Heute berichtet Eva Wolfangel bei zeitonline über weitere, massive Sicherheitslücken bei der Videokonferenzsoftware WebEx von CISCO. Gemeinsam mit Misbah Khan, Mitglied des Innen- und des Digitalausschusses, habe ich die Veröffentlichungen bewertet. Unser Unverständnis, darüber, dass eine vielfach angemahnte und auch zugesicherte Generalrevision unserer Telekommunikationsinfrastrukturen hinsichtlich ihrer Integrität nicht vorgenommen wurde, ist groß.
Im März schreckten Meldungen über abgehörte Gespräche hochrangiger Bundeswehroffiziere auf. Schon damals handelte es sich um einen für die Sicherheit Deutschlands und seiner Verbündeten sehr gravierenden Vorgang. Besonders die große Sorglosigkeit und der schlechte Eigenschutz unserer, auch sicherheitspolitisch relevanten Kommunikation waren ein Alarmsignal.
Eine schnelle und umfassende Aufklärung, gerade hinsichtlich der Frage, ob es sich um einen einmaligen Vorgang oder ein strukturelles Problem handelt, ist seitdem sicherheitspolitisch dringend notwendig. Unsere Erwartungshaltung haben wir sehr deutlich in Richtung Bundesregierung artikuliert und eine umfassende Aufklärung in den zuständigen Ausschüssen und Gremien durch entsprechende Berichte lanciert. Diese wurde mehrfach zugesichert.
Ein strukturelles Problem wurde stets verneint. Anfang Mai legte eine erneute Presserecherche offen, dass die Ausmaße der Sicherheitslücke den Einzelfall weit überschreiten. Vieles deutet fortan auf ein strukturelles Problem mit einer Vielzahl von potentiell Betroffenen hin.
Wir erneuerten unsere Forderung, in allen politischen Bereichen, und gerade in denjenigen, die tagtäglich mit sicherheitspolitisch sensiblen Dateien und Informationen umgehen, eine Generalrevision mit Blick auf die Integrität der eigenen Kommunikations-Infrastrukturen, Firmen und eingesetzten Programme vorzunehmen – und die „Zeitenwende“ angesichts der immensen Bedrohungslage und täglich neuer hybrider Angriffe tatsächlich umzusetzen.
Heute wird deutlich, dass eine solche Generalrevision nicht vorgenommen wurde. Die massiven Sicherheitsprobleme sind offenbar noch einmal deutlich größer. Weltweit sind Regierungen, Unternehmen und Institutionen betroffen – auch in zahlreichen EU-Mitgliedsstaaten, auch in Deutschland. Neben mehreren Bundesministerien und -behörden, dem Bundestag, Fraktionen und Staatskanzleien sind offenbar auch mehrere große Unternehmen und das BSI selbst betroffen. So konnten strukturell aussagekräftige Metadaten ausgelesen und einzelne Meetings abgehört werden.
Wir begrüßen, dass CISCO mittlerweile Betroffene informiert. Wir erwarten von dem Unternehmen, dass nicht nur geltende rechtliche Bestimmungen wie Informationspflichten beachtet werden, sondern CISCO die Aufklärung eigeninitiativ vorantreibt, der Schutz betroffener Organisationen im Vordergrund steht und man sehr eng mit den zuständigen Behörden kooperiert. Inwiefern es zu Versäumnissen beim Schutz Betroffener kam, gilt es aufzuklären.
Es ist uns völlig unverständlich , warum nicht spätestens Anfang Mai eine Generalrevision unserer Telekommunikationsinfrastrukturen hinsichtlich ihrer Integrität vorgenommen wurde, obwohl auch von uns auf die Gefahr potentiell struktureller Probleme hingewiesen wurde. Eine Generalrevision muss nun oberste Priorität haben, um weiteren sicherheitspolitischen Schaden zu verhindern.
Erneut wird deutlich, wie gefährlich nicht geschlossene Sicherheitslücken für die allgemeine IT-Sicherheit und Schutz von Kommunikation sind. Umso wichtiger ist es, große Abhängigkeiten von einzelnen Anbietern schnellstmöglich zu reduzieren. Auch der verstärkte Einsatz von Open Source-Anwendungen bleibt, darauf weist auch das BSI seit Jahren hin, dringend angeraten. Gerade in staatlichen Kommunikationssystemen muss der Einsatz prioritär geprüft werden.
Comments are closed