Riesige Sicherheitslücke bei Bundeswehr Daten zu geheimen Gesprächen waren monatelang öffentlich
Wohl über Monate waren Metadaten und Einwahllinks in digitale Bundeswehr-Meetings öffentlich zugänglich – teils mit generischen Zugangsnamen wie "Test".
Bei der Webex-Instanz der Bundeswehr hat es eine Sicherheitslücke gegeben, die nach Angaben der Cybertruppe CIR inzwischen geschlossen ist. Ein Sprecher der Truppe für den Cyber- und Informationsraum bestätigte auf Anfrage am Samstag, dass es im Verlauf der Woche eine "Schwachstelle" gegeben habe, die aber innerhalb von 24 Stunden beseitigt worden sei. Nach Recherchen der "Zeit" hatte das Problem allerdings monatelang Bestand.
Es seien Metadaten wie Zeiten und Teilnehmer über die Kommunikationsplattform Webex einsehbar gewesen. Man habe sich aber nicht einwählen und auch keine vertraulichen Inhalte abgreifen können, erklärt die Bundeswehr.
Mehr als 6.000 Meetings auffindbar
Zuvor hatte "Zeit Online" über die Sicherheitslücke berichtet. Dem Portal zufolge trennte die Bundeswehr die Webex-Instanz vom Internet. Für interne Meetings sei der Dienst aber weiter nutzbar. Mehr als 6.000 Meetings seien online auffindbar gewesen.
Embed
Die Bundeswehr sei erst durch eine Anfrage der "Zeit" auf das Problem aufmerksam geworden, schreibt die Zeitung. Es seien Titel, Zeitpläne und Teilnehmer abrufbar gewesen. Nach Bundeswehrangaben seien diese zwar nicht zugänglich gewesen, in einigen Fällen verrieten aber schon die Titel des Meetings, worum es ging. Ein Beispiel: "Review Meilensteinplan Taurus und Finalisierung". Auch war der eigentlich private Meetingraum von Luftwaffen-Chef Ingo Gerhartz öffentlich zugänglich – mit völlig generischen Zugangsnamen wie "Test".
Anfang März hatte eine von Russland mitgeschnittene Webex-Schaltkonferenz von vier hohen Offizieren, darunter Luftwaffen-Chef Ingo Gerhartz, erheblichen Wirbel verursacht. Darin erörterten die Offiziere Einsatzszenarien für die Taurus-Raketen für den Fall, dass sie doch noch an die Ukraine geliefert werden sollten. Das Verteidigungsministerium machte später die Unachtsamkeit eines Bundeswehrgenerals in Singapur für das Leck verantwortlich.
- zeit.de: "Jeder konnte sie finden" (kostenpflichtig) vom 4. Mai 2024
- Mit Material der Nachrichtenagentur dpa