Deutsche Luftwaffe abgehört: Wie sicher sind Web-Konferenzen?

05.03.2024

Wenn sogar die deutsche Luftwaffe bei einem Online-Gespräch abgehört wird, wie sicher sind dann Dienste wie Webex, Microsoft Teams oder Zoom?

Gruppenanrufe über das Internet sind inzwischen Routine. Sie sind so alltäglich, dass man sich über die Sicherheit der Anrufe recht wenig Gedanken macht. So wohl mutmaßlich auch bei der deutschen Luftwaffe. Die Folge: Der Mitschnitt einer vertraulichen Besprechung landete plötzlich im Netz, aufgenommen von Russland.

Im Gespräch zwischen 4 ranghohen Offizieren ging es um mögliche Einsatzszenarien von Taurus-Marschflugkörpern für die Ukraine. Wie das Gespräch mitgeschnitten werden konnte, ist Gegenstand von Ermittlungen. Bekannt ist, dass die beliebte Plattform Webex genutzt wurde. Die bietet eigentlich Verschlüsselung von Gesprächen an, gerade für Behörden.

Ein Verdacht wirft ein eher schlechtes Licht auf die Beteiligten, darunter auch Luftwaffe-Chef Ingo Gerhartz. Möglicherweise hat sich unbemerkt eine fünfte Person eingewählt und die Unterhaltung aufgezeichnet. Ob tatsächlich ein so eklatanter Fehler passierte, ist noch unklar. Alternativ könnte man auch das Telefon eines Teilnehmers abgehört oder die Umgebung verwanzt haben.

➤ Mehr lesen: Russland hat bei Webex-Konferenz der deutschen Luftwaffe gelauscht

Abhörsichere Hardware

Der Fall rückt die allgemeine Sicherheit von Videoanrufen ins Rampenlicht. Die futurezone hat nachgefragt, wie es um Webex, Microsoft Teams, Zoom und anderen Programmen bestellt ist.

„Bei den meisten größeren Anbietern sind die Anrufe zumindest transportverschlüsselt. Das bedeutet, es kann sich nicht einfach heimlich jemand in die Unterhaltung einschalten“, erläutert Sicherheitsexperte Sebastian Bicchi von Sec-Research auf Nachfrage der futurezone.

Problematisch werde es aber dann, wenn eine unsichere Verbindung als alternative Einwahlmöglichkeit angeboten wird, wie etwa Telefone. Bei vielen Besprechungen kann man sich damit einwählen, wodurch man einfacher abgehört werden kann. Auch nicht ausreichend gewartete bzw. gesicherte PCs oder Smartphones können zur Schwachstelle werden. „Es nützt die beste Verschlüsselung nichts, wenn das Gerät, mit dem man teilnimmt, nicht sicher ist“, warnt Bicchi.

Verschlüsselungsarten

Ende-zu-Ende: Damit werden die Inhalte von Nachrichten und Anrufe so verschlüsselt, dass nur Empfänger und Absender sie lesen bzw. hören können. Niemand sonst hat darauf Zugriff, auch nicht der Telekom-Anbieter oder das Messenger-Unternehmen

Transportverschlüsselung: Hier ist der Transport von Inhalten verschlüsselt, nicht aber die Inhalte selbst. Das erschwert einen Angriff von außen während der Übertragung

VPN: Mit einem Virtual Private Network wird die eigene Internetverbindung verschleiert. Das ist besonders in öffentlichen Netzwerken wichtig

Auf die Verschlüsselung achten

Um es Angreifer*innen so schwer wie möglich zu machen, sollte man entsprechende Vorkehrungen treffen. Dazu gehört es, einen Dienst von einem namhaften Anbieter zu wählen. Die Software sollte nur aus vertrauenswürdigen Quellen installiert und ständig auf dem neusten Stand gehalten werden. Zudem sollte die Internetverbindung sicher sein – im WLAN von Hotels oder Cafés sollte man keine vertraulichen Gespräche führen und grundsätzlich einen VPN-Dienst nutzen.

➤ Mehr lesen: Wie sinnvoll ist es noch, einen VPN-Service zu verwenden?

Fast alle privaten Dienste wie WhatsApp, FaceTime oder Signal bieten standardmäßig Ende-zu-Ende-Verschlüsselung an. Hier beschränken die Anbieter aber die Teilnehmerzahl. Bei Diensten wie Zoom und Microsoft Teams, die oft im professionellen Umfeld genutzt werden, muss man diese Verschlüsselungsart erst aktivieren. Funktionen wie Aufzeichnungen und Transkripte sind dann nicht mehr verfügbar, da der Anbieter keinen Zugriff mehr auf die entsprechenden Daten hat, um sie zu verarbeiten.

Eigene Nachlässigkeit

Deutlich wird, dass einem vor allem die eigene Nachlässigkeit zum Verhängnis werden kann. Laut Bicchi sollten Besprechungen immer mit einem Passwort gesichert werden. Das allein reicht aber nicht, denn Einladungslink und Passwort kann man weiterleiten. Gibt es ein Sicherheitsleck, könnten Angreifer auch über ein gehacktes E-Mail-Konto Zugriff auf die Einwahldaten bekommen.

Wer ein Meeting erstellt, kann bei allen gängigen Anwendungen festlegen, dass Teilnehmer*innen zuerst in einem Wartebereich landen. Die Person, die das Meeting leitet, kann diese dann aktiv hereinlassen, wie bei einer digitalen „Ticketkontrolle“. Das macht es ungebetenen Gästen schwerer, sich einzumogeln. Bicchi empfiehlt, vor Beginn einer Besprechung nochmals die Teilnehmer*innenliste zu kontrollieren. Unternehmen können Besprechungen sogar so weit beschränken, dass nur Personen aus dem Firmennetzwerk teilnehmen dürfen.

➤ Mehr lesen: Kann mein Chef bei Microsoft Teams oder Slack mitlesen?

Nutzer*innen als Schwachstelle

Wie sicher sind also Konferenz-Calls? So sicher wie man sie selbst im Rahmen seiner Möglichkeiten gestaltet. Die Werkzeuge, einen Anruf vor ungewollten Zuhörer*innen zu schützen, sind verfügbar, man muss sie nur richtig nutzen. Wer Datenschutzeinstellungen und den sorgsamen Umgang mit Informationen rund um die Besprechung in seine Anruf-Routine aufnimmt, schützt damit sich und die Teilnehmer*innen vor dem Abhören.

Bei Behörden sind eigentlich Prozesse wie die Weitergabe vertraulicher Informationen – darunter auch Einwahldaten für Besprechungen – klar geregelt. Daher gilt aufzuklären, ob man sich bei der Luftwaffe an diese Regelungen gehalten hat.

Frag die futurezone

In der Rubrik "Frag die futurezone" recherchieren und beantworten wir ausgewählte Fragen zu Tech-Themen für euch.

Stellen könnt ihr sie mit einer E-Mail an die Adresse redaktion@futurezone.at - Betreff: "Frag die futurezone", ihr könnt uns aber auch gern via Social Media (Facebook, Instagram, Twitter) kontaktieren.