{"id":295890,"date":"2024-06-06T01:43:43","date_gmt":"2024-06-05T23:43:43","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=295890"},"modified":"2024-06-16T08:07:56","modified_gmt":"2024-06-16T06:07:56","slug":"webex-gau-potentiell-hundertausende-meetings-in-ministerien-ffentlich-zugnglich","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/06\/06\/webex-gau-potentiell-hundertausende-meetings-in-ministerien-ffentlich-zugnglich\/","title":{"rendered":"Webex-GAU: Potentiell Hundertausende Meetings in Ministerien öffentlich zugänglich"},"content":{"rendered":"

\"Sicherheit[English]L\u00f6chrig wie ein Schweizer K\u00e4se, das ist die Umschreibung der Kommunikationssoftware Webex von Cisco. Recherchen der Zeit ergaben, dass die Software mehr Schwachstellen aufweist als der Entwickler Cisco \u00f6ffentlich best\u00e4tigt hat. Laut Zeit-Recherche von Eva Wolfangel fand man \"Tausende Videokonferenzen von Ministerien\" \u2013 und w\u00e4hlte sich in einige dieser Meeting-R\u00e4ume ein. Damit weitet sich das Thema, welches ich hier im Blog schon mal im Rahmen der Bundeswehr Taurus-Abh\u00f6raff\u00e4re angerissen hatte, deutlich aus und entwickelt sich zum GAU f\u00fcr deutsche Beh\u00f6rden.<\/p>\n

<\/p>\n

Was ist Webex?<\/h2>\n

\"\"Webex<\/a> ist der Name einer Software f\u00fcr Web- und Videokonferenzen, die vom US-Unternehmen Cisco vertrieben wird. Die Software ist bei vielen Beh\u00f6rden, Ministerien und auch Firmen im Einsatz. Cisco Webex<\/a> sieht sich aktuell als die f\u00fchrende Unternehmensl\u00f6sung f\u00fcr Video- und Webkonferenzen. Beworben wird eine sichere softwarebasierte Plattform f\u00fcr Video- und Audiokonferenzen, Gruppennachrichten und Webinare. Die Teilnahme an Konferenzen (Meetings) kann \u00fcber alle Browser, Ger\u00e4te und Systeme erfolgen, indem die Teilnehmer einfach einen Anruf annehmen.<\/p>\n

R\u00fcckblick auf den Webex-Flop<\/h2>\n

Mir ist Webex in der Vergangenheit aber h\u00e4ufiger durch seine Sicherheitsl\u00fccken aufgefallen, egal was der Hersteller in Bezug auf \"sichere softwarebasierte Plattform\" faselt. In diesem Artikel<\/a> hatte netzbegr\u00fcnung darauf hingewiesen, dass die Verwendung von Closed-Source Konferenzsoftware wie Webex durch Beh\u00f6rden und die Bundeswehr problematisch sei. Keiner kennt den Code und dass die Konferenzen \u00fcber Server von US-Anbietern laufen, ist m\u00f6glicherweise auch ein Problem \u2013 speziell, wenn es um Angelegenheiten der Bundeswehr oder in Ministerien geht.<\/p>\n

Netzbegr\u00fcnung war dann darauf gesto\u00dfen, dass beim Konferenzsystem Webex by Cisco das Problem besteht, dass f\u00fcr die Meeting-Instanzen Zuordnungsnummern in aufsteigender numerischer Reihenfolge vergeben werden. Mit Kenntnis der Zuordnungsnummer einer halbwegs aktuellen Webex-Konferenz lassen sich so die Zuordnungsnummern weiterer Konferenzen erraten.<\/p>\n

Auf diesem Weg werden Informationen \u00fcber noch anstehende oder bereits abgelaufene Meetings offen gelegt. netzbegr\u00fcnung schreibt hier<\/a>, dass der Titel des Meetings, der Name der Person die das Meeting erstellt hat, die Telefoneinwahldaten, Uhrzeiten des Meetings und gegebenenfalls weitere Informationen \u00f6ffentlich abrufbar seien \u2013 sofern dies von den Nutzenden nicht anders eingestellt wurde.<\/p>\n

