Webex-Sicherheit: Wie sicher sind Webex-Anrufe?

Was ist Webex?

Webex ist eine Videokonferenz- und Online-Meeting-Plattform, die von dem US-Unternehmen Cisco entwickelt wurde. Mit Webex können Benutzer virtuelle Meetings, Anrufe, Messaging und Events in der Cloud abhalten, bei denen sie sich per Video, Audio und Chat austauschen können. Die Plattform bietet Funktionen wie Bildschirmfreigabe, Dateifreigabe, Aufzeichnung von Sitzungen und Integration mit anderen Anwendungen. Webex wird von Unternehmen, Regierungen, Bildungseinrichtungen und anderen Organisationen weltweit genutzt, um die Zusammenarbeit und Kommunikation über Grenzen hinweg zu erleichtern.

Webex-Sicherheit erklärt

Webex ist standardmäßig sicher und folgt den Prinzipien der Zero-Trust-Sicherheit. Der Dienst verwendet eine moderne Ende-zu-Ende-Verschlüsselung für Meetings, um die Vertraulichkeit der Meetings und die Sicherheit der Identitäten in der Webex-Anwendung und auf den Geräten zu gewährleisten.

Sie bietet fortschrittliche Datenschutzfunktionen und integrierte Compliance-Optionen (z.B. ISO 9001, ISO 27001 und ISO 27018 zertifiziert), um die Anforderungen der Branche und der Region zu erfüllen, damit du sicher konferieren und zusammenarbeiten kannst.

Um Webex so sicher wie möglich zu machen, kannst du Folgendes machen:

• SAML-basiertes Single Sign-On. Wenn deine Organisation über einen eigenen Identitätsanbieter (IdP) verfügt, kannst du ihn für Single Sign-On (SSO) mit dem Webex Control Hub verbinden. So können deine Nutzer einen Satz Anmeldedaten sowohl für die Webex App-Anwendungen als auch für andere Tools innerhalb deiner Organisation verwenden.
• Timeout-Zeiten festlegen. Du kannst eine Leerlaufzeit für Webex App-Webnutzer festlegen, d.h. sie werden nach einer bestimmten Zeit automatisch von ihrem Konto abgemeldet. Dies gilt sowohl für Nutzer, die innerhalb des Netzwerks deiner Organisation verbunden sind, als auch für solche, die außerhalb des Netzwerks sind.
• Multi-Faktor-Authentifizierung einrichten. Webex ermöglicht es dir, die Multi-Faktor-Authentifizierung (MFA) im Control Hub zu aktivieren. Diese Funktion bietet einen zusätzlichen Schutz, da die Nutzer bei der Anmeldung bei Webex Codes eingeben müssen, die von einer Authentifizierungs-App auf ihren mobilen Geräten generiert werden.
• Starke Passwörter nutzen. Für Webex-Zugänge sowie für E-Mail-Konten sollten stets sichere Passwörter verwendet werden.
• Mobile Geräte verwalten. IT-Administratoren können bestimmte Einschränkungen und Vorschriften festlegen, wie Nutzer Webex auf ihren mobilen Geräten nutzen können. Dies können sie entweder über Control Hub oder über Dienste eines Drittanbieters tun.
• Verschlüsselung. In Webex wird der Datenschutz durch zwei Hauptarten der Datenverschlüsselung erreicht. Durch die Ende-zu-Ende-Verschlüsselung für Nachrichten und nutzergenerierte Inhalte sowie Zero-Trust Ende-zu-Ende-Verschlüsselung für Meetings. Beide bieten einen verbesserten Schutz vor externen Bedrohungen, unterscheiden sich aber im Grad der Vertraulichkeit, den sie bieten.
• Audit-Logs-API. Der Zugang zu administrativen Änderungen oder Aktionen innerhalb der Anwendung ist oft für Compliance-Zwecke erforderlich. Volladministratoren können Änderungen an organisatorischen Einstellungen nachverfolgen und Aktionen auf der Grundlage von Benutzern, Datumsbereichen oder bestimmten Aktionen filtern. Diese Informationen sind über den Control Hub zugänglich und werden über die REST-API für einen einfachen Zugriff bereitgestellt.
• Schutz vor Datenverlust. Die Anwendung informiert die Nutzer über potenzielle Datenverlustrisiken, externe Teilnehmer oder angewandte Aufbewahrungsrichtlinien im Zusammenhang mit ihrer Kommunikation. Dazu gehören Lesebestätigungen, Zugriffskontrolle auf den Raum und Moderatorenrechte. Außerdem gibt es die Möglichkeit DLP-Software von Drittanbietern zu integrieren, um Benutzeraktionen zu überwachen und mögliche Verstöße zu beheben

