Bundeswehr-Abhörskandal Wie sicher sind Webex-Konferenzen?
Die abgehörten Bundeswehroffiziere nutzten bei ihrer Konferenz den Cloud-Dienst Webex. Wie sicher ist das System? Welche Hintertüren gibt es? Oder könnte es sich um individuelles Fehlverhalten handeln?
Für das politische Berlin war es eine Premiere: Am 22. April 2020 tagte wegen der Corona-Beschränkungen zum ersten Mal in der Geschichte des Bundestags ein Ausschuss komplett digital. Dafür hatte die Bundestagsverwaltung eilig die Videokonferenz-Lösung Webex des US-Netzwerkspezialisten Cisco beschafft, damit sich die Mitglieder des Digitalausschusses zumindest virtuell treffen können.
Nicht nur der Bundestag setzt seitdem auf Webex, sondern alle Bundesbehörden, einschließlich der Bundeswehr. Nun steht sie im Mittelpunkt der Abhöraffäre bei der Luftwaffe.
BSI bescheinigt Webex ausreichende Sicherheit
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte bereits 2019 der Cisco-Lösung den Einsatz im Bund ermöglicht. Bei dem Anforderungskatalog "Cloud Computing" legt das BSI fest, welche Ansprüche Cloud-Anbieter zur Gewährleistung einer hohen Sicherheit erfüllen sollten.
Trotz der BSI-Bescheinigung war die Kommunikationslösung von Cisco nicht unumstritten. Hinterfragt wurde aber in der Regel nicht die Sicherheit, die nun mit dem Abhörskandal der Luftwaffe im Fokus steht. Die Vertraulichkeit schien durch eine Ende-zu-Ende-Verschlüsselung gewährleistet. Die Kommunikationsinhalte werden bei diesem Verfahren auf den Endgeräten verschlüsselt und erst wieder auf den Endgeräten der anderen Teilnehmer entschlüsselt. Auch Cisco kann diese Inhalte nicht entschlüsseln.
Kontrovers wurde vielmehr diskutiert, ob die Bestimmungen der Europäischen Datenschutz-Grundverordnung (DSGVO) eingehalten werden, weil beim Webex-Betrieb Daten in die USA übertragen werden könnten.
Mehrere mögliche Einfallstore
Wie sicher eine Videokonferenzlösung ist, steht in einem direkten Zusammenhang mit der Art und Weise, wie sie genutzt wird. So sind Videoschalten mit Cisco Webex zwar verschlüsselt, diese Verschlüsselung muss aber auch aktiviert werden. Außerdem fällt der Schutz weg, wenn Teilnehmende sich nicht über die Webex-App beteiligen, sondern mit einer normalen Telefonverbindung einwählen. Bei dem abgehörten Gespräch der Luftwaffenoffiziere soll sich ein hochrangiger Soldat aus einem Hotel in Singapur zugeschaltet haben.
Sicherheitsanfällig ist auch der Workflow, mit dem eine Konferenz via Webex Meetings eingerichtet wird: Nur der sogenannte Gastgeber muss bei dem Dienst angemeldet sein. Alle weiteren Teilnehmer können sich einfach über einen Link zuschalten. Wenn dieser Link beispielsweise in einer unverschlüsselten E-Mail übertragen wird, stehen Tür und Tor sperrangelweit offen. Allerdings hätte es Luftwaffen-Inspekteur Ingo Gerhartz und den anderen Teilnehmern auffallen müssen, dass ein Fremder virtuell mit am Tisch sitzt.
Auch Verwanzung des Hotelzimmers denkbar
Denkbar ist aber auch, dass gar nicht Webex die Schwachstelle war, sondern klassische Abhörmethoden wie das Verwanzen des Hotelzimmers dazu geführt haben, dass die brisanten Inhalte in die Hände der russischen Geheimdienste fielen. Unter den Bundeseinrichtungen wäre die Bundeswehr eigentlich am ehesten personell in der Lage, Schwachstellen in der IT-Sicherheit zu erkennen und zu schließen: Nach einer Antwort der Bundesregierung auf eine parlamentarische Anfrage der Linken-Abgeordneten Anke Domscheit-Berg verfügt der Bund aktuell über 4575 IT-Sicherheitsstellen, davon ist jede dritte im Bereich Verteidigung.
"Der Vorfall zeigt aber auch, dass wir immer noch das Defizit an IT-Sicherheitskompetenz abbauen müssen. Und zwar auf allen hierarchischen Ebenen. Und auch nicht bloß bei der Bundeswehr, sondern wirklich in allen anderen Behörden", sagte Domscheit-Berg der Nachrichtenagentur dpa. Man müsse sich der Gefahr bewusst sein, dass auch auf Informationsebene ein Krieg geführt werde. "Deshalb muss man nicht nur immerzu von Panzern reden, sondern auch von der Informationssicherheit."
Quelle: dpa