Webex-Lücke bei SPD: Dritte konnten an vertraulichen Online-Konferenzen teilnehmen
Neben der Bundeswehr kämpft auch die SPD mit Schwachstellen im Videokonferenzsystem Webex. Erneut standen Meeting-Räume offen im Netz. Einer Journalistin der Zeit ist es gelungen, sich unbemerkt in eine Konferenz der Bundesgeschäftsführung einzuwählen.
Bei der SPD besteht laut Recherchen der Zeit dasselbe Problem wie bei der Bundeswehr. Beide verwenden die On-Premise-Version von Webex, die der Betreiber Cisco neben der Cloud-Variante anbietet. Die Videokonferenzen laufen dabei auf Servern des jeweiligen Kunden. Durch Konfigurationsfehler – so lautete der letzte Stand bei dem Bundeswehr-Vorfall – war es aber möglich, sich in bestehende Meeting-Räume einzuwählen, die zum Teil vertrauliche Informationen behandelten. Aufgrund einer systematischen Nummerierung konnten Angreifer zudem gezielt nach bestimmten Räumen suchen.
Die Bundeswehr sperrte Webex zwar für die externe Kommunikation, erklärte aber, es sei zu keinem Datenabfluss gekommen. Angreifer hätten auch nicht ohne Weiteres an Meetings teilnehmen können, weil Externe nur Zugang zu den Warteräumen gehabt hätten. Ohne aktiven Einlass wäre eine Teilnahme an Konferenzen nicht möglich gewesen.
Journalistin hört bei Gespräch mit
Dass es nicht so einfach ist, verdeutlicht aber eine weitere Recherche der Zeit. Diese betrifft die Webex-Instanzen der SPD. So konnte die Journalistin an der Sitzung „Update Kabinettfrühstück“ der SPD-Bundesgeschäftsführung teilnehmen, ohne bemerkt zu werden. Der Grund: Offensichtlich wählten sich die anderen Teilnehmer per Telefon ein und hatten somit keine Übersicht, wer sich noch alles in der Konferenz befindet. Im zweiten Meeting-Raum wurde nach wenigen Minuten nach der Autorin gefragt.
Überraschend ist so eine Reaktion nicht, wenn in einer vertrauten Runde plötzlich ein unbekannter Name auftaucht. Nur in größeren Meeting-Runden, in denen sich nicht alle Teilnehmenden kennen und viele ohnehin nur eine Zuhörer-Rolle haben, kann man unbemerkt bleiben.
Die Sicherheitsprobleme bestehen wie gehabt. Links zu den SPD-Meetingräumen standen offen im Netz, abrufbar waren Informationen wie der Titel, der Gastgeber sowie das Datum. Laut der Zeit-Recherche war nur jedes zehnte Meeting mit einem Passwort geschützt. Und auch bei der SPD war es möglich, URLs zu den Meeting-Räume durch das Hoch- und Runterzählen der Code-Nummern zu erraten. Die Partei nutzte wohl auch die Werkseinstellungen von Webex.
Kein Kommentar
Die SPD hat das System vorerst abgeschaltet. Dass vertrauliche Gespräche abgehört worden sind, könne man nicht ausschließen. Bislang seien aber keine entsprechenden Vorfälle gemeldet worden, heißt es auf Anfrage der Zeit. Man habe „bis auf die Konfrontation durch Sie in den zwei Schalten am Mittwoch keine weiteren Hinweise darauf“, sagte eine Sprecherin.
Cisco wollte sich auf Anfrage der Zeit nicht äußern. Wie die Zeit berichtet, steht aber nun die Frage im Raum, inwieweit Ciscos Webex-Werkseinstellungen ausreichend sind, um Security-by-Design-Ansprüchen zu entsprechen.
Dass genau genommen keine Sicherheitslücke besteht, sondern die Konfiguration fehlerhaft ist, war bisher der Standpunkt des Konzerns. Erst im Rahmen des Taurus-Leaks hatte Cisco erklärt, Dritte hätten sich nicht heimlich in Gespräche einwählen können. 2020 wurde zwar eine entsprechende Webex-Sicherheitslücke entdeckt, die sei aber längst geschlossen.