Eine weiteres Tool für virtuelle Meetings in den Zeiten von Covid-19 ist WebEx Online Meeting von Cisco. Nach den Beiträgen zu Zoom und Microsoft Teams wird im Folgenden erklärt, welche Security-Features WebEx bietet und wie man diese kontrollieren kann. Der Artikel bezieht sich auf die kostenlos verfügbare Version WebEx Online Meetings, welche unter webex.com genutzt werden kann.

In der kostenlosen Version können mit einem aktuellen Special Offer 100 Teilnehmer für eine unbegrenzte Zeit an virtuellen Meetings teilnehmen und diverse Kollaboration-Features wie Chat, File- und Whiteboard-Sharing etc. nutzen. Genauere Details zu den Features und auch den premium Versionen können auf der Pricing-Seite von WebEx gefunden werden.

Sign Up

Wer Meetings hosten möchte, muss ein Account bei Cisco WebEx erstellen. Dazu muss eine Mailadresse, auf welche man Zugriff hat, sowie Namen und Standort angeben werden.

Mittels initialer Mail wird der Benutzer aufgefordert ein Passwort mit folgenden Anforderungen zu definieren:

• mindestens 8 Zeichen
• mindestens 2 Buchstaben
• mindestens eine Kombination von Gross- und Kleinbuchstaben
• mindestens eine Zahl

Folgendes darf nicht enthalten sein:

• Den eigenen Namen, Benutzernamen oder Firmennamen
• Die letzten drei Passwörter
• Leicht zu erratende Wörter
• Alle Zeichen, die mehr als 2 Mal wiederholt werden

Besser würden hier 10 Zeichen oder mehr sowie auch Sonderzeichen verwendet werden. WebEx überprüft bei der Eingabe der Passwörter die gestellten Anforderungen und dies grundsätzlich wie angegeben.

Spanend hierzu ist, dass bezüglich der Anforderungen “Leicht zu erratende Wörter” z.B. folgende Wörter erkannt werden: webex, cisco, pass (wie in Password). Jedoch werden Wörter, welche aus unseren Analysen, aus öffentlichen Leaks, häufig in Passwörtern gesehen werden, nicht erkannt. Zum Beispiel Status, Dragon oder auch Liverpool. Übrigens wird der Benutzername bei WebEx als komplette Mailadresse definiert, somit kann bei der Wahl vontestaccount@xxx.xxxx ein Teil des Passworts testaccount nutzen (was nicht zu empfehlen ist).

Adhoc-Meetings

Adhoc-Meetings können mittels “Persönlichem Raum” aufgesetzt werden. Die Teilnahme erfolgt über die Eingabe der entsprechenden Benutzer-ID des Gastgebers auf der Meetings-Seite von WebEx.

Diese Variante ist jedoch nicht zu empfehlen, da sie nicht mit einem Passwort abgesichert werden kann. Einzig der Eintritt nach Starten des Meetings kann nach einer definierten Zeitperiode verhindert werden; standardmässig ist diese auf 10 Minuten gesetzt. Stattdessen sollten geplante Meetings umgesetzt werden.

Meeting mit Kennwort schützen

Setzt man konkret ein Meeting auf, besteht WebEx darauf, ein Passwort für das Meeting zu definieren. Ausserdem schlägt WebEx gleich ein Passwort vor, welches aus 11 Zeichen mit Zahlen, Gross- und Klein-Buchstaben besteht. Per Refresh-Button können andere Varianten generiert werden.

Auch ein eigenes Passwort, mit folgenden Anforderungen, kann gesetzt werden:

• mindestens 4 Zeichen
• keine leicht zu erratenden Schlüsselwörter
• keine speziellen Sonderzeichen, z.B. Leerzeichen

Auch hier wäre eine etwas schärfere Passwort-Policy wünschenswert, damit schwache Passwörter wie 1111 nicht möglich sind. Ausserdem ist hier nun z.B. das Wort Cisco erlaubt. Dies würde bedeuten, dass unterschiedliche Bibliotheken von “leicht zu erratenden Schüsselwörter” bei Account-Passwort und Meeting-Passwort verwendet werden.

Obwohl hier standardmässig ein Passwort beim Erstellen des Meetings generiert wird, heisst dies nicht, dass die Teilnehmer das Passwort auch eingeben müssen. Da der Link, den die Teilnehmer per Mail erhalten, bereits das “Passwort” in Form einer ID enthält, bietet dies die Möglichkeit den Link weiter zu senden und so Personen einzuladen, welche ohne Eingabe des Passworts teilnehmen können. Dem kann aber Abhilfe geschaffen werden.

Setzt man eine Meeting auf, sind leider etwas versteckt, die entsprechenden Einstellungen zu finden. Unter Ein Meeting Aufsetzen / Erweiterte Optionen anzeigen / Ansetzoptionen / Passwort entfernen. Damit muss aber das Passwort explizit dem Teilnehmer übermittelt werden.

Meeting mit Teilnehmer-Registration

Diese Einstellung ist grundsätzlich sinnvoll, da nun Teilnehmer explizit durch den Gastgeber bestätigt werden müssen, bevor diese am Meeting teilnehmen können. Das Feature wird aktiviert mit der Checkbox bei Teilnehmer-Registrierung anfordern unter Registrierung.

Über die Meeting-Übersicht im Hauptmenu können anschliessend, unter dem jeweiligen Meeting-Eintrag, die Registrationen der eingeladenen Teilnehmer bestätigt werden.

Die Registration verläuft etwas umständlich. Eine initiale Mail für die Registration, danach eine weitere Mail für die effektive Teilnahme am Meeting.

Teilnehmer-Privilegien

Unter den Teilnehmer-Privilegien sollten alle Rechte entzogen werden, die nicht explizit benötigt werden. Diese können ebenfalls unter den Ansetzoptionen beim Erstellen von geplanten Meetings angepasst werden.

Meeting Sperren

Das Sperren von Meetings, respektive die Zutritts-Verweigerungen nach dem Start eines Online Meetings, ist bei Adhoc-Meetings standardmässig auf 10 Minuten gesetzt und kann unter Einstellungen / Mein persönlicher Raum / Automatische Sperre eingesehen werden.

Für geplante Meetings existiert leider keine solche Einstellung beim Erstellen des Meetings. Jedoch kann nach dem Start eines Meetings die entsprechende Funktion im Menu aktiviert werden.

Als Vorlage speichern

Zu guter Letzt sollten die konfigurierten Security-Einstellungen als Template gespeichert werden, um für zukünftige Meetings ebenfalls abgesichert zu sein. Gespeicherte Vorlagen können oben Rechtes beim Erstellen eines Meetings ausgewählt werden.

Fazit

Die gratis Version von WebEx Online Meetings kommt etwas unbedarft daher. Für Adhoc-Meetings kann kein Passwort gesetzt werden. Die Standard Einstellungen für geplante Meetings erzeugt den Eindruck, dass ein Passwort für die Teilnahme nötig ist, dies stimmt jedoch so nicht, den Teilnehmer können mittels des zugestellten Links ohne Eingabe des Passworts teilnehmen. Jedoch bietet WebEx entsprechende Einstellungen, um seine Online-Meetings abzusichern. Idealerweise wäre diese bereits als Standard-Einstellungen vorhanden. Mit der Speichern-Als-Vorlage-Funktion kann dies jedoch selbst nachgeholt werden.

Über den Autor

Dominik Altermatt arbeitet seit 2003 in der IT-Branche. Unter anderem hat er sich mehrere Jahre mit Data Leakage Prevention bei einer Grossbank beschäftigt. Heute liegen seine Schwerpunkte neben klassischen Penetration Tests bei der Einführung und der Weiterentwicklung von IT-Security-Management-Prozessen. (ORCID 0000-0003-4575-4597)

Links

• https://meetingsemea11.webex.com/webappng/sites/meetingsemea11/dashboard
• https://www.webex.com
• https://www.webex.com/pricing/index.html