Für das politische Berlin war es eine Premiere: Am 22. April 2020 tagte wegen der Corona-Beschränkungen zum ersten Mal in der Geschichte des Bundestags ein Ausschuss komplett digital. Dafür hatte die Bundestagsverwaltung eilig die Videokonferenz-Lösung Webex des US-Netzwerkspezialisten Cisco beschafft, damit sich die Mitglieder des Digitalausschusses zumindest virtuell treffen können. Nicht nur der Bundestag setzt seitdem auf Webex, sondern alle Bundesbehörden, einschließlich der Bundeswehr. Nun steht sie im Mittelpunkt der Abhöraffäre bei der Luftwaffe.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte bereits 2019 der Cisco-Lösung mit einem sogenannten C5-Testat den Einsatz im Bund ermöglicht. Bei dem Anforderungskatalog Cloud Computing (Cloud Computing Compliance Controls Catalogue, kurz C5) legt das BSI fest, welche Ansprüche Cloud-Anbieter zur Gewährleistung einer hohen Sicherheit erfüllen sollten.
Trotz der BSI-Bescheinigung war die Kommunikationslösung von Cisco nicht unumstritten. Hinterfragt wurde aber in der Regel nicht die Sicherheit, die nun mit dem Abhörskandal der Luftwaffe im Fokus steht. Die Vertraulichkeit schien durch eine Ende-zu-Ende-Verschlüsselung gewährleistet. Die Kommunikationsinhalte werden bei diesem Verfahren auf den Endgeräten verschlüsselt und erst wieder auf den Endgeräten der anderen Teilnehmer entschlüsselt. Auch Cisco kann diese Inhalte nicht entschlüsseln. Kontrovers wurde vielmehr diskutiert, ob die Bestimmungen der Europäischen Datenschutz-Grundverordnung (DSGVO) eingehalten werden, weil beim Webex-Betrieb Daten in die USA übertragen werden könnten.
Im Oktober 2022 wies allerdings die damalige niedersächsische Landesdatenschutzbeauftragte Barbara Thiel bereits darauf hin, dass Videokonferenzlösungen nicht nur datenschutzkonform sein müssten, sondern auch sicher. «Ohne IT-Sicherheit können die Ziele des Datenschutzes nicht erreicht werden, da IT-Sicherheit einige wesentliche Schutzziele des Datenschutzes abdeckt.»
Wie sicher eine Videokonferenzlösung ist, steht in einem direkten Zusammenhang mit der Art und Weise, wie sie genutzt wird. So sind Videoschalten mit Cisco Webex zwar verschlüsselt. Diese Verschlüsselung muss aber auch aktiviert werden. Außerdem fällt der Schutz weg, wenn Teilnehmer sich nicht über die Webex-App beteiligen, sondern mit einer normalen Telefonverbindung einwählen. Bei dem abgehörten Gespräch der Luftwaffen-Offiziere soll sich ein hochrangiger Soldat aus einem Hotel in Singapur zugeschaltet haben.
Sicherheitsanfällig ist auch der Workflow, mit dem eine Konferenz via Webex Meetings eingerichtet wird: Nur der sogenannte Gastgeber muss bei dem Dienst angemeldet sein. Alle weiteren Teilnehmer können sich einfach über einen Link dazuschalten. Wenn dieser Link beispielsweise in einer unverschlüsselten E-Mail übertragen wird, stehen Tür und Tor sperrangelweit offen. Allerdings hätte es Luftwaffen-Inspekteur Ingo Gerhartz und den anderen Teilnehmern auffallen müssen, dass ein Fremder virtuell mit am Tisch sitzt. Denkbar ist aber auch, dass gar nicht Webex die Schwachstelle war, sondern klassische Abhörmethoden wie das Verwanzen des Hotelzimmers dazu geführt haben, dass die brisanten Inhalte in die Hände der russischen Geheimdienste fielen.
Unter den Bundeseinrichtungen wäre die Bundeswehr eigentlich am ehesten personell in der Lage, Schwachstellen in der IT-Sicherheit zu erkennen und zu schließen. Nach einer Antwort der Bundesregierung auf eine parlamentarische Anfrage der Linken-Abgeordneten Anke Domscheit-Berg verfügt der Bund aktuell über 4575 IT-Sicherheitsstellen, davon ist jede Dritte im Bereich Verteidigung.
«Der Vorfall zeigt aber auch, dass wir immer noch das Defizit an IT-Sicherheitskompetenz abbauen müssen. Und zwar auf allen hierarchischen Ebenen. Und auch nicht bloß bei der Bundeswehr, sondern wirklich in allen anderen Behörden», sagte Domscheit-Berg der dpa. Man müsse sich der Gefahr bewusst sein, dass auch auf Informationsebene ein Krieg geführt werde. «Deshalb muss man nicht nur immerzu von Panzern reden, sondern auch von der Informationssicherheit.» (dpa)