- Nachrichtendetail
-
04.03.2024 12:43:27 - dpa-AFX: HINTERGRUND: Wie sicher sind Webex-Videokonferenzen?
BERLIN (dpa-AFX) - Für das politische Berlin war es eine Premiere: Am 22.
April 2020 tagte wegen der Corona-Beschränkungen zum ersten Mal in der
Geschichte des Bundestags ein Ausschuss komplett digital. Dafür hatte die
Bundestagsverwaltung eilig die Videokonferenz-Lösung Webex des
US-Netzwerkspezialisten Cisco beschafft, damit sich die
Mitglieder des Digitalausschusses zumindest virtuell treffen können. Nicht nur
der Bundestag setzt seitdem auf Webex, sondern alle Bundesbehörden,
einschließlich der Bundeswehr. Nun steht sie im Mittelpunkt der Abhöraffäre bei
der Luftwaffe.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte bereits
2019 der Cisco-Lösung mit einem sogenannten C5-Testat den Einsatz im Bund
ermöglicht. Bei dem Anforderungskatalog Cloud Computing (Cloud Computing
Compliance Controls Catalogue, kurz C5) legt das BSI fest, welche Ansprüche
Cloud-Anbieter zur Gewährleistung einer hohen Sicherheit erfüllen sollten.
Trotz der BSI-Bescheinigung war die Kommunikationslösung von Cisco nicht
unumstritten. Hinterfragt wurde aber in der Regel nicht die Sicherheit, die nun
mit dem Abhörskandal der Luftwaffe im Fokus steht. Die Vertraulichkeit schien
durch eine Ende-zu-Ende-Verschlüsselung gewährleistet. Die Kommunikationsinhalte
werden bei diesem Verfahren auf den Endgeräten verschlüsselt und erst wieder auf
den Endgeräten der anderen Teilnehmer entschlüsselt. Auch Cisco kann diese
Inhalte nicht entschlüsseln. Kontrovers wurde vielmehr diskutiert, ob die
Bestimmungen der Europäischen Datenschutz-Grundverordnung (DSGVO) eingehalten
werden, weil beim Webex-Betrieb Daten in die USA übertragen werden könnten.
Im Oktober 2022 wies allerdings die damalige niedersächsische
Landesdatenschutzbeauftragte Barbara Thiel bereits darauf hin, dass
Videokonferenzlösungen nicht nur datenschutzkonform sein müssten, sondern auch
sicher. "Ohne IT-Sicherheit können die Ziele des Datenschutzes nicht erreicht
werden, da IT-Sicherheit einige wesentliche Schutzziele des Datenschutzes
abdeckt."
Wie sicher eine Videokonferenzlösung ist, steht in einem direkten
Zusammenhang mit der Art und Weise, wie sie genutzt wird. So sind Videoschalten
mit Cisco Webex zwar verschlüsselt. Diese Verschlüsselung muss aber auch
aktiviert werden. Außerdem fällt der Schutz weg, wenn Teilnehmer sich nicht über
die Webex-App beteiligen, sondern mit einer normalen Telefonverbindung
einwählen. Bei dem abgehörten Gespräch der Luftwaffen-Offiziere soll sich ein
hochrangiger Soldat aus einem Hotel in Singapur zugeschaltet haben.
Sicherheitsanfällig ist auch der Workflow, mit dem eine Konferenz via Webex
Meetings eingerichtet wird: Nur der sogenannte Gastgeber muss bei dem Dienst
angemeldet sein. Alle weiteren Teilnehmer können sich einfach über einen Link
dazuschalten. Wenn dieser Link beispielsweise in einer unverschlüsselten E-Mail
übertragen wird, stehen Tür und Tor sperrangelweit offen. Allerdings hätte es
Luftwaffen-Inspekteur Ingo Gerhartz und den anderen Teilnehmern auffallen
müssen, dass ein Fremder virtuell mit am Tisch sitzt. Denkbar ist aber auch,
dass gar nicht Webex die Schwachstelle war, sondern klassische Abhörmethoden wie
das Verwanzen des Hotelzimmers dazu geführt haben, dass die brisanten Inhalte in
die Hände der russischen Geheimdienste fielen.
Unter den Bundeseinrichtungen wäre die Bundeswehr eigentlich am ehesten
personell in der Lage, Schwachstellen in der IT-Sicherheit zu erkennen und zu
schließen. Nach einer Antwort der Bundesregierung auf eine parlamentarische
Anfrage der Linken-Abgeordneten Anke Domscheit-Berg verfügt der Bund aktuell
über 4575 IT-Sicherheitsstellen, davon ist jede Dritte im Bereich Verteidigung.
