Tausende Links zu Videomeetings der Bundeswehr mit internen Informationen haben monatelang offen im Netz gestanden, bis diese Sicherheitslücke erst am Freitagabend geschlossen werden konnte, berichtet die Wochenzeitung „Die Zeit“.
Das Blatt berichtet über eine Recherche von IT-Experten des Vereins Netzgrünung“, die das Loch entdeckt haben. Demnach haben mehrere Tausend Links zu Videomeetings, die teilweise interne Informationen beinhaltet haben und als vertraulich eingestuft waren, monatelang offen im Netz gestanden.
Konkret geht es um die bundeswehreigene Webex-Instanz, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) 2019 für den Einsatz von Behörden zugelassen hat. Da diese als besonders sicher gilt, wird sie auch für Gespräche mit Geheimhaltungsstufe genutzt. Rund 45.000 Meetings hält die Bundeswehr darüber monatlich ab.
Die Bundeswehr nutzt dabei eine sogenannte On-Premise-Variante von Webex. Das bedeutet, dass die Informationen auf eigenen Servern liegen.
Die „Zeit“ verweist unter Berufung auf die Recherche auf mindestens zwei Schwachstellen des Systems. Zum einen ließen sich Links zu den Meetings der Bundeswehr durch Hoch- oder Runterzählen erraten. Titel, Zeitpunkt und Host der Meetings konnten dadurch offenbar eingesehen werden.
So ermittelten die IT-Experten den Termin für ein Meeting zum Thema „Review Meilensteinplan Taurus und Finalisierung“ am 25. April sowie ein für Ende Mai geplantes Treffen „Digitales Gefechtsfeld“, das zur Verschlusssache („Nur für den Dienstgebrauch“) gehörte.
Außerdem konnte jeder in persönliche Meetingräume der Bundeswehr (Videokonferenzen mit permanenten und jederzeit abrufbaren Links) gelangen, die teilweise nicht einmal durch ein Passwort geschützt waren.
Laut einer offiziellen Mitteilung der Bundeswehr wurden die entdeckten Schwachstellen „unverzüglich geschlossen“, berichtet die Zeitung. Dabei sei versichert worden, dass Unbefugte durch diese Schwachstellen nur auf Metadaten, nicht aber auf Gesprächsinhalte hätten zugreifen können.
In diesem Zusammenhang erinnert die „Berliner Zeitung“ auf den Abhörskandal im März: „In Russland wurde der Mitschnitt einer Schaltkonferenz von Luftwaffen-Offizieren zu einer möglichen Lieferung von Taurus-Marschflugkörpern an die Ukraine veröffentlicht. Für das 38-minütige Gespräch hatten sich Luftwaffen-Inspekteur Ingo Gerhartz und drei weitere hochrangige deutsche Offiziere über die Plattform Webex zusammengeschaltet. Gerhartz und ein weiterer Teilnehmer hatten sich dabei über eine unsichere Verbindung eingewählt, was die Abhöraktion womöglich erst ermöglichte.“
