![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Bei der Konferenzsoftware WebEx gibt es eine Schwachstelle, die es Unbefugten erm\u00f6glicht, die Links von Konferenzen aus einem bekannten Link zu ermitteln. Ein weiterer Fehler f\u00fchrte dazu, dass bei der Bundeswehr Termine, Teilnehmer und Themen von WebEx-Konferenzen offen im Internet einsehbar waren. Das haben Recherchen von Netzbegr\u00fcnung und Zeit Online ergeben.<\/p>\n
<\/p>\n
Von netzbegr\u00fcnung wurde beim Konferenzsystem WebEx von Cisco ein Problem festgestellt. F\u00fcr die Instanzen eines Meetings vergibt WebEx Zuordnungsnummern in aufsteigender numerischer Reihenfolge. Mit Kenntnis der Zuordnungsnummer einer halbwegs aktuellen WebEx-Konferenz lassen sich aber die Zuordnungsnummern weiterer Konferenzen erraten.<\/p>\n Mit Kenntnis eines \u00f6ffentlich dokumentierten, aktuellen Meetings, oder den Zugangsdaten eines pers\u00f6nlichen Meetingraums, lie\u00dfen sich weitere Nummern ausprobieren. Dann werden die Informationen \u00fcber noch anstehende oder bereits abgelaufene Meetings offen gelegt. netzbegr\u00fcnung schreibt hier<\/a>, dass der Titel des Meetings, der Name der Person die das Meeting erstellt hat, die Telefoneinwahldaten, Uhrzeiten des Meetings und gegebenenfalls weitere Informationen \u00f6ffentlich abrufbar seien \u2013 sofern dies von den Nutzenden nicht anders eingestellt wurde. <\/p>\n K\u00fcrzlich machte ein abgeh\u00f6rtes Gespr\u00e4ch von Bundeswehrangeh\u00f6rigen \u00fcber Einsatzm\u00f6glichkeiten des Waffensystems Taurus Schlagzeilen (siehe Sicherheitsmeldungen 1. M\u00e4rz-Woche 2024: AEE Europe, Bad Schwalbach, Hochschule Kempten und mehr<\/a>). Unklar war, wie der Gespr\u00e4chsmitschnitt, der von Russland ver\u00f6ffentlicht wurde, mitgeh\u00f6rt und aufgezeichnet werden konnte. Nun taucht die Frage auf, ob nicht ein simples Raten der WebEx-Meeting-Zugangsnummern das Betreten solcher Konferenzen erm\u00f6glicht.<\/p>\n Denn Zeit Online hat aufgedeckt, dass es bei der Bundeswehr eine weitere IT-Panne gab. Seit Monaten waren Termine, Teilnehmer und Themen von WebEx-Konferenzen der Bundeswehr offen im Internet einsehbar. Der Zeit-Online-Artikel findet sich hinter einer Paywall, aber heise hat die Kernpunkte in diesem Beitrag<\/a> herausgezogen. Auch Focus Online berichtet hier<\/a> \u00fcber diesen Fall.<\/p>\n heise schreibt, dass ein Sprecher f\u00fcr den Cyber- und Informationsraum der Bundeswehr auf Anfrage der dpa eine Schwachstelle best\u00e4tigte habe. Die Schwachstelle sei innerhalb von 24 Stunden beseitigt worden. Zuvor seien Meta-Daten wie Zeiten und Teilnehmer \u00fcber die Kommunikationsplattform WebEx einsehbar gewesen. Man habe sich aber nicht einw\u00e4hlen und auch keine vertraulichen Inhalte abgreifen k\u00f6nnen, hie\u00df es in der Stellungnahme.<\/p>\n Bei Zeit Online liest sich das im Beitrag \"Bundeswehr: Jeder konnte sie finden\" das etwas anders. Recherchen von Eva Wolfangel ergaben, dass mehrere Tausend Links zu Videomeetings der Bundeswehr mit internen Informationen offen im Internet abrufbar waren. Darunter befanden sich viele als vertraulich eingestufte Treffen im Bundeswehrumfeld. Wer wann zu einem Videocall einlud, lie\u00df sich so \u00fcber Monate \u00f6ffentlich einsehen.