Für das politische Berlin war es eine Premiere: Am 22. April 2020 tagte wegen der Corona-Beschränkungen zum ersten Mal in der Geschichte des Bundestags ein Ausschuss komplett digital. Damit sich die Mitglieder des Digitalausschusses zumindest virtuell treffen können, hatte die Bundestagsverwaltung eilig die Videokonferenz-Lösung Webex von Cisco beschafft. Nicht nur der Bundestag setzt seitdem auf Webex, sondern alle Bundesbehörden, einschließlich der Bundeswehr. Nun steht das Vidokonferenz-Tool im Mittelpunkt der Abhöraffäre bei der Luftwaffe.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte bereits 2019 der Cisco-Lösung mit einem sogenannten C5-Testat den Einsatz im Bund ermöglicht. Bei dem Anforderungskatalog Cloud Computing (Cloud Computing Compliance Controls Catalogue, kurz C5) legt das BSI fest, welche Ansprüche Cloud-Anbieter zur Gewährleistung einer hohen Sicherheit erfüllen sollten.
Datenschutz bei Webex lange umstritten
Trotz der BSI-Bescheinigung war die Kommunikationslösung von Cisco nicht unumstritten. Hinterfragt wurde aber in der Regel nicht die Sicherheit, die nun mit dem Abhörskandal der Luftwaffe im Fokus steht. Die Vertraulichkeit schien durch eine Ende-zu-Ende-Verschlüsselung gewährleistet.
Die Kommunikationsinhalte werden bei diesem Verfahren auf den Endgeräten verschlüsselt und erst wieder auf den Endgeräten der anderen Teilnehmer entschlüsselt. Auch Cisco kann diese Inhalte nicht entschlüsseln. Kontrovers wurde vielmehr diskutiert, ob die Bestimmungen der Europäischen Datenschutz-Grundverordnung (DSGVO) eingehalten werden, weil beim Webex-Betrieb Daten in die USA übertragen werden könnten. Hier hat isco in den vrgangenen Jahren immer wieder nachgebessert. Mitte 2023 wurden diese Bemühungen mit dem Erreichen von Level 3 beim EU Cloud Code of Conduct (EU Cloud CoC Level 3) gekrönt.
Im Oktober 2022 wies allerdings die damalige niedersächsische Landesdatenschutzbeauftragte Barbara Thiel bereits darauf hin, dass Videokonferenzlösungen nicht nur datenschutzkonform sein müssten, sondern auch sicher. "Ohne IT-Sicherheit können die Ziele des Datenschutzes nicht erreicht werden, da IT-Sicherheit einige wesentliche Schutzziele des Datenschutzes abdeckt."
Sicherheit ist auch Aufgabe der Nutzer
Wie sicher eine Videokonferenzlösung ist, steht in einem direkten Zusammenhang mit der Art und Weise, wie sie genutzt wird. So lassen sich Videoschalten mit Cisco Webex zwar verschlüsseln, aber diese Verschlüsselung muss auch aktiviert werden. Außerdem fällt der Schutz weg, wenn Teilnehmer sich nicht über die Webex-App beteiligen, sondern mit einer normalen Telefonverbindung einwählen. Bei dem abgehörten Gespräch der Luftwaffen-Offiziere soll sich ein hochrangiger Soldat aus einem Hotel in Singapur zugeschaltet haben.
Sicherheitsanfällig ist auch der Workflow, mit dem eine Konferenz via Webex Meetings eingerichtet wird: Nur der sogenannte Gastgeber muss bei dem Dienst angemeldet sein. Alle weiteren Teilnehmer können sich einfach über einen Link dazuschalten. Wenn dieser Link beispielsweise in einer unverschlüsselten E-Mail übertragen wird, stehen Tür und Tor sperrangelweit offen.
Allerdings hätte es Luftwaffen-Inspekteur Ingo Gerhartz und den anderen Teilnehmern auffallen müssen, dass ein Fremder virtuell mit am Tisch sitzt. Denkbar ist aber auch, dass gar nicht Webex die Schwachstelle war, sondern klassische Abhörmethoden wie das Verwanzen des Hotelzimmers dazu geführt haben, dass die brisanten Inhalte in die Hände der russischen Geheimdienste fielen. (Christoph Dernbach, dpa/pma)