Zeit-Recherche
Mit internen Informationen: Tausende Links zu Videomeetings der Bundeswehr waren über Monate zugänglich
Die Bundeswehr hatte massive Sicherheitslücken bei ihren Webex-Videomeetings, die es Unbefugten ermöglichten, auf Informationen über interne Besprechungen zuzugreifen, einschließlich vertraulicher Informationen. Die entdeckten Schwachstellen erlaubten es, Meeting-Links zu erraten und persönliche Meetingräume leicht zu betreten.
Massive Sicherheitslücken bei der Bundeswehr: Tausende Links zu internen Videomeetings der deutschen Streitkräfte waren offenbar über Monate hinweg im Internet zugänglich, wie Recherchen von Zeit Online ergaben. Diese Links führten zu Treffen mit internen Informationen, darunter auch vertrauliche Besprechungen. Selbst schon geführte Meetings wurden nicht gelöscht und blieben so über Monate abrufbar. Erst nachdem die Bundeswehr durch Anfragen für einen Artikel auf diese Sicherheitslücke aufmerksam gemacht wurde, trennte sie ihr Videokonferenzsystem vom Internet. Zu der Möglichkeit, dass durch diese Lücke vertrauliche Informationen abgeflossen sind, konnte die Bundeswehr keine Angaben machen.
Die betroffene Plattform war laut Zeit-Recherche dabei die Webex-Instanz der Bundeswehr, die für Gespräche mit Geheimhaltungsstufen genutzt wird. Eines dieser Webex-Gespräche, in dem Bundeswehr-Generale den Einsatz von Taurus-Marschflugkörpern durch die Ukraine erörterten, war vor kurzem abgehört und geleakt worden.
Was jetzt klar ist: Durch diese Schwachstelle, die IT-Experten des Vereins „Netzbegrünung“ entdeckten, waren Titel, Zeiten und Einladende wichtiger Meetings öffentlich einsehbar. Manche Meetings waren über 6 Monate alt und konnten dennoch unproblematisch über die Video-Plattform eingesehen werden. Laut eigenen Angaben führt die Bundeswehr mit monatlich über 45.000 Meetings mit Webex durch. Viele dieser Meetings waren nun offenbar frei zugänglich – für jeden. 2019 ließ das Bundesamt für Sicherheit in der Informationstechnik den Einsatz von Webex in Behörden zu.
Mehrere fatale Schwachstellen enttarnt
Die Recherche offenbarte mindestens zwei Schwachstellen in der „On-Premise-Lösung“ von Webex, die die Bundeswehr wohl seit 2019 genutzt hat. Die erste schwere Sicherheitslücke zeigt sich darin, so die Zeit, dass sich Links zu Videomeetings durch einfaches Hoch- oder Herunterzählen erraten werden konnten, was den Zugriff auf Titel, Zeitpunkt und Einladende wichtiger Besprechungen ermöglichte. Ein Beispiel hierfür ist ein Webex-Meeting mit dem Titel „Review Meilensteinplan Taurus und Finalisierung“, das am 25. April stattfand und sich offenbar mit dem Marschflugkörper Taurus befasste. All diese Termine, ob vergangene oder zukünftige Meetings, konnte man ohne großes technisches Know-how einfach so über Webex einsehen, in dem man die URLs der Meetings auf und abzählte. Bei einem sicheren System werden die Meeting-IDs zufällig generiert, bestehen also aus einem Zahlenwirrwarr, bei der Webex-Funktionen folgten die IDs einem einfach zu erratenden System, so die Zeit-Recherche. Ein einfaches System erraten konnte so jedem Angreifer zeigen, wann, wer wie über welches Thema sprach.
Doch da hört es nicht auf: Die zweite gigantische Sicherheitslücke lag darin, dass sogenannte persönliche Meetingräume einfach so zugänglich und nicht durch Passwörter geschützt waren. Diese „Räume“ sind bei Webex dauerhafte Links zu Videokonferenzen, über die mehrere Meetings geführt werden können und denen man beitreten kann, auch wenn keiner online ist. Sozusagen dauerhafte Video-Treffpunkte. So konnte man teilweise, die Zeit beruft sich auf eigene Versuche im Rahmen der Recherche, private Meetingräume mit einem Klick betreten – mit einem Klick war man dann etwa direkt in dem „persönlichen Meetingraum“ von Ingo Gerhartz, dem Chef der deutschen Luftwaffe, dessen Meetingraum die Zeit wohl mit simplem URL-Raten fand.
