Webex-Sicherheitslücke: SPD von möglichen Spionageangriffen betroffen


Kommentare zu folgendem Beitrag: Webex-Sicherheitslücke: SPD von möglichen Spionageangriffen betroffen

Die jüngsten Vorfälle bei der Bundeswehr und nun auch bei der SPD zeigen, dass keine Institution vor möglichen Sicherheitslücken gefeit ist. In beiden Fällen war die Schwachstelle die eigentlich als sicher geltende Konferenzsoftware Webex von Cisco.

Wie sicher die Webex-Anwendung ist, hängt davon ab, wie man sie nutzt. Die Verschlüsselung für Anrufe muss zum Beispiel aktiviert werden. Wenn man sich mit einer ungeschützten Telefonverbindung einwählt, kann das ebenfalls zu Sicherheitsproblemen führen. Darauf deutete auch Verteidigungsminister Pistorius hin, der am 05. März 2024 meinte, dass die Kommunikationssysteme sicher seien und die Abhöraktion der Bundeswehroffiziere sei nur möglich gewesen, weil sich der Teilnehmer aus Singapur über eine nicht gesicherte Leitung dazuschaltete.
Im Fall des SPD-Leaks geht man wohl von ähnlichen Umständen aus, die zu dem Vorfall führten!
Es nutzt also nichts, eine sichere Technik zu benutzen, wenn die User nicht in der Anwendung geschult sind…!

1 „Gefällt mir“

Seh da mehr den Anbieter in der Pflicht, sprich Cisco.
Grundsätzlich sollte das von Hause aus sichere Einstellungen haben und erst auf Wunsch geöffnet werden, nicht andersrum.

Darüber gehts doch hier gar nicht! Es geht darum, dass die Beteiligten ihre eigenen Webex-Instanzen selber hosten und von ihren eigenen Admins verwalten lassen!
Wenn diese das aber nicht gebacken bekommen, die benötigte Infrastruktur und die Software gemäß der Vorgaben, Best Practices und Tutorials von Cisco einzurichten, läuft doch etwas grundlegend falsch, was ausserhalb der Verantwortung des Herstellers liegt…

Trotz Zusicherungen von Cisco, dass die Lücke geschlossen sei, besteht offensichtlich weiterhin eine Webex-Sicherheitslücke.

Die aktuellen Sicherheitsprobleme werfen die Frage nach der Verantwortung des Anbieters Cisco auf. Trotz wiederholter Vorfälle hat das Unternehmen bisher nicht angemessen reagiert oder die betroffenen Institutionen gewarnt.

Bereits der Artikel widerspricht dem.

Na klar haben die Admins eine Verantwortung. Aber Software wird immer komplexer und vor allem verändert sich schneller !
Ich kenne gute Admins, aber auch die holen sich Hilfe zb Bsp bei der Windows AD. Keiner beherrscht mehr alles.

Software und speziell die für Internet sollte per default erstmal die sicherste Einstellung haben.

  • Offensichtlich heißt ja nicht automatisch, dass diese Lücke definitiv vorhanden ist!

  • Cisco verneint dies ja auch. Warum sollte Cisco nun lügen, denn WebEx ist bei** denen im Bug-Bounty eingetragen?

  • Im Fall der SPD geht es definitiv um eine selbst gehostete Instanz. Da hört dann auch die Verantwortung seitens Cisco auf. Das wäre natürlich anders, wenn die Politiker auf eine Cisco-Instanz zurückgegriffen hätten!

Wenn ich zb ein Linux auf einem Rootserver installiere und alle Dienste wären perse offen im Internet erreichbar incl zb einer Datenbank. Dann würde ich das durchaus der Linux Distribution ankreiden.
Was zum Glück natürlich nicht der Fall ist. :slight_smile: