Massive Datenpanne: Tausende Online-Meetings der Bundeswehr öffentlich zugänglich

Mit einem „individuellen Anwendungsfehler“ erklärte Bundesverteidigungsminister Boris Pistorius den Umstand, dass russische Nachrichtendienste im Februar ein heikles Gespräch zwischen vier hochrangigen Bundeswehroffizieren abhören konnten. Russische Medien veröffentlichten dessen Inhalt am 1. März. Das Gespräch war über das Cisco-System Webex geführt worden. Man habe eine für den Dienstgebrauch zertifizierte Variante des Dienstes verwendet.

Es wurde unter anderem über die Zerstörung der Brücke bei Kertsch und über den Schulungsbedarf ukrainischer Soldaten in der Bedienung von Taurus-Marschflugkörpern gesprochen. Ein Teilnehmer habe sich damals von Singapur aus über eine „nicht sichere Datenleitung“ in die Konferenz eingewählt. Dies habe den russischen Überraschungscoup ermöglicht.

Liste geplanter Webex-Konferenzen monatelang der Öffentlichkeit zugänglich

Nun berichtet die „Zeit“ jedoch über eine weitere Panne der Bundeswehr im Umgang mit dem Kommunikationsdienst Webex. Im Zuge einer gemeinsamen Recherche mit „Netzbegrünung“, dem „Verein für grüne Netzkultur“, ist man auf eine weitere brisante Tatsache gestoßen. So sollen Termine, Teilnehmer und Themen von Bundeswehrkonferenzen, die über Webex stattfanden, offen im Netz auffindbar gewesen sein.

Ein Einwählen oder Abgreifen sensibler Informationen sei nicht möglich gewesen, heißt es in dem Bericht weiter. Zudem will die zuständige Cybereinheit die „Schwachstelle“ innerhalb eines Tages geschlossen haben.

In der „Zeit“ will man den Vorfall unterdessen nicht auf sich beruhen lassen. Bereits die Fülle der Daten sei potenziell hilfreich für ausländische Spione. Die Daten seien über mehrere Monate hinweg abrufbar gewesen. Der Umstand, dass die Meetings fortlaufend nummeriert gewesen seien, hätte es einfach gemacht, die dazugehörigen URLs zu erraten.

Rechercheteam verschaffte sich Zugang zu mehreren Meetingräumen

Betroffen gewesen seien mehr als 6.000 Termine. Neben möglichen Rückschlüssen auf regelmäßige Abläufe hätte die Panne noch weitere unerwünschte Folgen haben können. Allein schon die Themen einer Konferenz – darunter der als Verschlusssache eingestufte Talk über „Review Meilensteinplan Taurus und Finalisierung“ vom 25. April – könnten wertvolle Informationen für Unbefugte verfügbar machen.

Lediglich als „geheim“ eingestufte Agenden dürfen nach Informationen von Minister Pistorius nicht über Webex erörtert werden. Die für die Recherche zuständige „Zeit“-Redakteurin Eva Wolfangel habe nicht nur Termine bis Anfang November 2023 rückverfolgen können. Es sei ihr sogar gelungen, den festen Meetingraum des bereits in die Abhöraffäre involvierten Generalleutnants Ingo Gerhartz zu betreten.

Dies sei dadurch erleichtert worden, dass sich durch kurze Kennungen, die nur aus Vornamen und Nachnamen bestanden hätten, auch „vollständige oder nahezu vollständige E-Mail-Datensätze“ hätten erstellen lassen.

Pistorius hatte nach Bekanntwerden der Abhöraffäre betont, dass in der Truppe ein auf eigenen Systemen betriebenes „Webex for Bundeswehr“ betrieben werde. Allerdings waren offenbar die darauf generierten Seiten öffentlich einsehbar. Möglicherweise konnten sich auch die Hacker des Meetings zu „Taurus“ und den möglichen Angriffen auf die Krimbrücke im Vorfeld an die Fersen der Teilnehmer heften.

Meetingraum von Kanzler Scholz auf Webex immer noch offen

Wie im „Zeit“-Bericht anklingt, hält nicht nur die Bundeswehr täglich etwa 1.500 Meetings über Webex ab. Der Dienst werde auch von der Bundesregierung, Sicherheitsbehörden und dem Bundestag genutzt. Auch dort sind auf eigenen Servern installierte und in einem internen Netz betriebene „On-Premises“-Lösungen die Regel.

Dem Rechercheteam sei es jedoch sogar gelungen, die persönlichen Webex-Meetingräume von Kanzler Olaf Scholz, Bundeswirtschaftsminister Robert Habeck und Bundesfinanzminister Christian Lindner (FDP) aufzufinden. Jenen von Lindner habe man sogar betreten können.

Wie das „Neue Deutschland“ berichtet, wäre die Verwendung eines kommerziellen US-Produkts für die genannten Zwecke gar nicht erforderlich. Es gebe demnach „sehr datensparsame“ Open-Source-Lösungen für Videokonferenzen. Über weiterführende Konsequenzen aus der Enthüllung ist bis dato nichts bekannt. Wolfangel teilte am Montagvormittag, 6. Mai, mit, dass ungeachtet der Berichte der Meetingraum des Kanzlers nach wie vor offen stünde. Die Bundeswehrressourcen seien hingegen mittlerweile vom Netz getrennt.

Wer es verpasst hat: Wir haben eine massive Sicherheitslücke bei Bundeswehr und Bundesregierung aufgedeckt. Die Bundeswehr hat ihren Webex-Server vom Internet genommen. Der Meetingraum von Olaf Scholz steht aber auch heute noch offen. 1/2#Cybersecurity #bundeswehr pic.twitter.com/WKSVx5e5Ng

— Eva Wolfangel (@evawolfangel) May 6, 2024