Taurus-Leak wegen Webex-Lücken?
Diese Lücken werfen nochmals Fragen zur Sicherheit von Webex auf, insbesondere ob ähnliche Sicherheitslücken bereits zu früheren Vorfällen wie dem Taurus-Leak geführt haben könnten. Das Verteidigungsministerium hatte im März eine nicht geschützte Telefonverbindung als Ursache für den Taurus-Leak angegeben, der international für Unverständnis gesorgt hatte. Zu der Recherche äußerte sich die Bundeswehr gegenüber der Zeit und schrieb, dass es „nach den derzeit hier vorliegenden Erkenntnissen“ zum Taurus-Leak „keine inhaltlichen Zusammenhänge“ gebe.
Auf die Frage, ob man ausschließen könne, dass unter Ausnutzung der aktuellen Sicherheitslücken Informationen an Unbefugte gelangten, antwortet die Bundeswehr der Zeit nur ausweichend, dass nur auf Metadaten, aber nicht auf Gesprächsinhalte hätte zugegriffen werden können. „Die Schwachstellen wurden unverzüglich geschlossen“, heißt es weiter. Weil es der Bundeswehr nicht möglich war, vergangene Meetings einfach zu löschen, entschied man sich dann offenbar, die Webex-Instanz komplett vom Internet zu trennen. Überzeugend ist das nicht wirklich.
Ebenso bemerkenswert ist, dass bei der Bundeswehr keine automatischen Sicherheitssysteme ansprangen, während der vielen Zugriffe auf interne Meetings, die Zeit in Zuge der Recherche tätigte. Gerade bei Meetings, die für die Zukunft geplant waren, hätten mögliche Angreifer so viel Zeit und kein Hindernis gehabt, um Meetingpasswörter zu erraten und sogar an Konferenzen teilzunehmen.
Was erwartet man denn auch von unserer Truppe ?
Die müssen z. B. (Video-) Konferenzen abhalten mit Gerät, da sind die meisten Haushaltstelefone schon moderner und abhörsicherer.
Die Truppe ist so radikal zusammen gestrichen worden, da nützen auch unsere besten Soldaten leider nichts und auch die vielen Milliarden €, die eher in der Ukraine versickern statt unsere Truppen mit modernstem und einwandfrei funktionierendem Gerät auszustatten.
Auch gibt man unser Steuergeld lieber für die Weltrettung überall, auch noch im hintersten Winkel der Erde, für die überflüssigsten und dümmsten Ideen und Programme aus.
Cisco-Webex für vertraulich (militärische) Themen und sorgloses Handling an einem Agenten Hotspot während einer (Luftfahrt?)Messe.. ich kann es immer noch nicht fassen 🙈 Was für eine Beleidigung für mich als Veteran.
Als wir im März von diesem Versagen bei der „Hotelkonferenz“ erfuhren, habe ich noch einen Moment geglaubt, dieser Irrsinn wäre möglicherweise beabsichtigt, weil eine solche Ignoranz auf höchster Militärebene für mich einfach unvorstellbar war. Man sollte die Unfähigkeit deutscher Führungseliten wohl nie unterschätzen…
Textbaustein:
Seit den ’90ern ist es erwiesen und anerkannte Tatsache, ein großer Teil der Menschheit wird dümmer und verblödet.
Ergänzung:
Unbestritten, vor allen Dingen in Deutschland.
Das das vom Verein „Netzbegrünung“ kommt erstaunt ein wenig. Die Gründenkenden haben es ja sonst eher nicht so mit produktiver Arbeit.
Was von der Kryptokompetenz deutscher Zuständiger zu halten ist, und wer da mit welchen Kenntnissen zuständig ist, kann man bei Danisch regelmäßig lesen.
Ist es nicht die*innen Vorzeige*innen Regenbogen*innen Offizier*innen Annastasia Bifang („Ich laß mich gerne im Darkroom …“), welche*innen für die Cybersicherheit zuständig ist?
