12.06.2024 Digitales — Ausschuss — hib 418/2024

Cisco berichtet Digitalausschuss über Webex-Sicherheitslücke

Berlin: (hib/LBR) Cisco Webex hat alle Kunden, von denen man wisse, dass sie von einer Sicherheitslücke betroffen sind, zeitnah darüber informiert. Das haben Vertreter des Unternehmens am Mittwochnachmittag im Digitalausschuss des Bundestages betont. Man habe keine Hinweise auf weitere Hacker gefunden und es gebe keine Vorfälle, die das Unternehmen nicht kommuniziert habe, hieß es weiter.

Der Ausschuss hatte das Thema wegen einer im Mai öffentlich gewordenen Sicherheitslücke im Videokonferenzsystem Webex auf die Tagesordnung gesetzt. Cisco sei bekannt, dass Metadaten über den Meeting-Gastgeber, den Titel und den Zeiten des Meetings im geringen Umfang abgeflossen seien, sagte ein Unternehmensvertreter auf Nachfrage der Abgeordneten. Die Meeting-IDs seien Zufallszahlen, im Datensatz lasse sich eine Anonymisierung feststellen, betonte er weiter.

Der Abfluss von Metadaten sei dem Unternehmen im Laufe des Monats Mai angezeigt worden. Man habe Untersuchungen eingeleitet und einen Bug festgestellt. Es habe sich um einen Angriff gehandelt, der mit Energie getätigt wurde, berichtete der Vertreter. Die API sei daraufhin abgeschaltet und ein Bugfix entwickelt worden. Dieser sei innerhalb von zwei Tagen in alle Systeme eingespielt worden, auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) sei am 25. Mai informiert worden. Auf die Frage aus den Reihen der Abgeordneten nach einer Diskrepanz zu den Daten des Vereins Netzbegrünung verwies das Unternehmen darauf, dass die Logdaten von Cisco aus Datenschutzgründen nur bis zum 6. Mai 2024 zurückreichten.

Die Unternehmensvertreter berichteten über die verschiedenen Cisco-Plattformen und Einwahlarten sowie über die Prozesse, die bei Sicherheitslücken ergriffen werden. Es gebe drei Ebenen der Security; das Produkt selbst, die Konfiguration durch den Betreiber und drittens den Endteilnehmer. In den Fällen, über die in den vergangenen Monaten berichtet wurde, habe es sich um eine Mischung aller drei Komponenten gehandelt. Datenschutz und Sicherheit seien die grundlegenden Gestaltungskriterien für alle Webex-Produkte, betonten die Vertreter. Das Unternehmen biete Ende-zu-Ende-Verschlüsselung mit starken Schlüsseln an, die beim Nutzer liegen. Der Zugang zu Meetingräumen per Telefon sei optional.