Zeit-Recherche
Mit internen Informationen: Tausende Links zu Videomeetings der Bundeswehr waren über Monate zugänglich
Die Bundeswehr hatte massive Sicherheitslücken bei ihren Webex-Videomeetings, die es Unbefugten ermöglichten, auf Informationen über interne Besprechungen zuzugreifen, einschließlich vertraulicher Informationen. Die entdeckten Schwachstellen erlaubten es, Meeting-Links zu erraten und persönliche Meetingräume leicht zu betreten.
Massive Sicherheitslücken bei der Bundeswehr: Tausende Links zu internen Videomeetings der deutschen Streitkräfte waren offenbar über Monate hinweg im Internet zugänglich, wie Recherchen von Zeit Online ergaben. Diese Links führten zu Treffen mit internen Informationen, darunter auch vertrauliche Besprechungen. Selbst schon geführte Meetings wurden nicht gelöscht und blieben so über Monate abrufbar. Erst nachdem die Bundeswehr durch Anfragen für einen Artikel auf diese Sicherheitslücke aufmerksam gemacht wurde, trennte sie ihr Videokonferenzsystem vom Internet. Zu der Möglichkeit, dass durch diese Lücke vertrauliche Informationen abgeflossen sind, konnte die Bundeswehr keine Angaben machen.
Die betroffene Plattform war laut Zeit-Recherche dabei die Webex-Instanz der Bundeswehr, die für Gespräche mit Geheimhaltungsstufen genutzt wird. Eines dieser Webex-Gespräche, in dem Bundeswehr-Generale den Einsatz von Taurus-Marschflugkörpern durch die Ukraine erörterten, war vor kurzem abgehört und geleakt worden.
Werbung
Was jetzt klar ist: Durch diese Schwachstelle, die IT-Experten des Vereins „Netzbegrünung“ entdeckten, waren Titel, Zeiten und Einladende wichtiger Meetings öffentlich einsehbar. Manche Meetings waren über 6 Monate alt und konnten dennoch unproblematisch über die Video-Plattform eingesehen werden. Laut eigenen Angaben führt die Bundeswehr mit monatlich über 45.000 Meetings mit Webex durch. Viele dieser Meetings waren nun offenbar frei zugänglich – für jeden. 2019 ließ das Bundesamt für Sicherheit in der Informationstechnik den Einsatz von Webex in Behörden zu.
Mehrere fatale Schwachstellen enttarnt
Die Recherche offenbarte mindestens zwei Schwachstellen in der „On-Premise-Lösung“ von Webex, die die Bundeswehr wohl seit 2019 genutzt hat. Die erste schwere Sicherheitslücke zeigt sich darin, so die Zeit, dass sich Links zu Videomeetings durch einfaches Hoch- oder Herunterzählen erraten werden konnten, was den Zugriff auf Titel, Zeitpunkt und Einladende wichtiger Besprechungen ermöglichte. Ein Beispiel hierfür ist ein Webex-Meeting mit dem Titel „Review Meilensteinplan Taurus und Finalisierung“, das am 25. April stattfand und sich offenbar mit dem Marschflugkörper Taurus befasste. All diese Termine, ob vergangene oder zukünftige Meetings, konnte man ohne großes technisches Know-how einfach so über Webex einsehen, in dem man die URLs der Meetings auf und abzählte. Bei einem sicheren System werden die Meeting-IDs zufällig generiert, bestehen also aus einem Zahlenwirrwarr, bei der Webex-Funktionen folgten die IDs einem einfach zu erratenden System, so die Zeit-Recherche. Ein einfaches System erraten konnte so jedem Angreifer zeigen, wann, wer wie über welches Thema sprach.
Doch da hört es nicht auf: Die zweite gigantische Sicherheitslücke lag darin, dass sogenannte persönliche Meetingräume einfach so zugänglich und nicht durch Passwörter geschützt waren. Diese „Räume“ sind bei Webex dauerhafte Links zu Videokonferenzen, über die mehrere Meetings geführt werden können und denen man beitreten kann, auch wenn keiner online ist. Sozusagen dauerhafte Video-Treffpunkte. So konnte man teilweise, die Zeit beruft sich auf eigene Versuche im Rahmen der Recherche, private Meetingräume mit einem Klick betreten – mit einem Klick war man dann etwa direkt in dem „persönlichen Meetingraum“ von Ingo Gerhartz, dem Chef der deutschen Luftwaffe, dessen Meetingraum die Zeit wohl mit simplem URL-Raten fand.
Taurus-Leak wegen Webex-Lücken?
Diese Lücken werfen nochmals Fragen zur Sicherheit von Webex auf, insbesondere ob ähnliche Sicherheitslücken bereits zu früheren Vorfällen wie dem Taurus-Leak geführt haben könnten. Das Verteidigungsministerium hatte im März eine nicht geschützte Telefonverbindung als Ursache für den Taurus-Leak angegeben, der international für Unverständnis gesorgt hatte. Zu der Recherche äußerte sich die Bundeswehr gegenüber der Zeit und schrieb, dass es „nach den derzeit hier vorliegenden Erkenntnissen“ zum Taurus-Leak „keine inhaltlichen Zusammenhänge“ gebe.
Auf die Frage, ob man ausschließen könne, dass unter Ausnutzung der aktuellen Sicherheitslücken Informationen an Unbefugte gelangten, antwortet die Bundeswehr der Zeit nur ausweichend, dass nur auf Metadaten, aber nicht auf Gesprächsinhalte hätte zugegriffen werden können. „Die Schwachstellen wurden unverzüglich geschlossen“, heißt es weiter. Weil es der Bundeswehr nicht möglich war, vergangene Meetings einfach zu löschen, entschied man sich dann offenbar, die Webex-Instanz komplett vom Internet zu trennen. Überzeugend ist das nicht wirklich.
Ebenso bemerkenswert ist, dass bei der Bundeswehr keine automatischen Sicherheitssysteme ansprangen, während der vielen Zugriffe auf interne Meetings, die Zeit in Zuge der Recherche tätigte. Gerade bei Meetings, die für die Zukunft geplant waren, hätten mögliche Angreifer so viel Zeit und kein Hindernis gehabt, um Meetingpasswörter zu erraten und sogar an Konferenzen teilzunehmen.
Was erwartet man denn auch von unserer Truppe ?
Die müssen z. B. (Video-) Konferenzen abhalten mit Gerät, da sind die meisten Haushaltstelefone schon moderner und abhörsicherer.
Die Truppe ist so radikal zusammen gestrichen worden, da nützen auch unsere besten Soldaten leider nichts und auch die vielen Milliarden €, die eher in der Ukraine versickern statt unsere Truppen mit modernstem und einwandfrei funktionierendem Gerät auszustatten.
Auch gibt man unser Steuergeld lieber für die Weltrettung überall, auch noch im hintersten Winkel der Erde, für die überflüssigsten und dümmsten Ideen und Programme aus.
Cisco-Webex für vertraulich (militärische) Themen und sorgloses Handling an einem Agenten Hotspot während einer (Luftfahrt?)Messe.. ich kann es immer noch nicht fassen 🙈 Was für eine Beleidigung für mich als Veteran.
Als wir im März von diesem Versagen bei der „Hotelkonferenz“ erfuhren, habe ich noch einen Moment geglaubt, dieser Irrsinn wäre möglicherweise beabsichtigt, weil eine solche Ignoranz auf höchster Militärebene für mich einfach unvorstellbar war. Man sollte die Unfähigkeit deutscher Führungseliten wohl nie unterschätzen…
Textbaustein:
Seit den ’90ern ist es erwiesen und anerkannte Tatsache, ein großer Teil der Menschheit wird dümmer und verblödet.
Ergänzung:
Unbestritten, vor allen Dingen in Deutschland.
Das das vom Verein „Netzbegrünung“ kommt erstaunt ein wenig. Die Gründenkenden haben es ja sonst eher nicht so mit produktiver Arbeit.
Was von der Kryptokompetenz deutscher Zuständiger zu halten ist, und wer da mit welchen Kenntnissen zuständig ist, kann man bei Danisch regelmäßig lesen.
Ist es nicht die*innen Vorzeige*innen Regenbogen*innen Offizier*innen Annastasia Bifang („Ich laß mich gerne im Darkroom …“), welche*innen für die Cybersicherheit zuständig ist?