Reale Beispiele für Webex-Datenlecks

Hier ein paar Beispiele für Cyberangriffe auf den Dienst Webex:

• Im Jahr 2023 konnte ein nicht authentifizierter, Remote-Angreifer einen Cross-Site Request Forgery (CSRF)-Angriff auf ein betroffenes System durchführen.
• Im Jahr 2023 konnten mehrere Schwachstellen in der Weboberfläche von Cisco Webex Meetings es einem authentifizierten Remote-Angreifer ermöglichen, einen gespeicherten Cross-Site-Scripting (XSS)-Angriff durchzuführen oder beliebige Dateien als Aufzeichnungen hochzuladen.
• Im Jahr 2022 konnte ein Remote-Angreifer einen Cross-Site-Scripting (XSS)-Angriff oder einen Frame-Hijacking-Angriff gegen einen Benutzer der Weboberfläche durchführen.
• 2021 konnte eine Schwachstelle in der Kontoaktivierungsfunktion es einem nicht authentifizierten Remote-Angreifer ermöglichen, eine Kontoaktivierungs-E-Mail mit einem Aktivierungslink zu versenden, der auf eine beliebige Website verweist.
• Im Jahr 2021 konnte eine Schwachstelle in der Anwendungsintegrationsfunktion der Cisco Webex Software es einem nicht authentifizierten Remote-Angreifer ermöglichen, eine externe Anwendung zu autorisieren, sich in ein Benutzerkonto zu integrieren und auf dieses zuzugreifen, ohne die ausdrückliche Zustimmung des Benutzers zu haben.

Es wurde bestätigt, dass Cisco Software-Updates veröffentlicht hat, die diese Schwachstellen beheben.

Der Webex-Fall 2024 der deutschen Bundeswehr

Bereits 2019 wurde der Einsatz von Webex im Bund durch das BSI (Bundesamt für Sicherheit in der Informationstechnik) ermöglicht. Der Cisco-Dienst war und ist aber nicht unumstritten. Diskutiert wurde aber nicht die Sicherheit perse, da der Meeting-Dienst als sicher gilt, sondern, ob er den Bestimmungen der Datenschutz-Grundverordnung genügt. Beim Betrieb von Webex könnten nämlich Daten in die Vereinigten Staaten von Amerika übertragen werden.

Am 01. März 2024 kam es jetzt aber zu einer massiven Sicherheitslücke, wobei deutsche Militär-Mitarbeiter während einer Webex-Konferenz durch russische Spione abgehört wurden. Wichtige Informationen zum Ukraine-Russland-Krieg konnten so in die Hände Russlands geraten. Wie ist das möglich?

Wie sicher die Webex-Anwendung ist, hängt davon ab, wie man sie nutzt. Die Verschlüsselung für Anrufe muss zum Beispiel aktiviert werden. Wenn man sich mit einer ungeschützten Telefonverbindung einwählt, kann das ebenfalls zu Sicherheitsproblemen führen. Darauf deutete auch Verteidigungsminister Pistorius hin, der am 05. März 2024 meinte, dass die Kommunikationssysteme sicher seien und die Abhöraktion der Bundeswehroffiziere sei nur möglich gewesen, weil sich der Teilnehmer aus Singapur über eine nicht gesicherte Leitung dazuschaltete. Minister Pistorius sagte in diesem Zuge auch, dass disziplinarische Vorermittlungen gegen alle vier Gesprächsteilnehmer der Webex-Konferenz eingeleitet worden sind.

Im Moment sieht es also so aus, als sei nicht die Webex-Sicherheit das Problem des Datenlecks gewesen, sondern vielmehr die Nachlässigkeit eines der Teilnehmer, indem er sich über eine unsichere Verbindung eingeschaltet hat.