Vor wenigen Wochen berichtete ZEIT Online über eine schwerwiegende Sicherheitslücke bei der Bundeswehr: Über Monate hinweg seien Termine von Konferenzen, die über das Cisco-System Webex geplant wurden, offen im Internet einsehbar gewesen. So hätten sich Unbekannte in ein Meeting mehrerer Offiziere eingeschlichen und ein vertrauliches Gespräch über den Marschflugkörper Taurus abgehört.

Nun traf es auch die SPD: Eine Journalistin von ZEIT Online konnte sich demnach unbemerkt in digitale Konferenzen der Partei einwählen. Auch die Links zu zahlreichen Meetings der Partei seien zusammen mit Titel, Organisator*innen und Datum frei im Netz zugänglich gewesen. Die zugehörigen URLs ließen sich durch Hoch- und Herunterzählen der Konferenznummer erraten, wodurch es möglich war, auf die URLs aktueller Meetings zu schließen. Ein großer Teil der Meetings war darüber hinaus nicht mit einem Passwort geschützt.

Auch die Freie Universität Berlin nutzt seit der Corona-Pandemie Cisco Webex für Videokonferenzen und Telefonschalten, ebenso wie viele Behörden, Unternehmen und andere Institutionen.

Die wichtigsten Fragen und Antworten

Sind die Links zu Meetings der Freien Universität Berlin auch frei im Netz einsehbar?

Nein, die Webex-Instanz der Freien Universität wurde durch die FUB-IT bereits von Anfang an so konfiguriert, dass die Veranstaltungen der Universität nicht öffentlich aufgelistet werden.

Kann ich als Unbekannte*r einem Meeting der Universität beitreten, indem ich durch Hoch- oder Herunterzählen der Konferenznummer die URL ermittle?

Nein, jedes Webex-Meeting, das erzeugt wird, erhält zusätzlich zur Konferenznummer automatisch ein Meeting-Passwort, das aus einer zufälligen alphanummerischen Zeichenfolge besteht. Die Nutzer*innen müssen dies nicht individuell einstellen. Durch diese Konfiguration sind die URLs durch Hoch- oder Herunterzählen der Konferenznummer nicht zu erraten.

Worauf sollte ich als Nutzer*in bei der Nutzung von Webex achten?

Achten Sie während jedes Meetings immer darauf, dass nur die Personen anwesend sind, die zur Teilnahme berechtigt sind. Hierfür sollte die Teilnehmer*innenspalte in der Webex-App geöffnet sein und die dort gelisteten Teilnehmer*innen überprüft werden. Sind alle Teilnehmer*innen anwesend, sollte das Meeting „gesperrt“ werden. Diese Funktion bewirkt, das neue Teilnehmer*innen in der Lobby warten müssen und durch die Gastgeber*innen einzeln zugelassen werden müssen. Für die einzelnen Einstellungen können auch individuelle Vorlagen erstellt werden, um die Handhabung zu vereinfachen. Weitere Informationen zu den individuellen Sicherheitseinstellungen

Zusätzlich gilt: Geben Sie die Konferenznummer, das Meeting-Passwort oder die Meeting-URL nur an Personen weiter, die am Termin teilnehmen sollen.