Offensichtlich Quoten-Experten statt Fachkräfte. In den Schulen und Universitäten der Nicht-NATO-Staaten wird nicht gegendert oder rot-grüne Unlogik gelehrt, sonder noch richtiges Wissen vermittelt. Die solchermaßen ausgebildeten Informatiker müssen ihre helle Freude beim Daten-Schnüffeln haben. Und dafür ist der Wehr-Etat in den letzten Legislatur-Perioden kontinuierlich gestiegen.
Nun, „Massive Sicherheitslücken bei der Bundeswehr“ ist doch wohl eher eine Tautologie als eine Nachricht, oder?
Flachzangen sind für unsere Sicherheit verantwortlich
Da kann man nur mit den Kopf schütteln . Wer was da noch so kommt
Wir haben als Kinder eine Schnur und zwei Dosen als Schnurtelefon verwendet.
Die BW wirbt ja seit längerem um IT Fachkräfte, u.a. für ihr „Cyber command“. Was hier so an Dilletantismus zutage tritt, beantwortet allerdings schlüssig die Frage, wer mit entsprechenden Fachkenntnissen denn wohl bei diesem Verein freiwillig anheuern wollen würde.
ist doch bei der Gurkentruppe wurst, oder?
Abgesehen davon: CISCO hat sich schon vor vielen Jahren dem „Heimatschutz“ in den USA unterworfen; jedes Produkt von denen enthält Hintertüren für die US-Geheimdienste. Wer so etwa für sensible Daten nutz, ist schlicht dumm und irre!
Es könnte sein, dass das eine strategische Botschaft war. Eben, das was zumindest Geheimdiensten zugänglich sein soll, war zugänglich, wohingegen das wirklich Geheime eben nicht per Videokonferenz oder nicht mit WebEx besprochen wird.
Da die Bundeswehr in erster Linie für irgendwelche Einsätze irgendwo auf der Welt gehalten wird, ist das für die Landesverteidigung eh unerheblich. Und: Was soll man hier eigentlich noch verteidigen? Die Bundeswehr wehrt hier nix mehr ab, ist eher eine etwas robustere Bundesbelehrungsexkursion.
Der Bundesgrenzschutz wurde ja auch für seinen neuen Zweck umbenannt, da der Grenzschutz schon lange keine Rolle mehr spielt und man eine Polizei bundesweit viel besser gegen friedliche Demonstranten einsetzen kann.
Und die wollen Krieg gegen Russland führen?! Diese erbarmungswürdigen Pappnasen? 🤣 Gegen Russland, ich fasse es nicht. Die könnten doch nicht einmal Liechtenstein erobern, diese Weicheier. Dazu fehlt ihnen die Munition. Das muss man sich mal auf der Zunge zergehen lassen, die Munition! Und mann kann nur von Glück reden, denn wenn die Munition hätten würden die sich gegenseitig beschießen, da sie zum Zielen zu blöd sind.
Wenn Hacker drei Viren loslassen bleibt Deutschland nur noch die bedingungslose Kapitulation. Auf unsere Armee muss man nicht einmal schießen, die sind sogar zu doof um WebEx zu bedienen.
Die Bundeswehr wird gezielt durch die Pflichtgiftspritze geschwächt.
Die Sicherheitslücken haben den gleichen Zweck.
Es ist kein “ Versagen“ sondern Vorsatz und Sabotage.
Wo liegt nun die Schuld, bei der zuständigen IT Abteilung der BW oder haben die User Sicherheitsanweisungen Anweisungen ignoriert?
Das die Meetings über einen ausländischen Server (Cisco, USA) gelaufen sind, ist ebenfalls unfassbar. Das die BW nicht in der Lage ist eine eigne Software für Meeting zu entwickeln ist nachvollziehbar, aber man hätte bei deutschen Firmen, z.B. Firma TeamViewer, bestimmt ein eigenes Derivat einer Meeting Software bestellen und dieses über eigene Server laufen lassen können.
Lesenswert der Artikel „Taurus on Air“ im Free21 Magazin
Es werden alle möglichen Mittel und lächerliche Personen eingesetzt,um Deutschland weltweit zu delegitimieren.
Auch diese angebliche “ Panne“ ist geplant.
Pisstorius hätte längst zurücktreten müssen.