Bundeswehr: Webex für externe Kommunikation gesperrt
Am Wochenende wurde bekannt, dass Webex-Konferenzen der Bundeswehr einsehbar waren. Für externe Kommunikation wurde Webex nun gesperrt.
Cisco Webex-Webkonferenzen der Bundeswehr waren einsehbar.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Nachdem am vergangenen Wochenende bekannt wurde, dass Webex-Konferenzen der Bundeswehr monatelang einsehbar waren, zieht das Bundesverteidigungsministerium die Notbremse. Für externe Kommunikation ist die Nutzung der Cisco-Webex-Konferenzsoftware vorerst gesperrt.
Auf Anfrage von heise online antwortete ein Sprecher des Kommandos Cyber- und Informationsraum (CIR) und lieferte weitergehende Informationen zu den jüngsten Vorfällen. Er bestätigt, dass durch eine Enumeration, also dem Durchgehen eines bekannten Nummernschemas, Namen der Einladenden, Gesprächsthemen und Zeitpunkt der Meetings von Unbefugten abgegriffen werden konnten. Warteräume vor den Meetingräumen seien öffentlich zugänglich gewesen, deren Besitzer Wartende jedoch aktiv in die Konferenz einlassen müssen. Es seien keine unbemerkten oder unbefugten Teilnahmen an Videokonferenzen durch die bekannt gewordene Schwachstelle möglich gewesen.
Bundeswehr: Webex-Problemlösung
Der CIR wurde am 29. April über die neue Schwachstelle informiert. Sie betreffe die Standardkonfiguration der Cisco-Software: Die persönlichen, jedoch nicht privaten, Meetingräume "außerhalb der eigentlichen Konferenz-Umgebung werden systemseitig bei Nutzer-Registrierung angelegt und sind ein firmenseitig implementiertes Feature des Produkts", erklärt der Sprecher. Er ergänzt: "Auch bei Verwendung von als sicher geltenden "Commercial Of The Shelf"-Produkten kann nicht ausgeschlossen werden, dass im Nachgang zusätzliche Sicherheitsmaßnahmen getroffen werden müssen" – hier wurde offenbar versäumt, die Einstellungen von Webex zu überprüfen.
Die derzeitige Lösung lautet: "Die Nutzung der Webex Software wird für die externe Kommunikation mindestens bis zum Abschluss der weiteren Analyse und der Etablierung weiterer Schutzmechanismen gesperrt bleiben." Der Geschäftsbereich Bundesministerium für Verteidigung verfüge über ein eigenes Netz, in dem "Webex für die interne Kommunikation weiterhin voll nutzbar ist".
Bezüglich der potenziell abgeflossenen Metadaten der Kommunikation, aus denen sich etwa E-Mail-Adressen leicht herleiten lassen, ist ein erhöhtes Risiko für gezieltes Spear-Phishing wahrscheinlich. Der Sprecher des CIR erklärt dazu, dass "die Bundeswehrangehörigen regelmäßig mit Schulungen und Aktionen sensibilisiert [werden]. Eine dieser Aktionen ist beispielsweise Phishing as a Service, mit der CIR mittels unverfänglicher, eigens gefälschter E-Mails an seine Mitarbeitenden diese über die Gefahren aufklärt". Ferner bestünden zahlreiche technische Schutzmaßnahmen, wichtige militärische IT-Systeme seien beispielsweise aus dem Internet nicht erreichbar. "Die Bundeswehr wird den aktuellen Vorfall noch einmal zum Anlass nehmen, um die Mitarbeitenden insbesondere zu Spear Phishing zu sensiblisieren", führt der Sprecher weiter aus.
Zu der Frage, ob die Bundeswehr nun von Cisco Webex abkehren wird, antwortet der Sprecher: "Das genutzte Produktportfolio wird ständig einer Bewertung unterzogen und gegebenenfalls angepasst". "Im Bereich der Nutzung mit externen Teilnehmern befinden wir uns im Austausch mit dem Hersteller", erörtert er weiter. Eine Ablösung etwa durch den BwMessenger komme jedoch nicht in Betracht: "Der BwMessenger ist für seine Zwecke sehr gut, hat aber nicht den Funktionsumfang wie Webex und ist daher keine Alternative".
(dmk)