Sicherheitsvorfall: AnyDesk bestätigt Cyberangriff auf seine IT-Systeme
Erste Vermutungen gab es schon im Vorfeld, da sich Nutzer tagelang nicht authentifizieren konnten, nun ist es offiziell: Der Anbieter der Fernwartungssoftware AnyDesk ist Ziel eines Cyberangriffs geworden. Ransomware kam dabei angeblich nicht zum Einsatz. Nutzerpasswörter werden aber dennoch sicherheitshalber zurückgesetzt.
Eine „geplante Wartung“ von ungeplantem Ausmaß
Der IT-Experte Günter Born erklärt in seinem IT- und Windows-Blog, er habe schon am 25. Januar eine Zuschrift erhalten, in der sich ein Leser über seit dem 20. Januar bestehende Störungen bei AnyDesk beschwert hatte. Lizenz-Keys seien nicht mehr akzeptiert worden, ein Verbindungsaufbau sei mit der Software nicht mehr möglich gewesen. Der Anbieter erklärte auf Nachfrage, Probleme mit seinen Serververbindungen, dem Account-Feature, dem AnyDesk-Client und der zentralen Verwaltung zu haben. Einige Hinweise auf erfolgte Ausfälle sind auch auf der Statusseite von AnyDesk zu finden.
Gestern Abend erklärte dann auch der Sicherheitsforscher Kevin Beaumont via Mastodon, es gebe bei AnyDesk schon seit mehreren Tagen Authentifizierungsprobleme, die der Anbieter als „geplante Wartung“ beschrieben habe. Kurz darauf folgte ein offizielles Statement von der AnyDesk Software GmbH, in dem das Unternehmen auf einen Sicherheitsvorfall hinweist, bei dem Produktionssysteme kompromittiert wurden. Sicherheitsrelevante Zertifikate seien widerrufen und Systeme, soweit erforderlich, wiederhergestellt oder ersetzt worden, heißt es in der Mitteilung.
„Wir haben sofort einen Sanierungs- und Reaktionsplan in Gang gesetzt, an dem die Cybersicherheitsexperten von CrowdStrike beteiligt waren“, erklärt das Unternehmen. Der Sanierungsplan sei erfolgreich abgeschlossen worden, mit den zuständigen Behörden arbeite man bereits zusammen und einen Ransomware-Befall gebe es nicht. Ferner gebe es bisher keine Hinweise darauf, dass Endgeräte von Nutzern angegriffen wurden.
Neue Passwörter und Zertifikate
Der Anbieter betont, seine Systeme seien so konzipiert, „dass sie keine privaten Schlüssel, Sicherheits-Tokens oder Passwörter speichern, die ausgenutzt werden könnten, um eine Verbindung zu Endbenutzergeräten herzustellen“. Jedoch setze AnyDesk sicherheitshalber alle Passwörter für das Webportal unter my.anydesk.com zurück. Anwendern, die das dort verwendete Passwort ebenfalls bei einem anderen Dienst nutzen, wird empfohlen, diese Passwörter neu zu vergeben.
Das Unternehmen behauptet, die Situation „unter Kontrolle“ zu haben, AnyDesk könne „sicher verwendet werden“ – eine Empfehlung, die bis zur umfassenden Aufarbeitung des Vorfalls zunächst mit Skepsis betrachtet werden sollte. Anwender sollten lediglich sicherstellen, dass sie die neueste Version (8.0.8 für Windows) der Fernwartungssoftware verwenden, erklärt AnyDesk. Wie auch dem Changelog der Anwendung zu entnehmen ist, hat der Anbieter mit dem jüngsten Update das Code-Signing-Zertifikat ausgetauscht – das vorherige Zertifikat soll in Kürze widerrufen werden.
Mehr als 170.000 „zufriedene“ Kunden
Bei AnyDesk handelt es sich um eine weitverbreitete und von der in Stuttgart ansässigen AnyDesk Software GmbH entwickelte Fernwartungssoftware, mit der Nutzer aus der Ferne auf ihre Computersysteme zugreifen können. Verfügbar ist das Tool für alle gängigen Betriebssysteme, darunter Windows, macOS, Android, iOS, Chrome OS und Linux.
Der Anbieter behauptet auf seiner Webseite, mehr als 170.000 zufriedene Kunden zu haben, wenngleich deren Zufriedenheit durch den aktuellen Sicherheitsvorfall gewiss auf die Probe gestellt wird. Konkret benannt werden mehrere namhafte Organisationen, darunter 7-Eleven, Samsung Electronics, LG Electronics, Comcast und die TU München.
Laut BleepingComputer wird AnyDesk in einigen Fällen auch von Cyberkriminellen eingesetzt, um sich mit bereits infiltrierten IT-Systemen zu verbinden. Ob einige der unbefugten Zugriffe auf AnyDesks Produktionssysteme ebenfalls über das hauseigene Fernwartungstool abgewickelt wurden, bleibt allerdings fraglich.
Die Redaktion dankt dem Community-Mitglied „Konkretor“ für den Hinweis zu dieser Meldung.