News Webex-Lücke bei SPD: Dritte konnten an vertraulichen Online-Konferenzen teilnehmen

[Andy]

Neben der Bundeswehr kämpft auch die SPD mit Schwachstellen im Videokonferenzsystem Webex. Erneut standen Meeting-Räume offen im Netz. Einer Journalistin der Zeit ist es gelungen, sich unbemerkt in eine Konferenz der Bundesgeschäftsführung einzuwählen.

Zur News: Webex-Lücke bei SPD: Dritte konnten an vertraulichen Online-Konferenzen teilnehmen

 

[Salutos]

Wenn man bedenkt, dass Webex von Cisco ist, dann bekommt das "Problem" eine ganz andere Bedeutung.

 

[Kuristina]

Wenn es durch Konfigurationsfehler möglich war, ist es menschliches Versagen.

 

[FR3DI]

Kein Kommentar

Gruß Fred.

 

[Simanova]

Cisco ist mit seiner Technolgie in den 90er stehen geblieben. Das merkt man an allen Ecken und Enden, nicht nur bei der Webex Software. Die Produkte werden immer schlechter, teurer und man bezahlt nur noch für die Marke. Durch das Versagen von Cisco gibt es nun auch andere Akteure am Markt die ihre zum Teil sehr guten Produkte anbieten können.

Ergänzung (15. Mai 2024)

Konfigurationsfehler

Siehe Artikel, Zitat

Wie die Zeit berichtet, steht aber nun die Frage im Raum, inwieweit Ciscos Webex-Werkseinstellungen ausreichend sind, um Security-by-Design-Ansprüchen zu entsprechen.

Eine Nicht-Konfiguration/Werkseinstellung würde ich nicht als Konfigurationsfehler einstufen.

 

[Kuristina]

Also ich würde mich nicht auf Werkseinstellungen verlassen, wenn ich vertrauliche Gespräche führe. Wer macht denn sowas? 😊

 

[Simanova]

Also ich würde mich nicht auf Werkseinstellungen verlassen, wenn ich vertrauliche Gespräche führe. Wer macht denn sowas? 😊

War bestimmt nicht Bestandteil der Ausschreibung. Daher wird es niemand konfiguriert haben. Das System wurde mit hoher Wahrscheinlichkeit so vom Auftragnehmer überreicht.

Im Zweifelsfall liegt die Verantwortung beim Kunden, und der muss sich drum kümmern, egal ob er das selbst löst, oder mit externer Hilfe. Darum sind Betreuungsverträge bei komplexen oder sicherheitsrelevanten Systemen so wichtig.

 

[Dorne]

Das zeigt Mal wieder wie naiv unsere Regierung doch ist. Anstatt Mal alles individuell anzupassen und zu überprüfen. Immer wieder Probleme mit Webex. Immer wieder sind Cyberangriffe erfolgreich. Ich kann da nur den Kopf schütteln. Lernen die nix daraus.

 

[nex0rz]

Kein Kommentar

Gruß Fred.

Das ist aber ein Kommentar

Gruß Dieter.

 

[Accutrauma]

Für mich ist das offener Bürgerdialog.

 

[d3nso]

Und solche Pfeifen wollen Daten von Millionen vor Bürgern speichern und sicher verwahren. Man sieht mal wieder das sich unsere Regierung einen Dreck um Sicherheit schert, hauptsache billig und einfach zu benutzen ist hier wohl die Devise.

 

[Krausetablette]

Und solche Pfeifen wollen Daten von Millionen vor Bürgern speichern und sicher verwahren.

Na ja, immerhin hat man es geschafft, die Diäten um satte 6% zu erhöhen. Das ist doch auch schon was...

 

[Breeze83]

Das Problem liegt nicht an Webex, sondern dass eine Version von Webex (OnPrem) von der SPD sowie der BW eingesetzt wird die schon ewig nicht mehr weiter entwickelt wurde und seit 2023 auch end of service ist.

Siehe: https://www.cisco.com/c/de_de/support/conferencing/webex-meetings-server/series.html

Diese default Settings was öffentlich gelistete Meetings, Meetings ohne Password angeht wurden bei der Cloud Variante, die heutzutage auch zu 98% genutzt wird schon vor vielen Jahren geändert.

Mann kann hier also nicht Webex die Schuld geben sonder eher der BW/SPD oder deren Dienstleistern.

Webex aus der Cloud ist besonders mit der Option Zero Trust Security eine sehr sichere Lösung.

