Videokonferenzen mit Sicherheitslücken – Cybersecurity umfassend denken

Es liest sich wie ein Spionagekrimi: Während eines Gruppentelefonats der SPD-Bundesgeschäftsführung meldet sich plötzlich eine fremde Stimme. Sie gehört jedoch keinem politischen Kontrahenten oder einer Spionin, sondern der Fachjournalistin Eva Wolfangel. Sie hatte gemeinsam mit Netzaktivisten eine Schwachstelle im Telefonkonferenz-Programm eines US-amerikanischen Markführers entdeckt. Die Lücke basiert auf den öffentlich zugänglichen Einwahllinks für einzelne Gespräche und Meetingräume. Diese Links werden nicht – wie erwartet – mit zufälligen Zahlenfolgen versehen, sondern sind aufsteigend nummeriert. Dadurch lassen sich durch einfache Addition von einem bekannten Link auf weitere Links derselben Organisation schließen. Die sechsstelligen Endziffern unterscheiden sich dabei nur minimal und sind fortlaufend. Mithilfe der Metadaten zu den in Kalendern geplanten Gesprächen waren Erkenntnisse zu Datum, Zeit, Organisator und Titel bzw. Thema der Unterhaltungen frei im Internet abrufbar. Gleichzeitig ergab sich über die Einwahl per Telefon auch die Möglichkeit, unerlaubt und unerwartet an den Gesprächen teilnehmen zu können. Waren sämtliche Teilnehmer über ihr Telefon zugeschaltet, blieb der ungebetene Gast bis zur eigenen Enttarnung unentdeckt.

Die Sicherheitslücke wurde mittlerweile geschlossen

Die ersten Hinweise auf das Problem wurden Anfang Mai durch einen Artikel in der Wochenzeitung „Die Zeit“ bekannt. Mit der Bundeswehr war zu diesem Zeitpunkt eine Organisation betroffen, die auf eine sichere Kommunikationsinfrastruktur besonders angewiesen ist. Es befanden sich tausende Metadaten von Onlinekonferenzen der Streitkräfte frei abrufbar im Netz. Die Bundeswehr reagierte und trennte den eigenen Software-Zugang vom Internet, sodass die Telefonate sowie die Metadaten nur noch über das eigene Intranet zugänglich waren. Nach Auskunft des Unternehmens wurde die Sicherheitslücke, die in einer firmeneigenen Kundeninformation wenig ausführlich beschrieben wird, durch ein Update geschlossen. Seitens des Unternehmens gab es jedoch kommunikative Mängel. Das Bundesverkehrsministerium beispielweise war erst durch die Presseberichterstattung auf das Problem im eigenen Haus aufmerksam geworden.

Die daraus resultierenden Probleme sind vielfältiger Art. Bei Konferenzen mit vielen Teilnehmern fällt die Anwesenheit eines weiteren Zuhörers mitunter gar nicht auf, da die zuletzt Eingewählten ohne Profilbild ganz am Ende der Teilnehmerliste auftauchen. Sind sogar alle nur per Telefon eingewählt, wird der Mitteilungston bei Einwahl einer weiteren Person leicht überhört. Auch waren bei vielen Telefonaten der Kennwortschutz zur Einwahl deaktiviert. Zudem lassen sich auch im Bereich der Firmenspionage bereits aus den Titeln der Konferenzen Rückschlüsse auf Geschäftskontakte schließen. Informationen über Gespräche zwischen Geschäftsführer X mit CEO Y sind wertvoll, um Konkurrenten zu identifizieren. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) war von den Sicherheitsmängeln der Software betroffen. Das Programm galt bisher als besonders sicher und wird daher bevorzugt auch von Behörden und Regierungen eingesetzt und empfohlen – weltweit.

