WebEx: Cisco warnt Firmen vor Ausspähung bei schlampiger Konfiguration

Sicherheit

Auf das Problem aufmerksam gemacht hatte der Sicherheitsexperte Brian Krebs. Ihm war es mit geringem Aufwand gelungen, sich in eigentlich interne Meetings von großen Firmen einzuwählen. Möglich war das dadurch, dass viele Firmen die eigentlich vorhandenen Sicherheitsmechanismen nicht nutzen – oder sogar deaktivieren.

Cisco hat Nutzer seines Konferenzdienstes WebEx darauf hingewiesen, dass eine unsaubere Konfiguration die Gefahr mit sich bringt, dass Unbefugte die Meetings belauschen. Zudem hat Cisco die Nutzungsrichtlinien aktualisiert (PDF). Das Unternehmen reagiert damit auf einen Bericht des Sicherheitsspezialisten Brian Krebs, wonach viele Firmen den Dienst nutzen, ohne ihn durch ein Passwort zu schützen. Damit seien deren Online-Meetings im Grunde für jedermann einsehbar.

Cisco warnt Firmen vor Ausspähung durch falsche Konfiguration bei WebEx

Wie Krebs berichtet, hat er diese Schachstelle bei zahlreichen Unternehmen festgestellt. Ohne einen Passwortschutz können Unbefugte laut Krebs “an täglichen Meetings mit internen Diskussionen oder auch an Planungssitzungen” teilnehmen. Das sei ihm etwa beim US Department of Energy, den Firmen Fannie Mae, CSC und Union Pacific gelungen, da diese Informationen wie Zeitpunkt, Gastgeber, Thema und Dauer – teilweise sogar mit einem Link auf das Meeting – veröffentlicht hatten. Einige dieser Unternehmen hätten sogar den Zugriff auf aufgenommene Sitzungen ermöglicht. Vor seiner Veröffentlichung hat Krebs die betroffen Unternehmen auf die unsicheren Einstellungen hingewiesen.

Über das sogenannte Event Center in WebEx waren auch die Zeitpläne für diese virtuellen Treffen einsehbar. Das Web ex Event Center bietet die Möglichkeit, Meetings aufzulisten, was vor allem dann praktishc ist, wenn man mit einer größeren Menge von externen Teilnehmern, etwa bei einer Kundenveranstaltung, eine Konferenzschaltung, rechnet. Allrding ist es gerade dann für Unbefugte noch einfacher, sich unbemerkt einzuschleichen.

Grundsätzlich sind bei Webex zahlreiche Sicherheitsmechanismen vorhanden. So lassen sich vertrauliche Gespräche zum Beispiel über ein Passwort schützen. Diese Passwortfunktion ist standardmößig voreingestellt, lässt sich aber deaktivieren. Und das haben offenbar der einfacheren Nutzung halber zahlreiche Unternehmen getan.

Im WebEx-Blog wird auf die vorhanenen Sicherungsmöglichkeiten noch einmal ausführlich eingegangen: Demnach sollten interne Meetings nicht öffentlich gelistet werden und für vertrauliche, interne Meetings werden starke Passwörter empfohlen. Dadurch ändere sich auch für die Besucher nichts, die nach wie vor über das Anklicken eines Links in den virtuellen Meeting-Raum gelangen.

Zusätzliche Sicherheit biete auch das Deaktivieren der Funktion “Join bevor Host”. Dadurch können sich Teilnehmer in ein Meeting einklicken, bevor der Gastgeber angemeldet ist. Auch die Funktion “Host as Presenter” könne im Zweifel verhindern, dass Inhalte in falsche Hände gelangten. Zudem sollten Meetings nur dann öffentlich gelistet werden, wenn es dafür “echte Business-Gründe gibt”.

[mit Material von Martin Schindler, silicon.de]

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen