AnyDesk-Hack

Neuer Tag, neuer Sicherheitsvorfall: Jetzt hat es AnyDesk, den Anbieter der gleichnamigen Software getroffen. Das BSI empfiehlt Unternehmen, angesichts des AnyDesk-Hacks vorsichtig zu sein.

Wir berichten, was es mit dem AnyDesk-Hack auf sich hat, und geben Tipps für Schutzmaßnahmen.

IT-Sicherheitsvorfall bei AnyDesk

IT-Sicherheitsvorfälle sind inzwischen an der Tagesordnung. Es vergeht kaum ein Tag, an dem es keinen Hackerangriff zu vermelden gibt oder an dem von den Folgen eines solchen Angriffs berichtet wird. Das zeigt sich auch in den Statistiken: Laut BSI-Lagebericht 2023 wurden im Berichtszeitraum durchschnittlich täglich rund 21.000 infizierte Systeme in Deutschland erkannt und vom BSI an die deutschen Provider gemeldet.

Häufig geraten bei Cyberangriffen auch die Anbieter von Software-Lösungen ins Visier. Warum? Weil sie für Cyberkriminelle aus verschiedenen Gründen ein vielversprechendes Ziel darstellen. Der Hauptgrund ist dabei sicherlich, dass wertvolle Daten als potenzielle Beute locken. Software-Anbieter speichern und verarbeiten oft große Mengen an (sensiblen) Daten, darunter persönliche Informationen der Kunden – zum Beispiel auch Finanzdaten.

Hat vor wenigen Tagen noch ein Datenleck bei Trello für Schlagzeilen gesorgt, ist jetzt ein IT-Sicherheitsvorfall bei der AnyDesk GmbH in den Medien. Wir fassen die wichtigsten Informationen zu diesem Vorfall zusammen und erklären, wie insbesondere Unternehmen darauf reagieren sollten.

Fernwartungssoftware wie AnyDesk eignet sich für verschiedene Anwendungsfälle. Bild: Pexels/Vlada Karpovich

Was ist AnyDesk?

Bei AnyDesk handelt es sich sowohl um den Namen eines Software-Herstellers aus Stuttgart, als auch seiner bekanntesten Lösung. Die Remote-Desktop-Software AnyDesk ermöglicht es Benutzern, aus der Ferne auf Computer und andere Geräte zuzugreifen. Ohne physisch vor einem Gerät zu sitzen, ist es über den Fernzugriff möglich, mit diesem Gerät zu interagieren oder es zu steuern.

Nach Angaben der AnyDesk Software GmbH wurde die Software bereits im Jahr 2020 mehr als 250 Millionen Mal von Nutzern in 187 Ländern heruntergeladen und war in mehr als 42.000 Unternehmen im Einsatz. Auch weltweit renommierte Fortune-500-Konzerne sollen zu den Unternehmenskunden zählen.

Das Tool wird häufig für Fernsupport, Fernzugriff und Online-Zusammenarbeit verwendet und bietet eine Reihe von Funktionen, einschließlich Dateiübertragung, VPN-Funktionalität und die Möglichkeit, Meetings oder Präsentationen abzuhalten. Es ist für verschiedene Betriebssysteme verfügbar, einschließlich Windows, macOS, Linux, Android und iOS. AnyDesk bietet sowohl kostenlose als auch kostenpflichtige Abonnements mit zusätzlichen Funktionen und Unterstützung für Geschäftskunden an.

AnyDesk-Hack – was ist bekannt?

Nach aktuellem Erkenntnisstand soll der Cyberangriff auf die internen Systeme von AnyDesk bereits im Dezember 2023 stattgefunden haben. Das CERT-FR der französischen IT-Sicherheitsbehörde (sozusagen das Pendant zum BSI) will ermittelt haben, dass die Kompromittierung am 20. Dezember stattfand. Entdeckt wurde der Sicherheitsvorfall durch AnyDesk aber wohl erst im Januar 2024, woraufhin die Verantwortlichen am 2. Februar 2024 eine offizielle Meldung veröffentlichten. Das BSI informierte am 5. Februar 2024 über den Cybersicherheitsvorfall.

Berichten zufolge sind durch den Cyberangriff Quellcode und Zertifikate abgeflossen. AnyDesk hat jedoch keine Manipulation im Quellcode festgestellt. Die kompromittierten Zertifikate wurden zurückgezogen und Updates bereitgestellt, um die Zertifikate bei den Endnutzern auszutauschen. Auf eine Kompromittierung von Nutzerdaten gibt es aktuell keine Hinweise. Dennoch wurden aus Vorsichtsgründen die Passwörter des Kundenportals my.anydesk.com zurückgesetzt.

laut Medienberichten wurden Kundendaten bereits im Darknet zum Kauf angeboten. Das BSI warnt daher vor der Gefahr, dass die abgeflossenen Informationen für weiterführende Angriffe auf AnyDesk-Nutzer genutzt werden könnten – beispielsweise für Man-in-the-Middle– oder Supply-Chain-Angriffe – und mahnt daher zu erhöhter Wachsamkeit.

Warten während ein Admin über ein Fernwartungstool wie AnyDesk ein PC-Problem löst. Bild: Pexels/Christina Morillo

Reaktion von AnyDesk auf den Vorfall

Nachdem Anzeichen auf einen Sicherheitsvorfall in den Systemen von AnyDesk entdeckt worden waren, wurde umgehend eine Sicherheitsprüfung durchgeführt. Hier ging es unter anderem darum, das Ausmaß der Kompromittierung zu bewerten. Auch eine forensische Untersuchung wurde eingeleitet, um die Ursachen und den Startzeitpunkt des Vorfalls genau zu bestimmen. Inzwischen geht man davon aus, dass sich der oder die Angreifer im Dezember 2023 Zutritt verschaffte/n.

Unmittelbar nach der Entdeckung des Vorfalls haben die Verantwortlichen bei AnyDesk auch den Remediation- und Response-Plan aktiviert – also den Sanierungs- und Reaktionsplan, den das Unternehmen erarbeitet hatte und indem bereits vordefiniert war, wie das Unternehmen auf Sicherheitsvorfälle, Datenlecks oder andere Arten von Bedrohungen im Ernstfall reagieren sollte. Im Zuge der Umsetzung arbeiteten die Verantwortlichen eng mit Sicherheitsexperten von CrowdStrike und dem BSI zusammen. Besonderer Fokus lag darauf, die Situation unter Kontrolle zu haben. Zudem sollte gewährleistet werden, dass Kunden die AnyDesk-Software sicher verwenden können.

Mit einer öffentlichen Mitteilung hat AnyDesk die Kunden informiert und angekündigt, neue und aktualisierte Versionen der Software mit neuen Zertifikaten zu veröffentlichen. Kunden sind aufgefordert, selbst aktiv zu werden!

So reagieren Firmen auf den AnyDesk-Hack

Für viele Unternehmen stellt sich die Frage, wie sie konkret auf den Sicherheitsvorfall bei AnyDesk reagieren sollten. Hier sind die wichtigsten Handlungsempfehlungen zum AnyDesk-Hack:

• Installieren Sie die neue und aktualisierte Versionen der AnyDesk-Software, da diese mit neuen Zertifikaten arbeitet, während alte Zertifikate widerrufen werden.
• AnyDesk und das BSI empfehlen, die Updates ausschließlich über die offizielle Update-Funktion innerhalb der Software oder über die Website des Herstellers zu beziehen, um sicherzustellen, dass nur authentische und sichere Softwareversionen verwendet werden.
• AnyDesk empfiehlt außerdem, das Passwort zum Online-Account von AnyDesk unverzüglich zu ändern. Ein Passwortwechsel ist besonders dann wichtig, wenn dieselben Zugangsdaten auch bei anderen Diensten genutzt werden – was nebenbei den offiziellen Empfehlungen zur Passwort-Sicherheit widerspricht!
• Wer ganz auf Nummer sicher gehen möchte, kann die Software natürlich (bis auf Weiteres) auch deinstallieren und abwarten, wie sich der Vorfall weiter entwickelt.

Zusätzlich zu diesen Schritten sind grundsätzlich einige weitere Maßnahmen sinnvoll. Unsere Tipps im Überblick:

• Sie haben in Ihrem Unternehmen keinen Überblick darüber, welche Mitarbeiter welche Software-Produkte – nutzen? Das sollten Sie ändern, indem Sie Installationen nur durch Administratoren zulassen und dokumentieren.
• Sensibilisieren Sie Ihre Mitarbeiter dafür, dass Sie eigenständig keine Software auf ihren Geräten installieren. Grundsätzlich sind Software und Updates nur aus vertrauenswürdigen Quellen zu beziehen.
• Verwenden Sie Programme, die mit erhöhten Rechten laufen, mit besonderer Vorsicht. Wenden Sie das Prinzip der geringsten Rechte an, um das Risiko bei einem möglichen Angriff zu minimieren.
• Setzen Sie unternehmensweit einen Passwort-Manager ein und schulen Sie Mitarbeiter zur Verwendung sicherer Passwörter.
• Implementieren Sie Tools zur Überwachung des Netzwerkverkehrs auf Anzeichen von Cyberangriffen.
• Entwickeln Sie einen Incident-Response-Plan für das Vorgehen im Falle eines Sicherheitsvorfalls, einschließlich der schnellen Identifizierung, Eindämmung und Behebung von Sicherheitslücken.

Durch die Umsetzung dieser Empfehlungen können Unternehmen ihre Resilienz gegenüber Cyberangriffen stärken und die Sicherheit ihrer Systeme und Daten effektiver gewährleisten.

Kundendaten aus dem AnyDesk-Hack werden im Darknet zum Verkauf angeboten. Bild: Pexels/Junior Teixeira

Noch Fragen? IT-Fachleute helfen weiter!

Die eigenen IT-Systeme ständig im Blick zu haben, ist für Unternehmen entscheidend. Nur so lassen sich ungewöhnliche Aktivitäten feststellen und Analysen durchführen, worauf diese ungewöhnlichen Aktivitäten zurückzuführen sind. Das große Risiko besteht dabei darin, dass Cyberkriminelle das System kompromittiert haben und für die ungewöhnlichen Aktivitäten verantwortlich sind. Ist dies der Fall, ist ein schnelles Handeln gefragt.

Hier kommen IT-Dienstleister ins Spiel, die nicht nur bei der Überwachung und Wartung von Systemen wie AnyDesk unterstützen, sondern auch bei der schnellen Identifizierung und Behebung von Sicherheitslücken helfen. Sie bieten maßgeschneiderte Lösungen und Reaktionsstrategien, die speziell auf die Bedürfnisse und die Infrastruktur Ihres Unternehmens zugeschnitten sind.

Ob es darum geht, potenzielle Bedrohungen zu erkennen, effektive Gegenmaßnahmen einzuleiten oder nach einem Sicherheitsvorfall Unterstützung zu leisten – IT-Fachleute wie die Experten aus dem IT-SERVICE.NETWORK sind Ihr erster Ansprechpartner, um die Sicherheit Ihrer digitalen Umgebung zu gewährleisten.

Weiterführende Informationen:
BSI, BSI, AnyDesk, AnyDesk, AnyDesk, heise, heise, heise
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.