So sicher sind Webex-Videokonferenzen
Fast alle Bundesbehörden, der Bundestag und auch Landesregierungen nutzen den Videokonferenzen-Dienst. Jetzt ist die Verunsicherung groß.
(dpa) Webex gehört zu den beliebtesten Plattformen für Videound Telefonkonferenzen. Während der Corona-Pandemie hielt es bei nahezu allen Regierungsinstitutionen Einzug, neben anderen OnlinePlattformen. Auch der Bundestag, die Fraktionen und Landesregierungen nutzen Webex. Entsprechend groß ist nun die Aufregung, ob das System angesichts des von Russland abgehörten Taurus-Gesprächs deutscher Bundeswehroffiziere überhaupt sicher ist.
Die Videokonferenz-Lösung Webex des US-Netzwerkspezialisten Cisco wurde 2019 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) mit einem sogenannten C5-Testat für den Einsatz im Bund zugelassen. Bei dem Anforderungskatalog Cloud Computing (Cloud Computing Compliance Controls Catalogue, kurz C5) legt das BSI fest, welche Ansprüche Cloud-Anbieter zur Gewährleistung einer hohen Sicherheit erfüllen sollten. Trotz der BSI-Bescheinigung war die Kommunikationslösung von Cisco schon damals nicht unumstritten. Hinterfragt wurde aber in der Regel nicht die Sicherheit, die nun mit dem Abhörskandal der
Luftwaffe im Fokus steht.
Die Vertraulichkeit schien durch eine Ende-zu-Ende-Verschlüsselung gewährleistet. Die Kommunikationsinhalte werden bei diesem Verfahren auf den Endgeräten verschlüsselt und erst wieder auf den Endgeräten der anderen Teilnehmer entschlüsselt. Auch Cisco kann diese Inhalte nicht entschlüsseln. Kontrovers wurde vielmehr diskutiert, ob die Bestimmungen der Europäischen Datenschutz-Grundverordnung (DSGVO) eingehalten werden, weil beim Webex-Betrieb Daten in die USA übertragen werden könnten.
Aber wie sicher eine Videokonferenzlösung wirklich ist, steht in einem direkten Zusammenhang mit der Art und Weise, wie sie genutzt wird. So sind Videoschalten mit Cisco Webex zwar verschlüsselt. Diese Verschlüsselung muss aber auch aktiviert werden. Außerdem fällt der Schutz weg, wenn Teilnehmer sich nicht über die Webex-App beteiligen, sondern mit einer normalen Telefonverbindung einwählen. Bei dem abgehörten Gespräch der Luftwaffen-Offiziere soll sich ein hochrangiger Soldat aus einem Hotel in Singapur zugeschaltet haben.
Sicherheitsanfällig ist auch der Ablauf, mit dem eine Konferenz via Webex Meetings eingerichtet wird: Nur der sogenannte Gastgeber muss bei dem Dienst angemeldet sein. Alle weiteren Teilnehmer können sich einfach über einen Link dazuschalten. Wenn dieser Link beispielsweise in einer unverschlüsselten E-Mail übertragen wird, stehen Tür und Tor für Angriffe sperrangelweit offen. Dann können sich Unbefugte in die Konferenz einwählen. Daher wird dringend dazu geraten, vor dem Start des Gesprächs alle Teilnehmer, die in der Anwendung aufgeführt werden, zu überprüfen.
Auch Teile der nordrhein-westfälischen Landesregierung setzen auf Webex. Ein Sprecher von Digitalministerin Ina Scharrenbach (CDU) sagte unserer Redaktion, die Landesministerien entschieden in eigener Verantwortung, welche Videokonferenzsysteme sie einsetzen. Im Digitalministerium werden Cisco-Webex verwendet.
Aus Kreisen der Bundesregierung hieß es am Montag, Webex sei grundsätzlich eine sichere Anwendung, solange man die Sicherheitsbestimmungen befolgt. Zudem müsse auf die Wahl der Server geachtet werden, über die die Kommunikation läuft. Es gibt bislang keine Anhaltspunkte, dass Bundes- und Landesbehörden künftig auf Webex verzichten werden.