Zu neuen Medienberichten bezüglich weiterer, massiver Sicherheitslücken bei WebEx von CISCO erklären Misbah Khan, Mitglied des Innen- und des Digitalausschusses, und Konstantin von Notz, Stellvertretender Fraktionsvorsitzender:
Die massiven Sicherheitsprobleme bei WebEx sind offenbar noch einmal deutlich größer als bisher bekannt. Weltweit sind Regierungen, Unternehmen und Institutionen betroffen – auch in zahlreichen EU-Mitgliedsstaaten, auch in Deutschland. Neben mehreren Bundesministerien und -behörden, dem Bundestag, Fraktionen und Staatskanzleien sind offenbar auch mehrere große Unternehmen und das BSI selbst betroffen. So konnten strukturell aussagekräftige Metadaten ausgelesen und einzelne Meetings abgehört werden.
Wir erneuerten unsere Forderung, in allen politischen Bereichen, gerade in denjenigen, die tagtäglich mit sicherheitspolitisch sensiblen Dateien und Informationen umgehen, eine Generalrevision mit Blick auf die Integrität der eigenen Kommunikations-Infrastrukturen, Firmen und eingesetzten Programme vorzunehmen – und die „Zeitenwende“ angesichts der immensen Bedrohungslage und täglich neuer hybrider Angriffe tatsächlich umzusetzen.
Wir begrüßen ausdrücklich, dass CISCO mittlerweile Betroffene informiert. Wir erwarten von dem Unternehmen, dass nicht nur geltende rechtliche Bestimmungen wie Informationspflichten beachtet werden, sondern CISCO die Aufklärung eigeninitiativ vorantreibt, der Schutz betroffener Organisationen im Vordergrund steht und man sehr eng mit den zuständigen Behörden kooperiert. Inwiefern es dabei zu Versäumnissen beim Schutz betroffener Kunden kam, gilt es aufzuklären.
Es ist uns völlig unverständlich, warum nicht spätestens Anfang Mai eine Generalrevision unserer Telekommunikationsinfrastrukturen hinsichtlich ihrer Integrität vorgenommen wurde, obwohl auch von uns auf die Gefahr potentiell struktureller Probleme hingewiesen wurde. Eine Generalrevision muss nun oberste Priorität haben, um weiteren sicherheitspolitischen Schaden zu verhindern.
Erneut wird deutlich, wie gefährlich nicht geschlossene Sicherheitslücken für die allgemeine IT-Sicherheit und Schutz von Kommunikation sind. Umso wichtiger ist es, große Abhängigkeiten von einzelnen Anbietern schnellstmöglich zu reduzieren. Auch der verstärkte Einsatz von Open Source-Anwendungen bleibt, darauf weist auch das BSI seit vielen Jahren hin, dringend angeraten. Gerade in staatlichen Kommunikationssystemen muss der Einsatz jetzt prioritär geprüft werden.
Hintergrund:
Im März schreckten Meldungen über abgehörte Gespräche hochrangiger Bundeswehroffiziere auf. Schon damals handelte es sich um einen für die Sicherheit Deutschlands und seiner Verbündeten sehr gravierenden Vorgang. Besonders die große Sorglosigkeit und der schlechte Eigenschutz unserer auch sicherheitspolitisch relevanten Kommunikation waren ein Alarmsignal.
Eine schnelle und umfassende Aufklärung, gerade hinsichtlich der Frage, ob es sich um einen einmaligen Vorgang oder ein strukturelles Problem handelt, ist seitdem sicherheitspolitisch dringend notwendig. Unsere Erwartungshaltung haben wir sehr deutlich in Richtung Bundesregierung artikuliert und eine umfassende Aufklärung in den zuständigen Ausschüssen und Gremien durch entsprechende Berichte lanciert. Diese wurde mehrfach von verantwortlichen Stellen zugesichert.
Ein strukturelles Problem wurde stets verneint. Anfang Mai legte eine erneute Presserecherche offen, dass die Ausmaße der Sicherheitslücke den Einzelfall weit überschreiten. Vieles deutet fortan auf ein strukturelles Problem mit einer Vielzahl von potentiell Betroffenen hin.
Heute wird deutlich, dass die geforderte Generalrevision nicht vorgenommen wurde.