KI-Industrie
Erfreuliches 4. Quartal für Lenovo
Sutskever verkündet Ausstieg
Apples grösste ProduktflopsWann wurde Anydesk gehackt?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gab zwar drei Tage später eine öffentliche Sicherheitswarnung zu diesem Vorfall heraus, über die Golem.de ebenfalls berichtete. Als kritisch bewertete das BSI den Vorfall laut dieser Warnung aber nicht.
Mehr, als dass Passwörter für das Kundenportal des Anbieters aus Gründen der Vorsicht zurückgesetzt worden seien und es nach Angaben der Anydesk Software GmbH bisher keine Hinweise auf eine Kompromittierung von Nutzerdaten gebe, war dieser Mitteilung nicht zu entnehmen. Vom BSI gab es lediglich eine allgemeine Warnung, dass es durch den möglichen Abfluss des Quellcodes sowie der Zertifikate zu weiterführenden Angriffen kommen könne. Auch Man-in-the-Middle- oder Supply-Chain-Attacken seien nicht auszuschließen.
Zu einer bereits am 29. Januar 2024 vom BSI an einen selektiven Nutzerkreis im Bereich kritischer Infrastruktur verschickten Warnung, die als vertraulich (TLP AMBER-STRICT) klassifiziert wurde, gab es keine Aussagen.
FAQ von Andydesk
Hersteller Anydesk veröffentlichte am 5. Februar 2024 einen weiteren Bericht zu dem Vorfall, in dem sich der Hinweis für Kunden findet, auf die Client-Versionen 7.0.15 und 8.0.8 umzusteigen, um die Fernwartungssoftware sicher nutzen zu können. Während die Version 8.0.8 des Anydesk-Clients für Windows Endkunden im Unternehmensportal bereitsteht, lässt sich die Custom-Client-Version 7.0.15 nach Informationen des Autors bisher nicht generieren. Diese Version soll erst in ein bis zwei Wochen, signiert mit einem neuen Zertifikat, verfügbar sein.
Im Dokument wird auch auf FAQ von Anydesk verwiesen, die konkrete Antworten auf möglicherweise gestellte Fragen zum Cybervorfall liefern. So negiert Anydesk, dass Sessions durch den Cybervorfall gekapert werden können oder dass durch Anydesk-Server Malware verbreitet wurde.
In diesen FAQ findet sich erstmals auch eine Angabe von Anydesk, dass nach Hinweisen auf eine Kompromittierung Mitte Januar 2024 ein Sicherheitsaudit durchgeführt und Hinweise auf einen Hack gefunden worden seien. Dieser sei durch Abarbeitung eines Notfallplans abgewehrt worden, so das Unternehmen. Insgesamt versichert der Hersteller, die Situation im Griff und die Folgen des Vorfalls beseitigt zu haben; die Fernwartungssoftware könne sicher eingesetzt werden, sofern die Clients von den Servern des Anbieters heruntergeladen würden.
Die französische ANSSI sagt mehr
Ich wurde von Lesern auf eine Warnung der französischen Agence nationale de la sécurité des systèmes d'information (ANSSI) hingewiesen. Die ANSSI ist das französische Äquivalent zum deutschen BSI. In diesem ANSSI-Dokument schreibt die Behörde am 5. Februar 2024, dass sie am 29. Januar 2024 vom deutschen BSI über einen Cybervorfall bei Anydesk informiert worden sei.
Die französische Behörde schreibt in diesem Dokument nicht nur, dass alle Anydesk-Clients (Linux, Windows, MacOS, Android, iOS, AppleTV, etc.) betroffen seien, sondern empfiehlt als CERT-FR auch dedizierte Vorsichtsmaßnahmen.
Diese umfassen die Identifizierung aller Anydesk-Installationen in Unternehmen, deren Dokumentation und Klassifizierung im Hinblick auf deren Sensibilität in Bezug auf Maschinen, Arbeitsplätze und Server. Es wird angeraten, auf Grundlage einer Risikoabschätzung eine Deinstallation der Anydesk-Lösungen durchzuführen und alternative Lösungen zur Fernwartung in Betracht zu ziehen. Ich habe die ANSSI-Vorschläge in einem Blog thematisiert. Dabei ist mir auch der Ratschlag des ANSSI aufgefallen, Systeme mit Anydesk-Installationen auf "Merkwürdigkeiten" bis zurück zum 20. Dezember 2023 zu analysieren. Dies kann nur so interpretiert werden, dass es Anhaltspunkte für einen Hack zu diesem Zeitpunkt gibt.
