Bei der Konferenzsoftware WebEx gibt es eine Schwachstelle, die es Unbefugten ermöglicht, die Links von Konferenzen aus einem bekannten Link zu ermitteln. Ein weiterer Fehler führte dazu, dass bei der Bundeswehr Termine, Teilnehmer und Themen von WebEx-Konferenzen offen im Internet einsehbar waren. Das haben Recherchen von Netzbegrünung und Zeit Online ergeben.
Anzeige
Netzbegrünung deckt WebEx-Probleme auf
Bereits in diesem Artikel hatte netzbegrünung darauf hingewiesen, dass die Verwendung von Closed-Source Konferenzsoftware wie WebEx durch Behörden und die Bundeswehr problematisch sei. Keiner kennt den Code und dass die Konferenzen über Server von US-Anbietern laufen, ist möglicherweise auch ein Problem – speziell, wenn es um Angelegenheiten der Bundeswehr handelt. Dort wird für Open Source und On-Premises-Lösungen geworben.
Von netzbegrünung wurde beim Konferenzsystem WebEx von Cisco ein Problem festgestellt. Für die Instanzen eines Meetings vergibt WebEx Zuordnungsnummern in aufsteigender numerischer Reihenfolge. Mit Kenntnis der Zuordnungsnummer einer halbwegs aktuellen WebEx-Konferenz lassen sich aber die Zuordnungsnummern weiterer Konferenzen erraten.
Mit Kenntnis eines öffentlich dokumentierten, aktuellen Meetings, oder den Zugangsdaten eines persönlichen Meetingraums, ließen sich weitere Nummern ausprobieren. Dann werden die Informationen über noch anstehende oder bereits abgelaufene Meetings offen gelegt. netzbegrünung schreibt hier, dass der Titel des Meetings, der Name der Person die das Meeting erstellt hat, die Telefoneinwahldaten, Uhrzeiten des Meetings und gegebenenfalls weitere Informationen öffentlich abrufbar seien – sofern dies von den Nutzenden nicht anders eingestellt wurde.
Fail bei der Bundeswehr
Kürzlich machte ein abgehörtes Gespräch von Bundeswehrangehörigen über Einsatzmöglichkeiten des Waffensystems Taurus Schlagzeilen (siehe Sicherheitsmeldungen 1. März-Woche 2024: AEE Europe, Bad Schwalbach, Hochschule Kempten und mehr). Unklar war, wie der Gesprächsmitschnitt, der von Russland veröffentlicht wurde, mitgehört und aufgezeichnet werden konnte. Nun taucht die Frage auf, ob nicht ein simples Raten der WebEx-Meeting-Zugangsnummern das Betreten solcher Konferenzen ermöglicht.
Anzeige
Denn Zeit Online hat aufgedeckt, dass es bei der Bundeswehr eine weitere IT-Panne gab. Seit Monaten waren Termine, Teilnehmer und Themen von WebEx-Konferenzen der Bundeswehr offen im Internet einsehbar. Der Zeit-Online-Artikel findet sich hinter einer Paywall, aber heise hat die Kernpunkte in diesem Beitrag herausgezogen. Auch Focus Online berichtet hier über diesen Fall.
heise schreibt, dass ein Sprecher für den Cyber- und Informationsraum der Bundeswehr auf Anfrage der dpa eine Schwachstelle bestätigte habe. Die Schwachstelle sei innerhalb von 24 Stunden beseitigt worden. Zuvor seien Meta-Daten wie Zeiten und Teilnehmer über die Kommunikationsplattform WebEx einsehbar gewesen. Man habe sich aber nicht einwählen und auch keine vertraulichen Inhalte abgreifen können, hieß es in der Stellungnahme.
Bei Zeit Online liest sich das im Beitrag "Bundeswehr: Jeder konnte sie finden" das etwas anders. Recherchen von Eva Wolfangel ergaben, dass mehrere Tausend Links zu Videomeetings der Bundeswehr mit internen Informationen offen im Internet abrufbar waren. Darunter befanden sich viele als vertraulich eingestufte Treffen im Bundeswehrumfeld. Wer wann zu einem Videocall einlud, ließ sich so über Monate öffentlich einsehen.
Auch vergangene Meetings wurden offenbar nicht gelöscht. Die Bundeswehr, die erst durch Nachfragen für den Zeit-Artikel auf die Sicherheitslücke aufmerksam wurde, hat ihr Videokonferenzsystem inzwischen vom Internet getrennt. Ob aufgrund der aktuellen Lücke vertrauliche Informationen an Unbefugte abgeflossen sind, konnte die Bundeswehr nicht ausschließen, heißt es bei Zeit Online.
heise schreibt, dass die Termine sich bis Anfang November 2023 nachverfolgen ließen. Weiterhin wird ausgeführt, dass die festen Meetingräume mancher Offiziere, etwa der des Inspekteurs der Luftwaffe, Generalleutnant Ingo Gerhartz (der bei der Taurus-Affäre abgehört worden war) einsehbar waren. Bei heise heißt es, dass Reporter der Zeit den Meetingraum von Gerhartz nach eigener Darstellung auch betreten konnte.
Wir können es einfach nicht
Hier im Blog gab es ja heiße Diskussionen – auch zu Corona-Zeiten – in denen ich Konferenzlösungen wie Skype, Zoom, WebEx (dort in Schulen) wegen der sich ergebenden Abhängigkeiten und DSGVO-Kalamitäten bemängelte. Es hätte im Schulbereich und in der Verwaltung auch die Möglichkeit zur Verwendung von On-Premises-Lösungen auf Open Source gegeben. Argumentation mancher Blog-Leser war: Das selbst gehostete Zeugs und Open Source läuft nicht, lieber auf die etablierten Systeme setzen. Aber nun stellt sich heraus, dass zumindest die Bundeswehr das auch nicht beherrscht(e).
