Webex-Konferenzen der Bundeswehr waren über Monate einsehbar
Bei der Webex-Instanz der Bundeswehr gab es eine Sicherheitslücke, die nach Angaben der Cybertruppe CIR geschlossen ist. Der Vorfall ist ernst.
Die Nutzung von Webex bei der Bundeswehr dürfte nun auch erneut den militärischen Abschirmdienst MAD beschäftigen.
(Bild: dpa, Oliver Berg/dpa)
Über Monaten waren die Termine, Teilnehmer und Themen von Konferenzen der Bundeswehr, die über das Cisco-System Webex geplant wurden, offen im Internet einsehbar. Dies berichtet Zeit Online, das den Fall zusammen mit dem Verein Netzbegrünung recherchiert hat.
Wie ein Sprecher der Truppe für den Cyber- und Informationsraum auf Anfrage der dpa am Samstag bestätigte, habe es es im Verlauf der Woche eine "Schwachstelle" gegeben, die aber innerhalb von 24 Stunden beseitigt worden sei. Zuvor seien Meta-Daten wie Zeiten und Teilnehmer über die Kommunikationsplattform Webex einsehbar gewesen. Man habe sich aber nicht einwählen und auch keine vertraulichen Inhalte abgreifen können.
Das liest sich im Agenturbericht zwar recht harmlos, ist es aber nach Darstellung der Zeit nicht. Denn die Lücke soll seit Monaten bestanden haben, zudem seien die Meetings fortlaufend nummeriert gewesen – die entsprechenden URLs ließen sich also offenbar erraten. Über 6000 Termine waren abrufbar. Zudem stellten allein schon die Themen einer Konferenz vertrauliche Informationen der Truppe dar, die öffentlich einsehbar waren und damit ein gefundenes Fressen für Spione.
Themen und Meetingräume offen im Netz
So gab es laut Zeit für den 25. April ein Meeting mit dem Betreff "Review Meilensteinplan Taurus und Finalisierung" sowie weitere Konferenzen, die auch in der Geheimhaltungsstufe "Verschlusssache – nur für den Dienstgebrauch" (VS-NfD) eingestuft waren. Die ist, so Bundesverteidungminister Boris Pistorius im März 2023, auch für Webex-Gespräche zulässig. Höhere Einstufungen wie "Geheim" dürfen per Webex nicht genutzt werden.
Die Termine ließen sich bis Anfang November 2023 nachverfolgen. Auch die festen Meetingräume mancher Offiziere waren einsehbar, etwa der des Inspekteurs der Luftwaffe, Generalleutnant Ingo Gerhartz. Er war einer der Teilnehmer des durch russische Akteure im März geleakten Webex-Gesprächs über die Einsatzmöglichkeiten des Marschflugkörpers Taurus in der Ukraine. Wie Netzbegrünung erklärt, ließen sich durch Kennungen wie Vorname.Nachname auch "vollständige oder nahezu vollständige E-Maildatensätze" potenziell erstellen. Mehr noch: Die Zeit konnte den Meetingraum von Gerhartz nach eigener Darstellung auch betreten.
Diese offenbar sorglose Nutzung von Webex durch die Bundeswehr wirft auch neue Fragen auf, welche die Verantwortlichen nach dem Taurus-Leak schnell abräumen wollten. So betonte Pistorius damals, dass die Truppe ein "Webex for Bundeswehr" einsetze, das auf eigenen Systemen betrieben werde. Wenn diese in eigenen Netzen betriebenen Rechner aber öffentlich einsehbare Webseiten ausspucken, nutzt das alles nichts.
(nie)