<\/p>\n Auch vergangene Meetings wurden offenbar nicht gel\u00f6scht. Die Bundeswehr, die erst durch Nachfragen f\u00fcr den Zeit-Artikel auf die Sicherheitsl\u00fccke aufmerksam wurde, hat ihr Videokonferenzsystem inzwischen vom Internet getrennt. Ob aufgrund der aktuellen L\u00fccke vertrauliche Informationen an Unbefugte abgeflossen sind, konnte die Bundeswehr nicht ausschlie\u00dfen, hei\u00dft es bei Zeit Online. <\/p>\n heise schreibt, dass die Termine sich bis Anfang November 2023 nachverfolgen lie\u00dfen. Weiterhin wird ausgef\u00fchrt, dass die festen Meetingr\u00e4ume mancher Offiziere, etwa der des Inspekteurs der Luftwaffe, Generalleutnant Ingo Gerhartz (der bei der Taurus-Aff\u00e4re abgeh\u00f6rt worden war) einsehbar waren. Bei heise hei\u00dft es, dass Reporter der Zeit den Meetingraum von Gerhartz nach eigener Darstellung auch betreten konnte. <\/p>\n Hier im Blog gab es ja hei\u00dfe Diskussionen \u2013 auch zu Corona-Zeiten \u2013 in denen ich Konferenzl\u00f6sungen wie Skype, Zoom, WebEx (dort in Schulen) wegen der sich ergebenden Abh\u00e4ngigkeiten und DSGVO-Kalamit\u00e4ten bem\u00e4ngelte. Es h\u00e4tte im Schulbereich und in der Verwaltung auch die M\u00f6glichkeit zur Verwendung von On-Premises-L\u00f6sungen auf Open Source gegeben. Argumentation mancher Blog-Leser war: Das selbst gehostete Zeugs und Open Source l\u00e4uft nicht, lieber auf die etablierten Systeme setzen. Aber nun stellt sich heraus, dass zumindest die Bundeswehr das auch nicht beherrscht(e).<\/p>\n Die Tage gab es dann politische Emp\u00f6rung, weil die SPD mutma\u00dflich von staatsnahen russischen Hackern attackiert und deren E-Mail-System geknackt wurde. Verwendet wurde eine Software von Microsoft, und eine Schwachstelle in Outlook erm\u00f6glichte<\/a> wohl das Eindringen. Auch die k\u00f6nnen es nicht, aber die Emp\u00f6rung der Politik war dann gro\u00df. Hat etwas von \"Brot und Spiel\" f\u00fcr das wackere Wahlvolk an sich, und manche Protagonisten merken nicht einmal wie l\u00e4cherlich sie sich mit ihren Statements machen. Die Kollegen von heise haben das sehr sch\u00f6n im Artikel Kommentar zur Debatte \u00fcber IT-Sicherheit: \"Die Emp\u00f6rten sind nackt\u200b\"<\/a> aufgespie\u00dft.<\/p>\n","protected":false},"excerpt":{"rendered":" Bei der Konferenzsoftware WebEx gibt es eine Schwachstelle, die es Unbefugten erm\u00f6glicht, die Links von Konferenzen aus einem bekannten Link zu ermitteln. Ein weiterer Fehler f\u00fchrte dazu, dass bei der Bundeswehr Termine, Teilnehmer und Themen von WebEx-Konferenzen offen im Internet … Weiterlesen Bereits in diesem Artikel<\/a> hatte netzbegr\u00fcnung darauf hingewiesen, dass die Verwendung von Closed-Source Konferenzsoftware wie WebEx durch Beh\u00f6rden und die Bundeswehr problematisch sei. Keiner kennt den Code und dass die Konferenzen \u00fcber Server von US-Anbietern laufen, ist m\u00f6glicherweise auch ein Problem \u2013 speziell, wenn es um Angelegenheiten der Bundeswehr handelt. Dort wird f\u00fcr Open Source und On-Premises-L\u00f6sungen geworben.<\/p>\n
Fail bei der Bundeswehr<\/h2>\n
Wir k\u00f6nnen es einfach nicht<\/h2>\n<\/p>\n