Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 10. Juni 2024 eine Schwachstellen-Meldung zu Webex herausgegeben. Die IT-Bedrohungslage wurde auf "2 / Gelb" eingestuft. Diese ist definiert als "IT-Bedrohungslage mit verstärkter Beobachtung von Auffälligkeiten unter temporärer Beeinträchtigung des Regelbetriebs."
Durch diese konnte auf Metadaten von Meetings zugegriffen und weitere Meetings identifiziert werden. Insbesondere bei Meetings, die nicht durch ein Passwort geschützt waren, gab es dadurch die Möglichkeit sich unautorisiert einzuwählen.
Cisco meldet in seinem Statement (nur auf Englisch verfügbar), dass die zugrundeliegende Sicherheitslücke bereits am 28. Mai 2024 geschlossen wurde.
Nach Aussage von Cisco wurde die betroffene Kundschaft informiert. Das BSI empfiehlt aber dennoch Meetings, die vor dem 28. Mai 2024 angesetzt wurden, zu löschen und neu anzulegen - vor allem Regeltermine.
Webex an der RWTH
Da die IT-Sicherheit für die RWTH einen sehr hohen Stellenwert hat, wird das Thema sowohl vom IT Center als Ganzes als auch von der zuständigen Fachabteilung sehr ernst genommen.
Nach Gesprächen mit dem Hersteller Cisco und einer eigenen intensiven Prüfung konnten wir feststellen, dass die RWTH und ihre Webex-Nutzenden nicht von den Sicherheitsvorfällen betroffen sind. Die entsprechend notwendigen Sicherheitsvorkehrungen wurden bereits vor Einführung von Webex an der RWTH umgesetzt.
Webex bietet bei Meetings und Chats grundsätzlich ein sehr hohes Niveau an Sicherheit und Datenschutz. Alle Meetings, Anrufe und Chatnachrichten zwischen Webex-Clients untereinander oder zu und zwischen RWTH-Telefonen sind verschlüsselt. Das bedeutet, dass Telefonate über die RWTH-Telefonanlage mit Webex-Softphones oder Tischtelefonen ebenfalls verschlüsselt sind und ausschließlich auf RWTH-Infrastruktur durchgeführt werden.
Zur Anhebung des Sicherheitsniveaus wird zusätzlich die Schlüsselverwaltung für alle Webex-Teilnehmenden der RWTH auf Servern lokal RWTH Rechenzentren betrieben in .
Besonders vertrauliche Gespräche
Wenn Sie besonders vertrauliche Gespräche per Webex führen wollen, erstellen Sie bitte ein Webex-Meeting des Typs "Private Meeting".
In diesem Fall werden Sprach- und Videodaten dieses Meetings ausschließlich über Ressourcen in RWTH Rechenzentren verteilt. Dabei gelten folgende Einschränkungen:
- Es können nur in Webex registrierte RWTH-Angehörige teilnehmen.
- An dem Meeting kann nur mit der Webex App teilgenommen werden.
- Alle Endgeräte müssen mit dem RWTH Datennetz verbunden sein. Dies ist auch über VPN, beispielsweise aus dem Home-Office, möglich.
Risiken
In folgenden Situationen besteht die Möglichkeit, dass die implementierten Sicherheitsmechanismen umgangen werden können:
1. Der/der Gastgeber*in lässt die Einwahl über das öffentliche Telefonnetz in das Meeting zu.
Da alle Telefongespräche im öffentlichen Telefonnetz, also Festnetz und Mobilfunknetz, in der Regel unverschlüsselt transportiert werden, könnten Angreifer*innen die Verbindung mithören. Wir empfehlen die Einwahl über das öffentliche Telefonnetz nicht zu zulassen, indem der Meetingtyp „private Meeting“ ausgewählt wird.
2. Die Einwahldaten zu einem Meeting sind Fremden bekannt geworden, dadurch können unbekannte Personen am Meeting teilnehmen.
Kontrollieren Sie als Gastgeber*in die Teilnahmeliste des Meetings. Schließen Sie gegebenenfalls unbekannte Teilnehmer*innen aus. Sperren Sie das Meeting im Meetingmenü, sodass erneute Teilnahmeanfragen in einer Lobby landen.
3. Das Endgerät wurde von Dritten kompromittiert.
In diesem Fall besteht ein hohes Sicherheitsrisiko bei jeglicher Kommunikation, die über das Gerät läuft. Verwenden Sie daher Endgeräte und Betriebssysteme, welche durch die Hersteller gepflegt werden. Verwenden Sie aktuelle Software und Virenscanner auf Ihren Endgeräten.
4. Es befinden sich Aufzeichnungsgeräte Dritte im Raum.
Sollten sich Aufzeichnungsgeräte Dritter während eines Meetings im gleichen Raum befinden, kann Ihre Kommunikation mitgehört werden. Achten Sie auf Ihre Umgebung und potentielle Mithörer*innen.
Kontakt bei Fragen
Sollten Sie weitere Fragen haben, wenden Sie sich bitte an Nicole Wießner oder Thomas Böttcher. Natürlich steht Ihnen auch das IT-ServiceDesk als Anlaufstelle zur Verfügung.