Als Russland im März ein abgehörtes Gespräch hochrangiger Bundeswehroffiziere über den Taurus-Marschflugkörper veröffentlicht, wundert sich eine kleine Gruppe an Programmierern über die Soundqualität. Während Deutschland darüber diskutiert, wie der Mitschnitt in russische Hände geraten konnte, was er für die Sicherheit des Landes bedeutet und wie die Bundesregierung jetzt reagieren sollte, grübeln die IT-Experten nur über den viel zu guten Ton der Aufnahme.
Viel zu deutlich, so dachten sie, seien die Worte der Generäle zu verstehen. Eine Abzweigung des Funks oder gar eine Wanze im Hotelzimmer könne kaum solche Ergebnisse liefern. Jemand musste direkten Zugang zur Software haben, so die Idee. Die Programmierer vom Verein Netzbegrünung – ein Zusammenschluss von Netz-Aktivistinnen und Aktivisten aus dem Umfeld der Grünen – fangen unter diesem Eindruck an, im Code der vom Leak betroffenen Cisco-WebEx-Konferenzlösung herum zu graben.
Auch sie können zwar nicht die exakte Lücke identifizieren, über die Russlands Spione in der geheimen Besprechung mithörten. Doch die Schwachstelle, auf die die IT-Spezialisten stattdessen im WebEx-System der Bundeswehr stoßen, sorgt keine zwei Monate nach dem Taurus-Leak erneut für Hektik im Verteidigungsministerium in Berlin.
Anfang Mai veröffentlicht die „Zeit“ erstmals den Befund: Eine Sicherheitslücke in der Konfiguration der vom Ministerium eingesetzten WebEx-Version erlaubte es Außenstehenden offenbar über Wochen, Tausende von internen Meeting-Links, Nutzernamen und Terminen einzusehen. In der Standardkonfiguration vergebe die Konferenz-Software, betont Hersteller Cisco gegenüber der WirtschaftsWoche, für Onlinebesprechungen zufällig gewählte neun- bis elfstellige Ziffernfolgen. Einen Zugriff durch Dritte soll das verhindern. Bei den Checks der Experten von Netzbegrünung hingegen zeigt sich, dass die Bundeswehr selbst für die Bezeichnung geheimer Konferenzräume nur aufeinander folgende Zahlenfolge nutzt.
Statt Hackerkunst bloß Mathe auf Grundschulniveau
Für Externe ist es damit ein Leichtes, ohne jeglichen Aufwand und technische Hacks die internen Konferenzen zu identifizieren. Alles, was man dafür braucht, ist Mathematik auf Grundschulniveau. Am Ende gelingt es sogar, die privaten – zum Glück wohl ungenutzten – Meetingräume höchster Mitarbeiter des Ministeriums zu identifizieren. Auch diese sind, betont Cisco auf Nachfrage der WirtschaftsWoche, im Normalfall gegen unbefugtes Mithören gesichert. Wer die Bezeichnung eines persönlichen Besprechungsraumes kenne, gelange in der Regel nur in eine Art Wartebereich und müsse vom Gastgeber noch für die Teilnahme am Gespräch zugelassen werden.
Allerdings sei die von der Bundeswehr genutzte Programmversion – Fachleute sprechen von einer „On-Premise-Lösung“, also einer Software-Variante, bei der die Bundeswehr die Anwendung auf eigenen IT-Systemen selbst betreibt – „in hohem Maße konfigurierbar“, betonen Experten für Konferenzsysteme gegenüber der WirtschaftsWoche. Das bedeutet: Sollte die Bundeswehr-IT das System falsch aufgesetzt haben, stünden Kenner des Systems schnell und ohne Probleme „im Grunde direkt vor dem Schreibtisch des Generals“.
Die Veröffentlichung ihres Berichts sorgt vielleicht auch deshalb für eilige Reaktionen im Bendlerblock. Die BWI, der IT-Dienstleister der Bundeswehr, trennt in der ersten Maiwoche die externe Internet-Verbindung der Software. Beschäftigte im Ministerium bekommen hastige Hinweis-E-Mails, dass Meetings mit Externen nun nicht mehr möglich seien. Im Hintergrund läuft bereits die Fehlersuche. Klar scheint nur: Einen einfachen Hotfix für die Sicherheitslücke gibt es offenbar nicht.
Bis auf Weiteres: Gesperrt!
Das Ministerium prüfe weitere Kommunikationslösungen, teilt ein Sprecher des Bundeswehrkommandos Cyber- und Informationsraum mit. WebEx aber bleibe für die externe und gesicherte Kommunikation bis zur „Etablierung weiterer Schutzmechanismen gesperrt“. Auch sei man im Austausch mit dem Hersteller.
Genau gegen den wiederum erheben auch die IT-Experten der Netzbegrünung schwere Vorwürfe. Kritisch sei, dass die betroffene On-Premise-Lösung von WebEx oft von Institutionen eingesetzt würde, die für sich einen erhöhten Sicherheitsbedarf sehen. „Dies sollte Cisco, dem Hersteller der Software, bekannt sein“, schreiben die IT-Experten. „Dennoch ist das Produkt offensichtlich so gestaltet, dass die Nutzer:innen entweder sehr leicht und ohne Verständnis der Konsequenzen falsche Einstellungen auswählen können, oder sogar von vornherein gefährliche Einstellungen ausgewählt sind.“ Cisco hingegen betont, die empfohlenen Standardeinstellungen würden durchaus starke Sicherheit für WebEx-Meetings bieten.
Laut Beteiligten könnte es dabei noch mehr Betroffene geben als das Verteidigungsministerium. Jeder Nutzer, der WebEx nicht über die Cloud, sondern – fehlerhaft konfiguriert – auf den eigenen Servern laufen lässt, könnte seine internen Meetings bald im Netz wiederfinden. Aus Industriekreisen heißt es, dass bisher keine weiteren Problemfälle bekannt sind. Auszuschließen sei, Stand heute, aber gar nichts.
Andere Bundesministerien sowie der Bundestag teilten derweil auf Anfrage der WirtschaftsWoche mit, mit einer anderen Version von WebEx zu arbeiten. Sie seien deshalb nicht betroffen. „Eine kurzfristige Abschaltung von WebEx ist – auch im Bereich von Ausschusssitzungen – derzeit nicht geplant“, schreibt etwa die Bundestagsverwaltung. Dass die jüngste Lücke ausgerechnet das Haus von Verteidigungsminister Boris Pistorius treffe, in dem es besonders sicher zugehen sollte? Bitter.
Cisco bleibt schmallippig
Auf die konkreten Probleme der Bundeswehr angesprochen, gibt man sich bei Cisco gegenüber der WirtschaftsWoche schmallippig. Auskünfte zu Kunden und deren Installationen gebe das Unternehmen prinzipiell nicht, heißt es dort. Auch nicht, welche Folgen die jüngsten Enthüllungen für die Kommunikationssicherheit anderer Kunden aus Wirtschaft und Verwaltung habe.
Grundsätzlich aber betont Cisco in einer schriftlichen Antwort das hohe Sicherheitsniveau seiner Software: In der Standardkonfiguration seien „WebEx-Meetings nicht von außen auffindbar und durch Zufallskennungen geschützt“, sagt ein Sprecher. Die Verantwortung für einen sicheren Betrieb auch bei der Bundeswehr, soll das wohl heißen, liege beim Kunden.
Lesen Sie auch: Die Ukraine bekommt zu wenige deutsche Panzer? Stimmt nicht (mehr)!
