Sicherheitsvorfall bei AnyDesk: BSI warnt vor möglichen Folgeangriffen

Erst vor wenigen Tagen hatte der Anbieter der Fernwartungssoftware AnyDesk bestätigt, Ziel eines Cyberangriffs geworden zu sein. Nun hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine entsprechende Warnung herausgegeben. Warum diese nicht früher kam, bleibt allerdings fraglich.

Quellcode und Zertifikate abgeflossen

„Das BSI steht mit dem Unternehmen in Kontakt und kann den Vorfall bestätigen“, heißt es in der Sicherheitswarnung der Behörde (PDF). Die IT-Bedrohungslage wurde demnach als „2 / Gelb“ eingestuft. Konkret bedeutet das, dass etwaige Auffälligkeiten im Zusammenhang mit dem Vorfall verstärkt beobachtet werden und der Regelbetrieb temporären Beeinträchtigungen unterliegen kann. Kritisch sieht das BSI die Situation demnach bisher nicht, denn sonst wäre eine Einstufung als „3 / Orange“ oder „4 / Rot“ erfolgt.

Die Behörde erklärt, es gebe öffentliche Berichte darüber, dass Quellcode und Zertifikate von AnyDesk abgegriffen wurden. Verwiesen wird diesbezüglich auf einen am 2. Februar veröffentlichten Bericht von BleepingComputer, der auch auf ComputerBase bereits Erwähnung fand. AnyDesk habe seinen Quellcode jedoch, so das BSI, gründlich überprüft und keinerlei Manipulation feststellen können.

Nutzerdaten seien nach bisherigem Kenntnisstand ebenfalls nicht kompromittiert worden, für die Passwörter für das Kundenportal habe die AnyDesk Software GmbH „aus Gründen der Vorsicht“ einen Reset erzwungen. Darüber hinaus habe das Unternehmen die kompromittierten Zertifikate zurückgezogen und Softwareupdates bereitgestellt, durch die neue Zertifikate an die Nutzer verteilt würden.

BSI warnt vor weiterführenden Angriffen

Trotz der genannten Maßnahmen warnt das BSI davor, dass es auf Basis abgegriffener Zertifikate und des Quellcodes möglicherweise zu weiterführenden Angriffen kommen könne. „In diesem Kontext sind unter anderem Man-in-the-Middle- sowie Supply-Chain-Angriffe denkbar“, heißt es in der Warnmeldung. Durch die potenziell abgeflossenen Zertifikate blieben Attacken womöglich sogar unentdeckt, dass mit dem kompromittierten Code-Signing-Zertifikat signierte AnyDesk-Versionen in Umlauf sind, sei nicht auszuschließen.

Die von AnyDesk umgesetzten Maßnahmen würden das aktuelle Gefährdungspotenzial zwar erheblich reduzieren, vergrößert werde es aber wiederum durch den Umstand, dass die Software im Unternehmenskontext häufig mit erhöhten Rechten ausgestattet werde. Auch kritische Infrastrukturen seien von möglichen Konsequenzen nicht ausgenommen.

Die Empfehlung des BSI lautet daher, im Umgang mit AnyDesk Vorsicht walten zu lassen, insbesondere hinsichtlich der Installation von Updates sowie dauerhaft offener Verbindungen. Weiter rät die Behörde, den Empfehlungen von AnyDesk Folge zu leisten, also die aktuellste Version der Software mit dem neuen Zertifikat zu verwenden und Passwörter auszutauschen, die Anwender auch auf anderen Plattformen genutzt haben. Aktualisierungen seien ausschließlich über die Update-Funktion innerhalb der Fernwartungssoftware oder über die offizielle Webseite des Herstellers zu beziehen. Unternehmen empfiehlt das BSI, ihre Mitarbeiter im Umgang mit AnyDesk entsprechend zu sensibilisieren.

Kritische Infrastrukturen wurden wohl früher informiert

Unklar bleibt noch, warum das BSI die Sicherheitswarnung erst gestern herausgegeben hat. Der IT-Blogger Günter Born erklärt in einem Blogbeitrag, er habe Hinweise darauf erhalten, dass die Behörde im Bereich kritischer Infrastrukturen schon am 29. Januar 2024 eine Warnmeldung verteilt hatte. Diese sei jedoch als „TLP:Amber-Strict“ klassifiziert gewesen, sodass Empfänger weder das Dokument selbst noch die darin enthaltenen Informationen weitergeben durften.

Die aktuelle BSI-Meldung ist hingegen als „TLP:Clear“ klassifiziert – deren Inhalte dürfen demnach „ohne Einschränkungen frei weitergegeben werden“. Da die reguläre AnyDesk-Version mit dem neuen Zertifikat ebenfalls seit dem 29. Januar verfügbar ist, bleibt fraglich, inwiefern die vom BSI geteilten Informationen in der vergangenen Woche noch derart schützenswert waren, dass diese nur einem stark eingeschränkten Empfängerkreis zugestellt wurden. Auch Nutzer und Organisationen außerhalb kritischer Infrastrukturen hätten schon früher Schutzmaßnahmen gegen mögliche Folgeangriffe einleiten können, wenn das BSI sie entsprechend informiert hätte.

Born kritisiert derweil, dass auch viele andere Fragen bezüglich dieses Vorfalls nach wie vor ungeklärt sind. So lägen etwa noch keine Informationen darüber vor, wann genau der Cyberangriff auf AnyDesk erfolgt sei, was genau kompromittiert worden sei und welche Daten genau abgeflossen seien. Probleme gibt es wohl derzeit außerdem noch bei der Generierung neuer Custom-Clients, die vor allem im Unternehmensumfeld zum Einsatz kommen. Diese könnten nach Angaben des AnyDesk-Supports erst „in einigen Wochen“ mit einem neuen Zertifikat ausgestattet werden, erklärt Born in einem separaten Blogbeitrag.

Die Redaktion dankt dem Community-Mitglied „knoxxi“ für den Hinweis zu dieser Meldung.