Hier ein paar mehr Infos: Wir haben mehr als 6000 Links zu Webex-Meetings der Bundeswehr online gefunden - jeweils mit Termin, Dauer, Host, Thema. Inklusive Sicherheitsstufe im Titel und teils detailiierter Infos, worum es ging. URL ließ sich durch Hoch-/Runterzählen erraten. Viele waren bereits vergangen. Und offenbar scheitert die Bundeswehr seit Tagen daran, diese zu löschen. Deshalb gestern der Cut vom Netz. Außerdem völlig ungesicherte persönliche Meetingräume - ich war in einigen drin.
Cisco sagt, sie können aus Sicherheitsgründen 😎 nichts sagen zu den besonders sicheren On Premise Lösungen für Behörden etc. Aber man solle sich am besten an Empfehlungen für sichere Videokonferenzen halten.😅
Bundeswehr sagt auch nicht viel, außer, dass eben manchmal auch bei sicheren kommerziellen Lösungen nachgeschärft werden müsse.
Im Gegensatz zur Bundesregierung hat die Bundeswehr übrigens super schnell reagiert. Denn auch der Bundeskanzler und die Ministerien sind betroffen.
Der persönliche Meetingraum von Olaf Scholz ist noch immer nicht gesperrt, obwohl das CERT Bund schon seit Wochen bescheid weiß. Diese werden wohl automatisiert angelegt für jeden Account und geschickterweise ist die URL festgelegt plus Name der Person. :)
Die knappe Antwort der Bundeswehr lässt durchblicken, dass es offenbar nicht leicht ist, Webex sicher zu bekommen. Alte Meetings nicht löschen können? Manche scherzen: Its a feature, not a bug.
Dass sich Meetings aus der Vergangenheit nicht löschen lassen, ist eines. Aber auch die zukünftigen sind ein Problem: Um beizutreten fehlt nur noch das Passwort - und bei einigen Terminen mit vielversprechenden Titeln gab es noch ordentlich Zeit, um am Passwort zu arbeiten. In Verbindung mit einer älteren Sicherheitslücke - die geschlossen ist - die unsichtbare "Ghost-User" erlaubte, ist das keine gute Nachricht.
Doch auch allein die Titel, Hosts und Themen von zehntausenden Meetings allein enthalten viele Informationen. Diese automatisch zu crawlen und mit OCR zu sortieren/auszuwerten, hätte ein enormes Potential für Spione. 248.000 Bundeswehrangehörige haben einen Webex-Account, monatlich werden rund 45.000 Meetings abgehalten, sagte mir die Bundeswehr auf meine Anfrage. Da kommt einiges an Stoff zusammen. #Cybersecurity#taurus#bundeswehr
@evawolfangel Nur drei Wörter zwischen "schnell reagiert" und "Bundeskanzler!? 🤣
Ich krieg ganz ehrlich meinen Mund gar nicht mehr zu, so unglaublich verschlumpft ist das alles.
Grandiose Recherche! Und ich bin mal gespannt, was der Artikel bewirkt. Ich fass es nicht. Aber irgendwie wundert es mich auch nicht.
Add comment