Die niederländische Regierung ist sauer: "Ich finde es inakzeptabel, dass das passieren konnte", schreibt die für Digitalisierung zuständige Staatssekretärin Alexandra van Huffelen in einem parlamentarischen Schreiben (PDF). Sie spricht von dem Datenleck in der Videokonferenz-Software Webex, das ZEIT ONLINE aufgedeckt hat. Hunderttausende Links zu Besprechungen standen im Netz, von deutschen Ministern ebenso wie von niederländischen Regierungsmitgliedern.
Aus diesen Daten konnte man Informationen ablesen, zum Beispiel wann und wie lange Finanzminister Christian Lindner mit Wirtschaftsminister Robert Habeck telefonieren wollte. Und zumindest potenziell konnten Außenstehende bei solchen Besprechungen auch mithören. Im Rahmen der Recherche wählte sich eine Reporterin etwa in ein Meeting des Bundesamtes für Migration und Flüchtlinge (Bamf) ein.
Während die deutsche Bundesregierung auf das Problem bisher abwartend reagiert, fordern manche in der Opposition nun Konsequenzen. "Diese Lücken zeugen von einer Fahrlässigkeit, die mich erschüttert", sagt der Digitalpolitiker Thomas Jarzombek (CDU) zu ZEIT ONLINE. "Webex muss aus der Regierungskommunikation verbannt werden, und zwar am besten sofort."
Webex ist eine Videokonferenz-Software, sie funktioniert in der Benutzung ähnlich wie Zoom oder Microsoft Teams. Gerade im öffentlichen Sektor spielt Webex eine große Rolle. Ob in Berlin oder in Brüssel – wer an einer Telefonkonferenz mit Parlamentariern teilnimmt oder sich in eine Videoschalte mit Beamten einwählt, tut das mit großer Wahrscheinlichkeit über Webex.
Das dürfte auch daran liegen, dass der Hersteller und
Betreiber, das US-Unternehmen Cisco, die Software als besonders sicher bewirbt.
Und daran, dass sie von offiziellen Stellen empfohlen wird. In Deutschland ist
das Bundesamt für Sicherheit in der Informationstechnik (BSI) für die
IT-Sicherheit der Bundesbehörden verantwortlich. Das BSI rät ausdrücklich zur
Nutzung von Webex.
Umso brisanter ist die nun bekannt gewordene Lücke und umso drängender stellt sich die Frage: Ist eine solche Empfehlung noch haltbar?
Webex stand schon bei Taurus-Leak im Mittelpunkt
Das BSI prüft offenbar gerade, ob die Empfehlung geändert werden muss. Jarzombek ist der Meinung, dass das zu lange dauert. "Das BSI agiert hier, wie auch in anderen Fällen in letzter Zeit, zu zögerlich", sagt er. Dabei sei schnelles Handeln erforderlich. "Wenn ich weiß, dass es mit einer Software ein Problem gibt, dann kann ich sie nicht weiter benutzen." Auch wenn die aktuelle Lücke von Cisco geschlossen worden ist, sagt er weiter: "Für mich ist hier erkennbar, dass es ein Problem mit der Sicherheitsphilosophie gibt."
Das BSI selbst reagiert abwägend: "Schwachstellen in Softwareprodukten können auftreten und bieten allein noch keine Grundlage für eine grundsätzliche Aussage über das IT-Sicherheitsniveau eines Produktes", sagt ein Sprecher des BSI gegenüber ZEIT ONLINE.
Webex stand in den vergangenen Monaten mehrfach im Zentrum von Problemen mit IT-Sicherheitslücken. Wohl am prominentesten im März, als die Chefredakteurin des russischen Staatssenders RT den Mitschnitt eines Webex-Gesprächs von vier ranghohen Offizieren der deutschen Luftwaffe veröffentlichte, die unter anderem über theoretische Einsätze des Marschflugkörpers Taurus im Krieg Russlands gegen die Ukraine berieten. Der Vorfall geriet zur unangenehmen Abhöraffäre für die Bundeswehr. Laut Verteidigungsminister Boris Pistorius (SPD) war ein "individueller Anwendungsfehler" Schuld, ein Konferenzteilnehmer habe sich über ein nicht sicheres Verfahren zugeschaltet. Es habe sich kein Spion in die Konferenz eingewählt.
Wie ZEIT-ONLINE-Recherchen zeigen, wäre das aber wohl möglich gewesen. Im Mai deckte ZEIT ONLINE nach einem Hinweis des Vereins Netzbegrünung auf, dass mehrere Tausend Links zu Webex-Konferenzen der Bundeswehr offen im Netz standen, darunter viele als vertraulich eingestufte Meetings. Der Vorfall betraf anders als der aktuelle Fall nicht die Cloud-Lösung von Webex, sondern die Webex-Instanz der Bundeswehr, die auf eigenen Servern läuft. Verteidigungsministerium und Cisco dementierten, dass man durch die Lücke unerkannt an vertraulichen Gesprächen teilnehmen könnte. Kurz darauf konnte sich ZEIT ONLINE unerkannt in ein Webex-Meeting der Bundesgeschäftsführung der SPD einwählen.
Die niederländische Regierung ist sauer: "Ich finde es inakzeptabel, dass das passieren konnte", schreibt die für Digitalisierung zuständige Staatssekretärin Alexandra van Huffelen in einem parlamentarischen Schreiben (PDF). Sie spricht von dem Datenleck in der Videokonferenz-Software Webex, das ZEIT ONLINE aufgedeckt hat. Hunderttausende Links zu Besprechungen standen im Netz, von deutschen Ministern ebenso wie von niederländischen Regierungsmitgliedern.
Aus diesen Daten konnte man Informationen ablesen, zum Beispiel wann und wie lange Finanzminister Christian Lindner mit Wirtschaftsminister Robert Habeck telefonieren wollte. Und zumindest potenziell konnten Außenstehende bei solchen Besprechungen auch mithören. Im Rahmen der Recherche wählte sich eine Reporterin etwa in ein Meeting des Bundesamtes für Migration und Flüchtlinge (Bamf) ein.