Hohes Markenvertrauen birgt Risiken

Das Unternehmen selbst hat die hohen Sicherheitsstandards der Konferenzsoftware stets in den Vordergrund des eigenen Marketings gerückt. Als Marktführer der Konferenztelefonie wurden die firmeneigenen Sicherheitsmechanismen offenbar nicht oder nur lückenhaft extern überprüft. Das Unternehmen wirbt seit 2019 mit der Erfüllung des durch das BSI vergebenen Cloud Computing Compliance Controls Catalogue (C5-Testat). Das BSI hatte erst am 10. Juni 2024 eine eigene Sicherheitswarnung zu der betroffenen Software veröffentlicht – mehr als einen Monat nach Bekanntwerden der Sicherheitsprobleme. Darin wird vermerkt, die Sicherheitslücke habe „nur“ zum Abfluss der oben erwähnten Metadaten geführt. Die Möglichkeit der Direkteinwahl bei bekanntem Link zu dem jeweiligen Meeting wird nicht erwähnt. Diese basiert auch laut Hersteller auf einem Anwendungsfehler aufgrund der Aufhebung des Passwortschutzes für die Konferenzen. Solche Anwendungsfehler können allerdings nur durch mangelhafte Voreinstellungen (Security by Default) und Programmierung (Security by Design) entstehen. Die unerlaubte Einwahl durch Dritte hätte sich durch einen zwingenden Passwortschutz vermeiden lassen. Diese Programmierung sieht die Software jedoch nicht vor, wie Firmenvertreter im Digitalausschuss des Bundestages vergangene Woche feststellten. Dies soll bis Ende Juni nachgebessert werden. Auch konnten im Ausschuss herstellerseits keine Daten vorgelegt werden, wie oft unerlaubte Einwahlen vorgekommen sind.

Vorsicht vor blindem  Vertrauen

Aus Sicht der IT-Sicherheit handelt es sich hierbei um ein nicht zu unterschätzendes und grundlegendes Problem. Das große Vertrauen, welches einem Marktführer entgegengebracht wurde, hat offenbar zu einem Mangel an internen Kontrollprozessen geführt. Selbst das BSI sah scheinbar keinen Anlass, um die Software einer tiefergehenden Prüfung zu unterziehen. Ein solcher Fauxpas wirft angesichts hoher und weiter steigender globaler Bedrohungslagen kein gutes Licht auf die deutsche, aber auch die internationale IT-Sicherheit. Der aktuelle Fall führt hoffentlich zu einer Änderung dieser Praxis. Die Software war in der Vergangenheit schon durch Probleme beim firmeneigenen Nutzerdatenschutz aufgefallen. Durch die Verwendung amerikanischer Server kam es zur Datenübertragung ins Ausland. Die diesbezüglichen technischen und juristischen Bedenken wurden zuletzt jedoch im November 2023 ausgeräumt, sodass die Berliner Landesdatenschutzbeauftragte den Einsatz von der renommierten Software an der Freien Universität Berlin wieder genehmigte. Die Nutzung war zuvor im Jahr 2022 untersagt worden.

Wenn nun aber sogar staatliche Akteure mit großer Expertise in der IT-Sicherheit durch das Marketing von einer hohen Sicherheit ausgehen und diese nicht tiefgehend überprüfen, stellen sich Fragen nach Perspektiven für die Wirtschaft. Laut den Berichten der „Zeit“ waren europaweit auch Unternehmen von der Sicherheitslücke betroffen, darunter aus den Sparten Rüstung, Telekommunikation, Chemie oder Chipproduktion.

Cybersicherheits-Check Up als Lösung

Mögliche Lösungsmöglichkeiten gestalten sich durchaus komplex. Einerseits bedarf es einer intensiven Schulung und Sensibilisierung der Mitarbeiter für alle Themen der Cybersecurity. Security by Default wäre ein notwendiger Hebel, um versehentliche Sicherheitsprobleme durch Anwendungsfehler zu vermeiden. Ein flächendeckender Passwortschutz aller Telefonate sowie Complianceregeln zur Verwendung von Fremdsoftware für Videotelefonie sind des Weiteren unerlässlich. Ein zusätzlicher Hebel kann die Einbeziehung einer externen Cybersicherheitsprüfung sein, um die firmeneigenen Schwachstellen – auch im Hinblick auf etablierte Softwaredienstleister – zu identifizieren. Mittlerweile stellen etablierte Open Source-Lösungen eine Alternative dar. Diese lassen sich durch den offenen Quellcode unternehmensspezifisch anpassen und optimieren, sodass Sicherheitslücken durch Bedienungshindernisse geschlossen werden können. Dafür bedarf es aber entweder einer eigenen IT-Abteilung, die eine Implementierung leisten kann, oder eines externen Dienstleisters, der die Wartung der Software übernimmt. Ein solcher Dienstleister lässt sich auch im laufenden Betrieb wechseln. Diese höhere Flexibilität und Sicherheit wird unter Umständen durch höhere Wartungskosten erkauft.