Videomeetings wohl frei zugänglich: Neue große Sicherheitslücke bei Bundeswehr entdeckt

Die Bundeswehr beschäftigt eine neue Datenschutz-Panne: Tausende Links zu Videomeetings mit internen Informationen zur Truppe sollen monatelang im Internet frei zugänglich gewesen sein. Dies berichtet „Zeit Online“ unter Berufung auf eigene Recherchen. Dem Bericht zufolge sollen sich darunter viele, als vertraulich eingestufte Treffen befunden haben. Auch vergangene Meetings wurden demnach offenbar nicht gelöscht.

Die „Zeit“ schreibt, die Schwachstelle habe ein Team aus IT-Sicherheitsexpertinnen und -experten des Vereins Netzbegrünung entdeckt. Sie sei durch eigene Stichproben verifiziert worden. Die Bundeswehr sei erst durch Nachfragen auf die Sicherheitslücke aufmerksam geworden, heißt es weiter. Das Videokonferenzsystem sei nun vom Internet getrennt.

Die Bundeswehr-Cybertruppe CIR bestätigte, dass die Sicherheitslücke inzwischen geschlossen worden sei. Ein Sprecher der Einheit für den Cyber- und Informationsraum sagte, dass es im Verlauf der Woche eine „Schwachstelle“ gegeben habe, die aber innerhalb von 24 Stunden beseitigt worden sei, so die Nachrichtenagentur dpa.

Bundeswehr will das Problem behoben haben

Es seien zuvor Meta-Daten wie Zeiten und Teilnehmer über die Kommunikationsplattform Webex einsehbar gewesen. Man habe sich aber nicht einwählen und auch keine vertraulichen Inhalte abgreifen können. Intern könne man Webex weiter nutzen, sagte der CIR-Sprecher. Wie lange die Lücke tatsächlich bestand, blieb unklar.

Wie es in dem Bericht weiter heißt, betreffe der Vorfall die eigene Webex-Instanz der Bundeswehr, die eigentlich als besonders sicher gelte und über die auch Gespräche mit Geheimhaltungsstufen geführt würden. Die Truppe halte damit nach eigenen Angaben 45.000 Meetings pro Monat ab, also im Schnitt mehr als 1000 am Tag.

Erst Anfang März hatte die Chefredakteurin des russischen Staatssenders RT in einer Gruppe beim Messenger-Dienst Telegram eine Audioaufnahme einer Webex-Konferenz von ranghohen Bundeswehroffizieren veröffentlicht.

Wie es in dem Bericht weiter heißt, stelle sich nun die Frage, ob möglicherweise Sicherheitslücken in Webex zu dem Abhörskandal geführt haben könnten. Bislang hatte das Verteidigungsministerium eine nicht geschützte Telefonverbindung eines Bundeswehrgenerals in Singapur als Ursache angegeben.

Demnach war das abgehörte Meeting eher ein Zufallsfund einer groß angelegten Überwachungsaktion von russischen Spionen während einer Messe, die zum gleichen Zeitpunkt in Singapur stattfand. Geführt wurde die Unterhaltung von Luftwaffen-Inspekteur Ingo Gerhartz und drei weiteren Bundeswehr-Offizieren.

Per Web-Ex-Videokonferenz sprachen sie im Februar darüber, wie die ukrainische Armee die deutschen Taurus-Marschflugkörper einsetzen kann, sollte sich die Bundesregierung dazu entschließen, diese zu liefern. Sie erörterten unter anderem die Frage, ob die Marschflugkörper die von Russland gebaute Brücke zur völkerrechtswidrig annektierten ukrainischen Halbinsel Krim zerstören könnten.

Das Problem: Es gab wohl einen weiteren, geheimen Teilnehmer. Russische Stellen haben nach derzeitigen Informationen das Gespräch mitgeschnitten. (lem)