Die Tage gab es dann politische Empörung, weil die SPD mutmaßlich von staatsnahen russischen Hackern attackiert und deren E-Mail-System geknackt wurde. Verwendet wurde eine Software von Microsoft, und eine Schwachstelle in Outlook ermöglichte wohl das Eindringen. Auch die können es nicht, aber die Empörung der Politik war dann groß. Hat etwas von "Brot und Spiel" für das wackere Wahlvolk an sich, und manche Protagonisten merken nicht einmal wie lächerlich sie sich mit ihren Statements machen. Die Kollegen von heise haben das sehr schön im Artikel Kommentar zur Debatte über IT-Sicherheit: "Die Empörten sind nackt" aufgespießt.
Anzeige
Die Sache mit Webex und der Bundeswehr hat nichts mit der Software zu tun
Es wurde einfach am Rande einer Messe in Singapur der gesamte Handyverkehr von den Russen aufgezeichnet. Da der gewisse Bundeswehrgeneral mit seiner Handynummer eingeloggt war, wurde dabei auch nichts verschlüsselt. Früher gab es dafür einmal Echolon in Bad Aibling
Nun musste man nur noch nach gewissen Schlagworten in dem ganzen Datenmüll suchen.
Das Ganze wäre so auch mit Teams oder Zoom passiert wenn man sich in ein Meeting über die Telefonnummer einwählt.
Da braucht man keine Meetingnummer und sich damit anmelden. Ist ja viel zu auffällig.
> … nichts verschlüsselt. Früher gab es dafür einmal Echolon in Bad Aibling <
Ich vermute das ist das Posting einer fabulierenden KI. Falls nicht: Bitte Beitrag nachvollziehbar und in zusammenhängenden Gedanken neu formulieren. Und bitte Quellen anführen!
> … nichts verschlüsselt. Früher gab es dafür einmal Echolon in Bad Aibling <
haha das ist ein Wochenstart nach meinem Geschmack :-D
Das "Echolon" ist ein Electro Festival aber gut…
Jetzt wird es dann lächerlich, Sie müssen ihren Allgemeinbildungsmangel nicht per Dunning-Kruger zeigen (gilt auch für "Anonym" darüber). 😬
Das Festival gibt es erst seit 2009 und ist nach der ehem. Abhörstation (Teil des weltweiten Echolon-Netzwerkes der ASA/NSA) benannt (ebenso, wie der Technologiepark "Echolon81", den es seit 2020 gibt, sich an den Namen anlehnt).
heise .de/news/Echelon-Lauschstation-Bad-Aibling-wird-geschlossen-37963.html
"Die Bundeswehr […] hat ihr Videokonferenzsystem inzwischen vom Internet getrennt" – hatten die wirklich ein on-premise Webex im Einsatz? Wusste gar nicht, dass es das gibt.
Was mich irritiert: die fortlaufenden Meetingnummer sollten eigentlich uninteressant sein, weil zur Einwahl standardmäßig auch ein 11-stelliges alphanumerisches Passwort nötig ist.
Vermutung: Sobald sich der erste hochrangige Mitarbeiter durch diese Schikane in seiner Arbeit behindert fühlt, wird dieser "Standard" deaktiviert.
> "Die Bundeswehr […] hat ihr Videokonferenzsystem inzwischen vom Internet
> getrennt" – hatten die wirklich ein on-premise Webex im Einsatz? Wusste gar nicht,
> dass es das gibt.
Die Bw hostet Webex auf eigenen Servern.
Und DIE Kartoffel-Armee will gegen die Russen in den Krieg ziehen, wenn sie nicht mal telefonieren können.
Cisco ist für Hochsicherheitsprodukte bekannt; die muss man haben, damit zur Not NSA und Co auch mal reinschauen können; unter Freunden ist Kontrolle doch besser.
Cisco ist inzwischen eine Lachplatte was Sicherheit betrifft. Am Laufmeter werden Loecher in deren Kaese OS gefunden. Es ist ein Wunder dass das Internet trotzdem noch so gut funktioniert.
Webex ist wie jede kommerzielle Meeting APP eine Spielzeug APP und nichts fuer das Militaer.
Nach kurzer suche hier ein Beitrag der das wohl wiedergeben soll, Meinungsbildung ist jedem selber überlassen, da ich die Seite selber nicht kenne:
https://augengeradeaus.net/2024/03/abgehoertes-taurus-gespraech-ueber-schwachstelle-singapur-vorermittlungen-gegen-luftwaffenoffiziere-mit-audio/comment-page-1/
Seriöses und lesenswertes Militärblog mit fachkundigen Kommentaren (ebenfalls Viele lesenswert), natürlich primärer Fokus auf BW + NATO (sowie, was sie tangiert).
Da hat mal das Adoption & Change Management versagt, wenn es das überhaupt gab/gibt :-D
Hausverstand trainieren, das Personen in einem Online Termin dabei sind die nicht bekannt sind, das da Nachgefragt wird. *kopfschüttel* Da darf dann wohl auch der Dorfelektriker in einer Kaserne bei einem Taurus Webex Call dabei sein :D
Wenn sich die öffentliche Verwaltung und Politik immer wieder und wieder für die dümmst möglichen Lösungn entscheiden, sollte man mal nachdenken, inwiefern dies nicht ein sehr starkes Indiz (=indirekter Beweis) für die Tiefe und Verbreitung von Filz und Korruption in diesen Bereichen ist …
Bezogen auf den Beitrag, wo ist da jetzt "die dümmst möglichen Lösungn"?