Werbung

Zeit-Recherche

Mit internen Informationen: Tausende Links zu Videomeetings der Bundeswehr waren über Monate zugänglich

Die Bundeswehr hatte massive Sicherheitslücken bei ihren Webex-Videomeetings, die es Unbefugten ermöglichten, auf Informationen über interne Besprechungen zuzugreifen, einschließlich vertraulicher Informationen. Die entdeckten Schwachstellen erlaubten es, Meeting-Links zu erraten und persönliche Meetingräume leicht zu betreten.

Werbung

Massive Sicherheitslücken bei der Bundeswehr: Tausende Links zu internen Videomeetings der deutschen Streitkräfte waren offenbar über Monate hinweg im Internet zugänglich, wie Recherchen von Zeit Online ergaben. Diese Links führten zu Treffen mit internen Informationen, darunter auch vertrauliche Besprechungen. Selbst schon geführte Meetings wurden nicht gelöscht und blieben so über Monate abrufbar. Erst nachdem die Bundeswehr durch Anfragen für einen Artikel auf diese Sicherheitslücke aufmerksam gemacht wurde, trennte sie ihr Videokonferenzsystem vom Internet. Zu der Möglichkeit, dass durch diese Lücke vertrauliche Informationen abgeflossen sind, konnte die Bundeswehr keine Angaben machen.

Die betroffene Plattform war laut Zeit-Recherche dabei die Webex-Instanz der Bundeswehr, die für Gespräche mit Geheimhaltungsstufen genutzt wird. Eines dieser Webex-Gespräche, in dem Bundeswehr-Generale den Einsatz von Taurus-Marschflugkörpern durch die Ukraine erörterten, war vor kurzem abgehört und geleakt worden.

...
...

Was jetzt klar ist: Durch diese Schwachstelle, die IT-Experten des Vereins „Netzbegrünung“ entdeckten, waren Titel, Zeiten und Einladende wichtiger Meetings öffentlich einsehbar. Manche Meetings waren über 6 Monate alt und konnten dennoch unproblematisch über die Video-Plattform eingesehen werden. Laut eigenen Angaben führt die Bundeswehr mit monatlich über 45.000 Meetings mit Webex durch. Viele dieser Meetings waren nun offenbar frei zugänglich – für jeden. 2019 ließ das Bundesamt für Sicherheit in der Informationstechnik den Einsatz von Webex in Behörden zu.

Mehrere fatale Schwachstellen enttarnt

Die Recherche offenbarte mindestens zwei Schwachstellen in der „On-Premise-Lösung“ von Webex, die die Bundeswehr wohl seit 2019 genutzt hat. Die erste schwere Sicherheitslücke zeigt sich darin, so die Zeit, dass sich Links zu Videomeetings durch einfaches Hoch- oder Herunterzählen erraten werden konnten, was den Zugriff auf Titel, Zeitpunkt und Einladende wichtiger Besprechungen ermöglichte. Ein Beispiel hierfür ist ein Webex-Meeting mit dem Titel „Review Meilensteinplan Taurus und Finalisierung“, das am 25. April stattfand und sich offenbar mit dem Marschflugkörper Taurus befasste. All diese Termine, ob vergangene oder zukünftige Meetings, konnte man ohne großes technisches Know-how einfach so über Webex einsehen, in dem man die URLs der Meetings auf und abzählte. Bei einem sicheren System werden die Meeting-IDs zufällig generiert, bestehen also aus einem Zahlenwirrwarr, bei der Webex-Funktionen folgten die IDs einem einfach zu erratenden System, so die Zeit-Recherche. Ein einfaches System erraten konnte so jedem Angreifer zeigen, wann, wer wie über welches Thema sprach.

Doch da hört es nicht auf: Die zweite gigantische Sicherheitslücke lag darin, dass sogenannte persönliche Meetingräume einfach so zugänglich und nicht durch Passwörter geschützt waren. Diese „Räume“ sind bei Webex dauerhafte Links zu Videokonferenzen, über die mehrere Meetings geführt werden können und denen man beitreten kann, auch wenn keiner online ist. Sozusagen dauerhafte Video-Treffpunkte. So konnte man teilweise, die Zeit beruft sich auf eigene Versuche im Rahmen der Recherche, private Meetingräume mit einem Klick betreten – mit einem Klick war man dann etwa direkt in dem „persönlichen Meetingraum“ von Ingo Gerhartz, dem Chef der deutschen Luftwaffe, dessen Meetingraum die Zeit wohl mit simplem URL-Raten fand.

Taurus-Leak wegen Webex-Lücken?

Diese Lücken werfen nochmals Fragen zur Sicherheit von Webex auf, insbesondere ob ähnliche Sicherheitslücken bereits zu früheren Vorfällen wie dem Taurus-Leak geführt haben könnten. Das Verteidigungsministerium hatte im März eine nicht geschützte Telefonverbindung als Ursache für den Taurus-Leak angegeben, der international für Unverständnis gesorgt hatte. Zu der Recherche äußerte sich die Bundeswehr gegenüber der Zeit und schrieb, dass es „nach den derzeit hier vorliegenden Erkenntnissen“ zum Taurus-Leak „keine inhaltlichen Zusammenhänge“ gebe.

Auf die Frage, ob man ausschließen könne, dass unter Ausnutzung der aktuellen Sicherheitslücken Informationen an Unbefugte gelangten, antwortet die Bundeswehr der Zeit nur ausweichend, dass nur auf Metadaten, aber nicht auf Gesprächsinhalte hätte zugegriffen werden können. „Die Schwachstellen wurden unverzüglich geschlossen“, heißt es weiter. Weil es der Bundeswehr nicht möglich war, vergangene Meetings einfach zu löschen, entschied man sich dann offenbar, die Webex-Instanz komplett vom Internet zu trennen. Überzeugend ist das nicht wirklich.

Ebenso bemerkenswert ist, dass bei der Bundeswehr keine automatischen Sicherheitssysteme ansprangen, während der vielen Zugriffe auf interne Meetings, die Zeit in Zuge der Recherche tätigte. Gerade bei Meetings, die für die Zukunft geplant waren, hätten mögliche Angreifer so viel Zeit und kein Hindernis gehabt, um Meetingpasswörter zu erraten und sogar an Konferenzen teilzunehmen.

Werbung