[ziesell]

Zitat:

Cisco Webex: Massives Datenleck bei Bundeswehr und Regierung

Eine Untersuchung von Zeit Online hat eine erhebliche Sicherheitslücke im Videokonferenzsystem der Bundeswehr und der Bundesregierung aufgedeckt.



Eine Schwachstelle bei Cisco Webex ermöglichte den öffentlichen Zugang zu Tausenden von internen Meeting-Links, darunter auch solchen, die als vertraulich eingestuft sind, so dass Unbefugte auf sensible Informationen zugreifen konnten, berichtet die Zeit.

Die Sicherheitslücke wurde von IT-Experten des Vereins Netzbegrünung entdeckt und von der Zeit bestätigt. Das Problem liegt in der Nutzung des vom Bundesamt für Sicherheit in der Informationstechnik (BSI) 2019 zugelassenen Videokonferenz-Tools Webex von Cisco durch die Bundeswehr begründet. Die Bundeswehr entschied sich für die On-Premise-Version von Webex und hostete die Software auf ihren eigenen Servern, um sicherzustellen, dass die Daten innerhalb des Landes bleiben.

Leicht ermittelbare Meeting-Links und persönliche Meeting-Räume

Die Untersuchung ergab zwei wesentliche Schwachstellen in der Webex-Implementierung. Erstens waren die Besprechungslinks leicht zu erraten, indem man einfach auf- oder abwärtszählte, anstatt sie nach dem Zufallsprinzip zu sortieren. Dies ermöglichte den Zugriff auf den Titel, die Uhrzeit und die einladende Person wichtiger Sitzungen, darunter Diskussionen über den Taurus-Marschflugkörper, die Luft-Luft-Rakete Meteor und das Digitale Schlachtfeld, heißt es bei der Zeit.

Zweitens waren die persönlichen Besprechungsräume hochrangiger Beamter, wie des Chefs der deutschen Luftwaffe, Ingo Gerhartz, ohne Passwortschutz zugänglich, heißt es in dem Artikel. Diese Räume konnten mit einem einzigen Klick betreten werden, so dass sensible Gespräche offengelegt werden konnten.

Die Bundeswehr habe inzwischen den Zugang zu den persönlichen Besprechungsräumen gesperrt und ihre Webex-Instanz vom Internet getrennt.

Die Bundesregierung, inklusive Bundeskanzler Olaf Scholz und mehrere Minister, nutzt ebenfalls Webex, und bei der Untersuchung wurde festgestellt, dass ihre persönlichen Konferenzräume zugänglich waren. Einige Räume seien geschlossen worden, nachdem sie dem IT-Sicherheitsnotfallteam gemeldet worden waren, während andere eine Zeitlang offen geblieben seien, schreibt die Zeit.

Die Bundeswehr und Cisco haben keine eindeutigen Antworten auf die Frage gegeben, ob es einen Zusammenhang zwischen den Webex-Schwachstellen und dem jüngsten Leck in der Taurus-Lenkflugkörper-Diskussion gibt.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]