Sicherheitsforschende haben im Kommunikationstool WebEX des US-amerikanischen Unternehmens Cisco eine weitere Sicherheitslücke entdeckt. Aktuell wird WebEX von verschiedenen Bundesländern, wie Baden-Württemberg oder Hamburg als Videokonferenzsystem der Landesbehörden verwendet.
Den Sicherheitsexperten gelang es, sich unautorisiert in Videokonferenzen über WebEX einzuwählen. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) waren zudem weitere Daten wie die Nummer des Meetings, der Titel des Meetings oder der Name des Hosts für die Forschenden zugänglich. Dagegen seien das Passwort des Meetings und Informationen über die Teilnehmenden nicht abgreifbar gewesen. WebEX-Hesteller Cisco selbst hat bereits Anfang Juni dieses Jahres die Sicherheitslücke in seinem System bestätigt und Ende Mai 2024 mit einem Update nach eigenen Angaben geschlossen. Zudem habe man alle betroffenen Kunden zeitnah über die Lücke informiert. Dies erklärte ein Cisco-Sprecher bei einer Sitzung des Digitalausschusses der Bundesregierung. Vertreter und Vertreterinnen des US-Technologieunternehmens, das Bundesministerium des Innern und für Heimat (BMI) und das BSI, sowie der Bundesdatenschutzbeauftragte (BfDI) waren beim Ausschuss vertreten.
Bedrohungslage mit verstärkter Beobachtung
Zuvor hatte das Bundesamt bereits die IT-Bedrohungslage durch die Schwachstelle in Cisco Webex als Kategorie zwei von vier eingestuft. Dies bedeutet eine „IT-Bedrohungslage mit verstärkter Beobachtung von Auffälligkeiten unter temporärer Beeinträchtigung des Regelbetriebs.“ Laut BSI sind Kommunikationstools für Angreifer besonders interessante Ziele, da diese tiefe Einblicke in die Organisation, Bewertungen, Hintergründe und Zusammenhänge gewähren. „Derzeit liegen dem BSI keine Erkenntnisse vor, dass die Sicherheitslücke außer von den Sicherheitsforschenden auch noch von weiteren potentiellen Angreifenden ausgenutzt wurde“, betonte das BSI. Solange man sich an die Empfehlungen des BSI gehalten habe, sei es durch die Sicherheitslücke ausschließlich zum Abfluss von Metadaten gekommen.
Grundsätzlich empfiehlt das BSI, angemessen abgesicherte Videokonferenzdienste zu nutzen. Cisco stelle hierfür zwei Anleitungen für WebEx zur Verfügung. Nutzer sollten zudem immer ein Passwort oder eine PIN verwenden und Zugangsdaten nur an berechtigte Personen weitergeben. Laut dem Bundesamt sollten außerdem alle vor dem 28. Mai 2024 angelegten, aber noch ausstehenden Termine gelöscht und neu angelegt werden.