Das wirft m\u00f6glicherweise ein neues Licht ein abgeh\u00f6rtes Gespr\u00e4ch von Bundeswehrangeh\u00f6rigen \u00fcber Einsatzm\u00f6glichkeiten des Waffensystems Taurus Schlagzeilen (siehe Sicherheitsmeldungen 1. M\u00e4rz-Woche 2024: AEE Europe, Bad Schwalbach, Hochschule Kempten und mehr<\/a>). Unklar war, wie der Gespr\u00e4chsmitschnitt, der von Russland ver\u00f6ffentlicht wurde, mitgeh\u00f6rt und aufgezeichnet werden konnte. Mit den obigen Kenntnissen ist es denkbar, dass die russischen \u00dcberwacher durch ein simples Manipulieren der WebEx-Meeting-Zugangsnummern an den Konferenzen teilnahmen und diese mitschnitten. Ich hatte den Sachverhalt im Beitrag WebEx, die Schwachstelle und die Konferenzlinks der Bundeswehr<\/a> aufgegriffen. Das Bundesverteidigungsministerium und Cisco negieren aber einen Zusammenhang des Taurus-Gespr\u00e4chsmittschnitts mit der hier im Beitrag angesprochenen Sicherheitsl\u00fccke, was von der Zeit aber angezweifelt wird.<\/p>\n

Hunderttausende Meetings betroffen<\/h2>\n

Zeit Online hat dann weiter recherchiert und stellte fest, dass Hunderttausende WebEx-Meetings von Beh\u00f6rden und Unternehmen in Deutschland, den Niederlanden, Italien, \u00d6sterreich, Frankreich, Schweiz, Irland und D\u00e4nemark potenziell \u00f6ffentlich zug\u00e4nglich gewesen sein d\u00fcrften. Es wurde wohl der gleiche Mechanismus wie oben beschrieben verwendet, um die Meetings zu identifizieren und sich stichprobenartig dort einzuw\u00e4hlen.<\/p>\n

\"Webex<\/a><\/p>\n

Zeit Online hat die Ergebnisse der Recherchen im Artikel \"Webex: Mith\u00f6ren, wenn Beamte sprechen\" (leider hinter einer Paywall) ver\u00f6ffentlicht und beschreibt, wie man sich in die sogenannten \"Daily\"-Meetings des Bundesamts f\u00fcr Migration und Fl\u00fcchtlinge (BAMF) sowie in ein Meeting bei der Barmer-Krankenkasse einw\u00e4hlen konnte. Die Teilnahme war \u00fcber einen Link mit Zuordnungsnummer m\u00f6glich und erforderte kein Passwort.<\/p>\n

Nachdem Eva Wolfangel den Anbieter Cisco informierte hatte, schloss Cisco die Schwachstelle Ende Mai 2024. Eine Ausnutzung dieser Schwachstelle ist, abseits der Zeit-Recherche, bisher unbekannt, schreibt heise in diesem Artikel<\/a>, der die Erkenntnisse aus dem Zeit Online-Beitrag aufbereitet.<\/p>\n

BMI wiegelt ab, wird die Debatte gef\u00fchrt?<\/h2>\n

Weiter oben im Text hatte ich auf den Artikel von netzbegr\u00fcnung hingewiesen, die feststellten, dass die Verwendung von Closed-Source Konferenzsoftware wie Webex durch Beh\u00f6rden und die Bundeswehr problematisch sei. Eigentlich geh\u00f6rt Webex l\u00e4ngt aus Ministerien und Beh\u00f6rden verbannt, da die Interna der Software im Dunkeln bleiben.<\/p>\n

