IT-Produkt von dessen Hersteller zu verlangen."

BSI veröffentlicht Sicherheitswarnung

Am gestrigen Montag veröffentlichte das BSI mehrere Tage nach der Veröffentlichung der Sicherheitsprobleme durch Zeit Online erstmals eine eigene Sicherheitswarnung. Darin heißt es: "Die Sicherheitslücke hat, wenn man sich an die Empfehlungen des BSI gehalten hat, 'nur' zum Abfluss von Metadaten geführt." Außerdem sollten vor dem 28. Mai in WebEx angelegte Meetings, die noch anstehen, gelöscht und neu angelegt werden. "Dazu zählen insbesondere bereits vor dem 28.05.2024 angelegte Regeltermine." Meetings könnten sonst weiterhin erraten und wenn kein Passwortschutz gesetzt ist, wohl auch betreten werden.

Das BSI, das von der Sicherheitslücke selbst betroffen war, gibt in der Sicherheitswarnung zudem an, dass das BSI den Vorfall dem für Bundesbehörden zuständigen Bundesdatenschutzbeauftragten gemeldet habe. Dies dürfte auch als Hinweis an alle anderen Betroffenen zu werten sein: Die WebEx-Lücke sollte von Betroffenen der jeweils zuständigen Aufsichtsbehörde angezeigt werden. Cisco selbst hatte gegenüber iX eingeräumt, dass von dem Fehler sowohl On-Premises als auch Cloud-Nutzer betroffen waren und Nutzer vor Konfigurationsfehlern gewarnt.

(mho)