19. November 2020, 15:50

Unsichtbare Teilnehmer bei WebEx Konferenzen

Aufgrund einer Schwachstelle (CVE-2020-3419) könnten Angreifer bei Webex-Meetings zugegen sein, ohne in der Teilnehmerliste aufzutauchen. Als “Geist” vor den anderen Teilnehmern verborgen könnten Angreifer unter anderem Audio- und Videoinhalte belauschen.

Das schreibt Heise in seinem heutigen Beitrag.1

Das ist aber (…) nur möglich, wenn Angreifer Zugang zu Meetings in Form von Teilnahme-Links nebst Passwort haben.

Klingt harmlos, ist es aber nicht. Die Schutzziele Vertraulichkeit und Integrität sind dahin wenn zum Beispiel in einem Vorstellungsgespräch andere unbemerkt mitlauschen. Zugangsdaten können leicht in unverschlüsselten Emails abgefangen werden. Es ist nicht selten, dass feste Besprechungsräume über längere Zeit Ihre Zugangsdaten beibehalten.

Zusammen mit anderen Schwachstellen in Cisco-Serverkomponenten ergibt das ein desolates Bild. Nicht alle Produkte konnten bislang gefixt werden. Das Cisco Security Advisory gibt weitere Hilfestellung.2

Bei Nutzung von US-Anbietern entfällt ohnehin jede gesetzliche Grundlage3. In Gesprächen mit besonders vertraulichen Inhalten oder bei Projekten mit NDA- oder Verschwiegenheitsklauseln mit Poenale kann genau das zum Risiko werden. Gerne zeige ich im Rahmen eines Webinars mehr Beispiele aus der Praxis4. Hier im Blog habe ich den einen oder anderen Seitenhieb gegeben: Sei es zu Discord5 oder zu Digitalisierungsprojekten im Mittelstand6.

Ich helfe gerne weiter, egal ob als in Gestalt eines Managed-Servers oder von eigenen Servern im Firmennetzwerk.

Ich verweise auch gerne auf meine aktuelle Aktion bis zum Jahresende.7

Einfach ansprechen!

Tomas Jakobs


  1. https://www.heise.de/news/Cisco-Sicherheitsupdates-Webex-Meetings-von-Teilnehmern-unbemerkt-belauschbar-4965190.html ↩︎

  2. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-auth-token-3vg57A5r ↩︎

  3. https://noyb.eu/en/next-steps-eu-companies-faqs ↩︎

  4. https://blog.jakobs.systems/micro/20201012-webinar-videokonferenzsysteme/ ↩︎

  5. https://blog.jakobs.systems/blog/20200905-privacy-shield-discord/ ↩︎

  6. https://blog.jakobs.systems/blog/20201014-homeoffice/ ↩︎

  7. https://blog.jakobs.systems/blog/20201103-managed-server/ ↩︎

© 2020 Tomas Jakobs - Impressum und Datenschutzhinweis