Interessant ist, was das Bundesinnenministeriums (BMI) in einer Stellungnahme verlauten l\u00e4sst. heise zitiert in seiner Zusammenfassung aus der Stellungnahme des Bundesinnenministeriums (BMI), welches weiterhin von einer \"angeblichen Sicherheitsl\u00fccke\" spricht. Das Ministerium weist darauf hin, dass \"Schwachstellen in Software-Produkten allein noch keine Grundlage f\u00fcr eine grunds\u00e4tzliche Aussage \u00fcber das IT-Sicherheitsniveau eines Produktes\" b\u00f6ten. Der Einzelfall und die Rahmenbedingungen m\u00fcssten betrachtet werden und seien f\u00fcr die Beurteilung ma\u00dfgeblich. Dem BMI ist ja auch das BSI (Bundesamt f\u00fcr Sicherheit in der Informationstechnik) unterstellt – und die m\u00fcssen es ja wissen, machen die doch etwas mit Cyber.<\/p>\n

Von den Bundestage-Abgeordneten Misbah Khan und Konstantin von Notz (B\u00fcndnis 90\/Die Gr\u00fcnen) fordern aber jetzt ein Umdenken sowie eine \"Generalrevision unserer Telekommunikationsinfrastrukturen hinsichtlich ihrer Integrit\u00e4t\". \"Neben mehreren Bundesministerien und -beh\u00f6rden, dem Bundestag, Fraktionen und Staatskanzleien sind offenbar [von obigem Sachverhalt] auch mehrere gro\u00dfe Unternehmen und das BSI selbst betroffen\". Da aber die Zust\u00e4ndigkeiten beim Bundesinnenministeriums (BMI) liegen und ich oben dessen Stellungnahme angesprochen habe, wird sich da schlicht nichts bewegen.<\/p>\n

Erg\u00e4nzung: Es gibt einige Diskussionen in nachfolgenden Kommentaren mit dem Tenor \"mit WebEx online w\u00e4re das nicht passiert\" – hatte ich was zu geantwortet. Der Vorfall hat jedenfalls zu Verstimmungen in der niederl\u00e4ndischen Regierung gef\u00fchrt (siehe\u00a0WebEx-Gate: Vers\u00e4umnisse der Verantwortlichen, Blamage f\u00fcr Deutschland \u2013 und CDU-Hack<\/a>).<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSicherheitsmeldungen 1. M\u00e4rz-Woche 2024: AEE Europe, Bad Schwalbach, Hochschule Kempten und mehr<\/a>
\nWebEx, die Schwachstelle und die Konferenzlinks der Bundeswehr<\/a>
\nFreie Universit\u00e4t (FU) Berlin und das WebEx-Problem: Einsatz ist unzul\u00e4ssig<\/a>
\nCisco Webex: Schwachstelle erlaubte mith\u00f6ren durch 'Geister-Teilnehmer'<\/a>
\nNeue Schwachstelle (CVE-2019-1674) in Cisco WebEx Meetings<\/a>
\nPrivileg Escalation-Schwachstelle in Cisco WebEx Meetings<\/a><\/p>\n

Cyberspionage: CDU betreibt veralteten Nextcloud-Server; Offener Jitsi-Server der Gr\u00fcnen<\/a>
\nCyberspionage: CDUCDU erneut gerettet \u2013 deren NextCloud-Server ist wieder online<\/a>
\nR\u00fcckblick: Cybervorf\u00e4lle der letzten Tage (6. Mai 2024)<\/a>
\nCyberangriff auf das CDU-Netzwerk<\/a>
\nDigitalkompetenz und Cybersecurity: Neues vom CDU-Hack & n\u00e4chstes CDU-Datenleck<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]L\u00f6chrig wie ein Schweizer K\u00e4se, das ist die Umschreibung der Kommunikationssoftware Webex von Cisco. Recherchen der Zeit ergaben, dass die Software mehr Schwachstellen aufweist als der Entwickler Cisco \u00f6ffentlich best\u00e4tigt hat. Laut Zeit-Recherche von Eva Wolfangel fand man \"Tausende Videokonferenzen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-295890","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295890","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=295890"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/295890\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=295890"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=295890"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=295890"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}