"Der Vorfall zeigt aber auch, dass wir immer noch das Defizit an
IT-Sicherheitskompetenz abbauen müssen. Und zwar auf allen hierarchischen
Ebenen. Und auch nicht bloß bei der Bundeswehr, sondern wirklich in allen
anderen Behörden", sagte Domscheit-Berg der dpa. Man müsse sich der Gefahr
bewusst sein, dass auch auf Informationsebene ein Krieg geführt werde. "Deshalb
muss man nicht nur immerzu von Panzern reden, sondern auch von der
Informationssicherheit."/chd/DP/nas
--- Von Christoph Dernbach, dpa ---
April 2020 tagte wegen der Corona-Beschränkungen zum ersten Mal in der
Geschichte des Bundestags ein Ausschuss komplett digital. Dafür hatte die
Bundestagsverwaltung eilig die Videokonferenz-Lösung Webex des
US-Netzwerkspezialisten Cisco
Mitglieder des Digitalausschusses zumindest virtuell treffen können. Nicht nur
der Bundestag setzt seitdem auf Webex, sondern alle Bundesbehörden,
einschließlich der Bundeswehr. Nun steht sie im Mittelpunkt der Abhöraffäre bei
der Luftwaffe.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte bereits
2019 der Cisco-Lösung mit einem sogenannten C5-Testat den Einsatz im Bund
ermöglicht. Bei dem Anforderungskatalog Cloud Computing (Cloud Computing
Compliance Controls Catalogue, kurz C5) legt das BSI fest, welche Ansprüche
Cloud-Anbieter zur Gewährleistung einer hohen Sicherheit erfüllen sollten.
Trotz der BSI-Bescheinigung war die Kommunikationslösung von Cisco nicht
unumstritten. Hinterfragt wurde aber in der Regel nicht die Sicherheit, die nun
mit dem Abhörskandal der Luftwaffe im Fokus steht. Die Vertraulichkeit schien
durch eine Ende-zu-Ende-Verschlüsselung gewährleistet. Die Kommunikationsinhalte
werden bei diesem Verfahren auf den Endgeräten verschlüsselt und erst wieder auf
den Endgeräten der anderen Teilnehmer entschlüsselt. Auch Cisco kann diese
Inhalte nicht entschlüsseln. Kontrovers wurde vielmehr diskutiert, ob die
Bestimmungen der Europäischen Datenschutz-Grundverordnung (DSGVO) eingehalten
werden, weil beim Webex-Betrieb Daten in die USA übertragen werden könnten.
Im Oktober 2022 wies allerdings die damalige niedersächsische
Landesdatenschutzbeauftragte Barbara Thiel bereits darauf hin, dass
Videokonferenzlösungen nicht nur datenschutzkonform sein müssten, sondern auch
sicher. "Ohne IT-Sicherheit können die Ziele des Datenschutzes nicht erreicht
werden, da IT-Sicherheit einige wesentliche Schutzziele des Datenschutzes
abdeckt."
Wie sicher eine Videokonferenzlösung ist, steht in einem direkten
Zusammenhang mit der Art und Weise, wie sie genutzt wird. So sind Videoschalten
mit Cisco Webex zwar verschlüsselt. Diese Verschlüsselung muss aber auch
aktiviert werden. Außerdem fällt der Schutz weg, wenn Teilnehmer sich nicht über
die Webex-App beteiligen, sondern mit einer normalen Telefonverbindung
einwählen. Bei dem abgehörten Gespräch der Luftwaffen-Offiziere soll sich ein
hochrangiger Soldat aus einem Hotel in Singapur zugeschaltet haben.
Sicherheitsanfällig ist auch der Workflow, mit dem eine Konferenz via Webex
Meetings eingerichtet wird: Nur der sogenannte Gastgeber muss bei dem Dienst
angemeldet sein. Alle weiteren Teilnehmer können sich einfach über einen Link
dazuschalten. Wenn dieser Link beispielsweise in einer unverschlüsselten E-Mail
übertragen wird, stehen Tür und Tor sperrangelweit offen. Allerdings hätte es
Luftwaffen-Inspekteur Ingo Gerhartz und den anderen Teilnehmern auffallen
müssen, dass ein Fremder virtuell mit am Tisch sitzt. Denkbar ist aber auch,
dass gar nicht Webex die Schwachstelle war, sondern klassische Abhörmethoden wie
das Verwanzen des Hotelzimmers dazu geführt haben, dass die brisanten Inhalte in
die Hände der russischen Geheimdienste fielen.
Unter den Bundeseinrichtungen wäre die Bundeswehr eigentlich am ehesten
personell in der Lage, Schwachstellen in der IT-Sicherheit zu erkennen und zu
schließen. Nach einer Antwort der Bundesregierung auf eine parlamentarische
Anfrage der Linken-Abgeordneten Anke Domscheit-Berg verfügt der Bund aktuell
über 4575 IT-Sicherheitsstellen, davon ist jede Dritte im Bereich Verteidigung.
"Der Vorfall zeigt aber auch, dass wir immer noch das Defizit an
IT-Sicherheitskompetenz abbauen müssen. Und zwar auf allen hierarchischen
Ebenen. Und auch nicht bloß bei der Bundeswehr, sondern wirklich in allen
anderen Behörden", sagte Domscheit-Berg der dpa. Man müsse sich der Gefahr
bewusst sein, dass auch auf Informationsebene ein Krieg geführt werde. "Deshalb
muss man nicht nur immerzu von Panzern reden, sondern auch von der
Informationssicherheit."/chd/DP/nas
--- Von Christoph Dernbach, dpa ---
| Name | WKN | Börse | Kurs | Datum/Zeit | Diff. | Diff. % | Geld | Brief | Erster | Schluss | |
|---|---|---|---|---|---|---|---|---|---|---|---|
 |
CISCO SYSTEMS DL-,001 | 878841 | Xetra | 44,005 | 02.05.24 13:12:22 | -0,120 | -0,27% | 43,940 | 44,015 | 43,975 | 44,125 |
