Tausende Webex-Videokonferenzen von Behörden öffentlich zugänglich (Update)

6. Juni 2024 um 11:54
letzte Aktualisierung: 10. Juni 2024 um 14:44
image
Illustration: Allison Saeng /Unsplash+

Ein Bericht deckt auf, dass die Software Webex wohl mehr Lücken aufwies als bekannt. Man konnte sich in Online-Meetings von Behörden einwählen – auch in der Schweiz. Der Bundesrat betont, dass Webex nicht für vertrauliche Inhalte zugelassen ist.

Im vergangenen März wurde bekannt, dass Russland eine Videokonferenz von deutschen Bundeswehroffizieren abgehört hatte, die ein Briefing für den Verteidigungsminister vorbereiteten. Benutzt wurde für die Besprechung Webex, die Software für Web- und Videokonferenzen des Herstellers Cisco. Vermutungen, der "Abhörskandal" könnte mit einer Schwachstelle in Webex zusammenhängen, dementierten damals das Verteidigungsministerium wie auch Cisco.
In einem Artikel enthüllt 'Die Zeit' (Paywall) jetzt, die Software habe mehr Lücken, als der Betreiber Cisco behauptete. Hunderttausende Webex-Meetings von Behörden und Unternehmen in Deutschland, den Niederlanden, Italien, Österreich, Frankreich, Dänemark, Irland und auch in der Schweiz dürften laut dem Bericht potenziell öffentlich zugänglich gewesen sein.

Teilnahme ohne Passwort möglich

Die Journalistin Eva Wolfangel schreibt, sie habe unzählige Einträge zu Videokonferenzen gefunden und sich dann in einige eingewählt, zum Beispiel in ein Meeting des deutschen Bundesamts für Migration und Flüchtlinge sowie einer Krankenkasse. Die Teilnahme sei über einen Link mit Zuordnungsnummer möglich gewesen und habe kein Passwort erfordert. Nachdem sie Cisco über die Lücke informiert hatte, sei diese Ende Mai geschlossen worden.
Auf Anfrage von 'Heise' spricht das deutsche Bundesinnenministerium von einer "angeblichen Sicherheitslücke" und weist darauf hin, dass "Schwachstellen in Software-Produkten allein noch keine Grundlage für eine grundsätzliche Aussage über das IT-Sicherheitsniveau eines Produktes" böten. "Die Firma Cisco hat die nach ihren vorliegenden Erkenntnissen betroffenen Kunden und das Ministerium über den grundsätzlichen Sachverhalt informiert", sagte eine Sprecherin.
In einem aktuellen Security-Advisory schreibt Cisco, man habe Anfang Mai Fehler in Webex identifiziert, "von denen wir jetzt glauben, dass sie in gezielten Sicherheitsforschungsaktivitäten genutzt wurden, die den unbefugten Zugriff auf Besprechungsinformationen und Metadaten in Webex-Bereitstellungen für bestimmte Kunden ermöglichen". Diese Fehler seien behoben, und dafür bis zum 28. Mai weltweit ein Fix bereitgestellt worden.

Bund hat 2022 Webex für die Verwaltung beschafft

Webex ist auch in der Schweiz zum Beispiel beim Bund im Einsatz. Im März 2022 vergab das Bundesamt für Informatik und Telekommunikation (BIT) einen Zuschlag über 14,5 Millionen Franken inklusive Optionen an Netcloud für Webex-Lizenzen und -Support. Das Tool soll in der Bundesverwaltung die Collaboration-Software Skype for Business und Microsoft Teams ergänzen und kommt in der Kommunikation mit externen Partnern zum Einsatz, so das Pflichtenheft zur Ausschreibung.
Noch vor der Veröffentlichung des 'Zeit'-Artikels hat der Schwyzer Nationalrat Dominik Blunschy (Mitte) am 3. Juni in der parlamentarischen Fragestunde die Frage "Ist Webex wirklich die richtige Wahl für die sichere Videokommunikation der Bundesverwaltung?" eingereicht.

Webex beim Bund nicht für vertrauliche Informationen zugelassen

Am 1. Mai sei das Massnahmenpaket für die Vermeidung künftiger Datenabflüsse in der Bundesverwaltung veröffentlicht worden, schreibt Blunschy und fragt: "Wie stellt die Bundeskanzlei sicher, dass die darin beschriebene Einführung eines auf Webex basierenden Secure Video Conferencing Service tatsächlich die erforderliche Sicherheit für besonders schützenswerte Kommunikation gewährleistet, insbesondere mit Blick auf den Webex-Abhörskandal bei der deutschen Bundeswehr?"
In seiner Antwort schreibt der Bundesrat, dass Webex für die Bundesverwaltung konfiguriert sei und zusätzlich eine Ende-zu-Ende-Verschlüsselung und eine Videoidentifikation der Teilnehmenden biete, "womit eine Teilnahme durch unzulässige Personen erkannt und verhindert werden kann". Dennoch sei Webex "aktuell nicht für 'vertraulich' oder 'geheim' klassifizierte Informationen nach Informationssicherheitsgesetz (ISG) zugelassen". Dafür setze der Bund "auf andere Lösungen mit noch höherem Schutzniveau".
Update 10. Juni 2024: Antwort des Bundesrats eingefügt.


Loading

Mehr erfahren

Mehr zum Thema

image

Swiss Marketplace Group kauft Moneyland

Der Online-Vergleichsdienst gehört neu zur Swiss Marketplace Group. Alle Mitarbeitenden werden übernommen und die Marke soll erhalten bleiben.

publiziert am 2.7.2024
image

Schweiz holt dreimal Gold an Informatik-Wettbewerb

Junge Schweizer Informatikerinnen und Informatiker zeigten ihr Können gleich an zwei internationalen Meisterschaften.

publiziert am 2.7.2024
image

Schwerwiegende Lücke in OpenSSH entdeckt

Angreifer können sich aus der Ferne Zugriff auf Systeme verschaffen und beliebigen Code ausführen.

publiziert am 2.7.2024
image

Atos: Grundzüge des Refinanzierungsdeals stehen

Der französische IT-Konzern konnte sich mit Banken und Gläubigern einigen. Die Aktien verlieren aber fast ihren ganzen Wert.

publiziert am 1.7.2024