Bei der Webex-Instanz der Bundeswehr gab es eine schwerwiegende Sicherheitslücke. Termine, Teilnehmer und Konferenzen waren über Monate online zugänglich. Mehr als 6.000 Webex-Meetings der Bundeswehr sollen kürzlich im Internet frei verfügbar gewesen sein. Foto: Bundeswehr/Jane SchmidtZwei Monate nach dem Webex-Abhörskandal bei der Bundeswehr durch Russland, wurde nun eine weitere potenziell folgenschwere Schwachstelle aufgedeckt. Laut einem Bericht von “Zeit Online” sind kürzlich mindestens 6.000 Webex-Meetings im Internet leicht auffindbar gewesen. Demnach konnten Außenstehende dabei Titel, Zeitpunkt und die einladende Person wichtiger Bundeswehr-Meetings einsehen.Informationen und Meetingräume offen zugänglichSo gab es dem Bericht zufolge für den 25. April ein Meeting mit dem Betreff “Review Meilensteinplan Taurus und Finalisierung”. Hinzu kamen weitere Konferenzen, die auch in der Geheimhaltungsstufe “Verschlusssache – nur für den Dienstgebrauch” (VS-NfD) eingestuft waren.Die Lücke soll bereits mehrere Monate existiert haben.Darüber hinaus sollen auch persönliche Meetingräume, die ohne bestimmten Anlass meist permanent bestehen, leicht auffindbar und sogar ohne Passwort zugänglich gewesen sein. Journalisten der “Zeit” ist es nach eigenen Angaben gelungen, einen persönlichen Meetingraum von Ingo Gerhartz zu betreten. Der Luftwaffen-Chef hat auch an der Taurus-Konferenz im März teilgenommen, die von russischen Medien geleakt wurde. Ein Sprecher der Bundeswehr-Truppe für den Cyber- und Informationsraum bestätigte auf Anfrage der dpa, dass es eine “Schwachstelle” gegeben habe, die aber innerhalb von 24 Stunden beseitigt worden sei. Es sei nicht möglich gewesen, sich in ein Meeting einzuwählen und vertrauliche Inhalte abzugreifen.Die Bundeswehr war jedoch laut “Zeit Online” erst durch die Medienanfrage aufmerksam auf die Sicherheitslücke geworden. Anschließend hatte sie die Webex-Instanz vom Internet getrennt. Die Schwachstellen selbst hatte demnach ein Team des Vereins Netzbegrünung entdeckt. Das Medium habe sich anschließend durch eigene Stichproben verifiziert.Dabei stellte sich heraus, dass die Webex-Meetings fortlaufend nummeriert wurden. Dadurch konnten die URLs offenbar leicht erraten werden. IT-Sicherheitsexperten empfehlen deshalb, Nummern in Webadressen zufällig zu verteilen, damit Angreifer sich nicht einfach von einem Meeting zum nächsten zählen können. SUBSCRIBE TO OUR NEWSLETTER From our editors straight to your inbox Get started by entering your email address below. Bitte geben Sie eine gültige E-Mail-Adresse ein. Abonnieren