Bei der Webex-Instanz der Bundeswehr hat es eine Sicherheitslücke gegeben, die nach Angaben der Cybertruppe CIR inzwischen geschlossen ist.
Ein Sprecher der Truppe für den Cyber- und Informationsraum bestätigte auf Anfrage am Samstag, dass es im Verlauf der Woche eine «Schwachstelle» gegeben habe, die aber innerhalb von 24 Stunden beseitigt worden sei. Nach Recherchen der «Zeit» hatte das Problem allerdings monatelang Bestand.
Es seien Meta-Daten wie Zeiten und Teilnehmer über die Kommunikationsplattform Webex einsehbar gewesen. Man habe sich aber nicht einwählen und auch keine vertraulichen Inhalte abgreifen können, erklärt die Bundeswehr.
Zuvor hatte «Zeit Online» über die Sicherheitslücke berichtet. Dem Portal zufolge trennte die Bundeswehr die Webex-Instanz vom Internet. Für interne Meetings sei der Dienst aber weiter nutzbar. Mehr als 6000 Meetings seien online auffindbar gewesen.
Die Bundeswehr sei erst durch eine Anfrage der «Zeit» auf das Problem aufmerksam geworden, schreibt die Zeitung. Es seien Titel, Zeitpläne und Teilnehmer abrufbar gewesen. Nach Bundeswehrangaben seien diese zwar nicht zugänglich gewesen, in einigen Fällen verrieten aber schon die Titel des Meetings, worum es ging.
Ein Beispiel: «Review Meilensteinplan Taurus und Finalisierung». Auch war der eigentlich private Meetingraum von Luftwaffen-Chef Ingo Gerhartz öffentlich zugänglich – mit völlig generischen Zugangsnamen wie «Test».
Anfang März hatte eine von Russland mitgeschnittene Webex-Schaltkonferenz von vier hohen Offizieren, darunter Luftwaffen-Chef Ingo Gerhartz, für Wirbel gesorgt. Darin erörterten diese Einsatzszenarien für die Taurus-Raketen für den Fall, dass sie doch noch an die Ukraine geliefert werden sollten. Das Verteidigungsministerium machte später die Unachtsamkeit eines Bundeswehr-Generals in Singapur für das Leck verantwortlich.
(t-online/dsc)