Hier kann man sich dazu etwas belesen:

https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2024/pdf/BRKCOL-2876.pdf

 

[Pandora]

Die Software war ja gerade mal 11 Jahre am Markt, und dann soll man da schon wieder was neues besorgen. Wir sind hier immer noch in Deutschland, da dauert Planung/Ausschreibung für sowas schon locker 5 Jahre

Also ich würde mich nicht auf Werkseinstellungen verlassen, wenn ich vertrauliche Gespräche führe. Wer macht denn sowas? 😊

Werkseinstellungen sind per se nicht schlecht, aber der Punkt hier ist das man das System offenbar nicht gut genug kennt um zu wissen wie es sicher zu konfigurieren ist.

 

[Fliz]

Jetzt mal ehrlich, wer Cisco hört, muss doch automatisch eine Abwehrreaktion haben.. Die Witze schreiben sich doch da von selbst. Cisco ist der Name mit den meisten Securityproblemen und Hintertür per Design..

Das die SPD das nutzt und auch noch falsch wundert mich nicht, bei den Pfeifen, die da sitzen..

 

[Kuristina]

@Pandora
Ja, das ist offensichtlich. Aber dann lasse ich es doch erst von einem Experten durchkonfigurieren, bevor ich es für die Nutzung freigebe. Ich denke immer, sowas ist doch klar und selbstverständlich? Echt kurios.

 

[Donnidonis]

Das zeigt Mal wieder wie naiv unsere Regierung doch ist. Anstatt Mal alles individuell anzupassen und zu überprüfen.

Ich bezweifle tatsächlich, dass die SPD das selbst aufgesetzt hat. Die werden das beauftragt haben. Hab ich jetzt natürlich keine Quelle für, würde mich aber wundern.

Das ist halt wie wenn ihr jemand fragt wie setze ich xyz am besten auf und dann kommt: Systemhaus. Ja, ist richtig, aber wenn dann wichtige Hinweise flöten gehen und der Kunde gar nicht weiß worauf er achten muss, kann er ja auch nicht nachfragen. Er weiß es ja nicht.

 

[R O G E R]

"Internet ist Neuland"

Auch wenn das ne andere Partei war, IT mäßig haben die da nichts drauf.

 

[kicos018]

Ja, das ist offensichtlich. Aber dann lasse ich es doch erst von einem Experten durchkonfigurieren, bevor ich es für die Nutzung freigebe. Ich denke immer, sowas ist doch klar und selbstverständlich? Echt kurios.

Wäre jetzt nicht an den Haaren herbeigezogen wenn da am Ende eben ein Cisco "Experte" genau versichert hat, dass die Werkseinstellungen des Enterprise-Modells ausreichen um diverse ISO, DSGVO und sogar FedRAMP Zertifizierungen zu gewährleisten. Davon würde ich an sich auch einfach mal ausgehen.

Ich fahr mein neues Auto schließlich auch nicht in die Werkstatt und lass erstmal überprüfen, ob die gesetzl. vorgeschriebenen Sicherheitsfeatures korrekt eingebaut sind. Man macht vielleicht mal ne Sichtkontrolle, aber der Hersteller, der das Produkt hier vertreibt, sollte es besser wissen (im Kontext von Cisco natürlich ein Schmunzler).

Am Ende für mich vor allem ein großes Fragezeichen was das mit den nicht-randomisierten URLs soll.

 

[andy_m4]

wird die schon ewig nicht mehr weiter entwickelt wurde und seit 2023 auch end of service ist.

Naja. End-of-Service hat ja wenig mit schlechter Default-Konfiguration zu tun. Die war ja damals schon sch**ße.
Und das man es in späteren Versionen/Varianten gefixt hat, beweist ja auch, das die Default-Konfig schlecht war.

Mann kann hier also nicht Webex die Schuld geben

Naja. Cisco fällt ja nun schon seit Jahrzehnten durch übelste Geschichten auf. Die haben sich einfach einen gewissen Ruf erarbeitet.

Webex aus der Cloud ist besonders mit der Option Zero Trust Security eine sehr sichere Lösung.

Zero Trust soso. Was bedeutet das denn?
Laut dem verlinkten Dokument, das man End-to-End-Encryption hat und natürlich auch ne sichere Authentifizierung. Sprich im Groben das, was wir mit PGP und eMail schon Anfang der 90er Jahre gemacht haben. Die preisen also etwas an, was bereits seit 30 Jahren Stand der Technik ist.
Für beliebige Verbindungen ja auch in Form von VPN.

Ich würde ja, statt das zu bewundern eher fragen, warum die das nicht schon immer so hatten.
Und VPN, das wird doch Cisco wohl hinkriegen? Na vielleicht auch nicht. :-)

btw. weiß man ja seit Snowden, das bei Firmen wie Cisco die NSA mit drin hängt. Davon auszugehen, das man von denen sichere Software bekommt ist naiv.

Die richtige3 Strategie wäre auf Basis von Open-Source-Software sich seine Lösungen selbst zu bauen. Dafür bräuchte man zwar Know-How, aber das sollte man ja sowieso haben und daher langsam mal gezielt aufbauen.