News Sicherheitsvorfall bei AnyDesk: BSI warnt vor möglichen Folgeangriffen

[Haldi]

RustDesk, damit kannst du deinen eigenen Server betreiben

Oh WoW. Direct IP Access löst das Problem noch viel einfacher
Kein Bedarf für Server.

 

[nille02]

Wenn man da schaut, wo man nie schauen würde, findet man etwas: Die haben die Nachrichten schlicht unter den Pressemitteilungen versteckt.

Der Sarkasmus ist unangebracht wenn der Punkt noch mal im Unterpunkt Unternehmen versteckt wird.

 

[Evil E-Lex]

Das war nicht sarkastisch gemeint, sondern völlig ernst. Wer sucht denn bitte in den Pressemitteilungen nach solchen Hinweisen? Niemand!

 

[3dfx_Voodoo5]

oder wie ist 'Agenda' hier zu verstehen?

Hi.
Hatte ich in einem früheren Post etwas ausführlicher erläutert.
Mich stört dabei, dass es ohne Fakten so dargestellt wurde, als sei Kaspersky "böse" , selbst wenn diese in der Schweiz sitzen und man somit freiwillig auf Kompetenz und Fachwissen verzichtet, "nur" weil Russland (ob berechtigt oder nicht muss jeder selbst entscheiden) von westlicher Seite versucht wird und wurde zu "canceln".

Nochmal, wie jemand zu Russland steht, ist hier mindestens zweitens, wichtiger ist, wie das BSI mit Kaspersky umging.

Ich möchte dahingehend keine Generaldebatte ob "böse" oder nicht aufmachen.

Aber alleine der Punkt, dass wichtige Hinweise bezüglich diverser Hacks und Angriffe durch Kaspersky offen gelegt wurden und man darauf freiwillig verzicht, weil es eine von mir so genannte "Agenda" dies verschreibt und man jetzt wieder diese Hinweise von Kaspersky ernst nimmt, dass BSI, meines Wissens nach, dazu aber keine Korrektur ihrer Aussage veröffentlichte, macht es aus meiner Sicht schwierig, die Aussagen dieser Behörde 100% ernst zu nehmen.
Sie lesen, Kenntnis davon nehmen und im Auge behalten ist trotzdem wichtig.

Sanfte Grüße

 

[andy_m4]

Schon unverschämt, die Infos so zu verstecken.

Ja. Zumal die Informationen recht dünn und knapp ausfallen und dann auch noch so einen relativierenden "Touch" haben, so al-la "die User müssen sich keine Sorgen machen".

 

[Evil E-Lex]

Aber alleine der Punkt, dass wichtige Hinweise bezüglich diverser Hacks und Angriffe durch Kaspersky offen gelegt wurden und man darauf freiwillig verzicht, weil es eine von mir so genannte "Agenda" dies verschreibt und man jetzt wieder diese Hinweise von Kaspersky ernst nimmt, dass BSI, meines Wissens nach, dazu aber keine Korrektur ihrer Aussage veröffentlichte,

Das BSI brauchte seinen Standpunkt nicht zu korrigieren, weil der vom Verwaltungsgericht Köln und anschließend vom Oberverwaltungsgericht Münster bestätigt wurde, nachdem Kaspersky gegen die BSI-Empfehlung vorgegangen war.

 

[Crowbar]

Achso, deshalb ist die Kaspersky Warnung auch zu 100% legitim.

War sie. Auch gerichtlich bestätigt.

Ergänzung (6. Februar 2024)

Was ist der Vorteil das Kritis die infos vorab bekommt ? Es geht hier nicht um einen ZeroDay sondern einen Hack, die Hacker wissen also was sie machen können und es besteht 0 Vorteil wenn Kritis hier zuerst dran arbeiten darf und nicht alle parallel. Also sag mir warum mussten die es vorher wissen ?

https://www.bsi.bund.de/DE/Service-Navi/Kontakt/kontakt_node.html

Ergänzung (6. Februar 2024)

Die Frage ist eher, wie vertrauenswürdig ist der BSI nach der Kaspersky Geschichte?
Denn so viel Eier in der Hose, ihre Quatschwarnung vor denen zurück zu nehmen, haben sie offensichtlich nicht.

Die Meldung und die enthaltenen Begründungen überhaupt gelesen oder zu viel Wodka an dem Tag?

Ergänzung (6. Februar 2024)

Wenn man da schaut, wo man nie schauen würde, findet man etwas: Die haben die Nachrichten schlicht unter den Pressemitteilungen versteckt. Das ist die neueste:
https://anydesk.com/en/public-statement
Schon unverschämt, die Infos so zu verstecken.

Zumal ausschließlich englischsprachig - die sitzen in D und haben hier Tausende Kunden. Saftladen sondersgleichen.

 

[Leap]

@3dfx_Voodoo5 ich kann deine Kritik nicht nachvollziehen. Kaspersky hat seinen Sitz in London (über eine Finanzholding). Das operative Geschäft ist überwiegend in Moskau. Da besteht nun mal das Risiko der politischen Einflussnahme auf das Unternehmen. Das ist auch der Punkt vor dem das BSI zu Recht warnt. Das betrifft weniger den Heimanwender sondern mehr Unternehmen und Behörden. Selbst wenn die Mitarbeiter des Unternehmens nichts böses im Schilde führen, sind sie nicht davor gefeit es auf politischen Druck doch tun zu müssen. Antiviren Software eignet sich leider gut um Systeme zu kompromittieren. Russland ist ein repressiver Staat und hat sich durch seinen Angriffskrieg selbst ins Abseits geschossen.

 

[andy_m4]

Antivirenprogramme sind ohnehin nur mittelmäßig geeignet um sich vor Schadsoftware zu schützen. Von daher spielt es kaum noch eine Rolle, woher die kommen. :-)

 

[saintsimon]

Zu Herrn Kaspersky: "Im Jahr 1987 erhielt er in Moskau seinen Abschluss an der KGB-Hochschule"

Das ist nicht trivial, denn es gibt keine "ehemaligen" Tschekisten. Wer aus dem aktiven Dienst beim KGB/FSB ausscheidet kommt in die Reserve und bleibt weisungsgebunden (letzteres war ja ein Vorwurf an den BSI ...).
Es ist wie bei der Mafia, aus dieser "Familie" kommt man nicht raus, ohne als Verräter zu gelten. Und Verrat ist unverzeilich, so Putin.

https://en.wikipedia.org/wiki/Active_reserve_(KGB)

 

[M-X]

https://www.bsi.bund.de/DE/Service-Navi/Kontakt/kontakt_node.html

Hat den gleichem Mehrwert wie dein Post.

 

[Poati]

Vielleicht sollte er gar nicht "alles" machen, sondern lieber weniger und das dafür richtig.

Naja die Aufgaben werden von anderer Stelle verteilt.

Das ändert aber alles nix daran, das der Nutzen überschaubar bleibt.

Das was DAS BSI für die privat Wirtschaft und Bürger macht ist in der Tat nicht die Welt, aber wird ausgebaut. Ein wesentlicher Teil der Arbeit ist die Stärkung der Informationssicherheit der Bundesverwaltung, was ein unheimliches Brett ist. Mit Grundschutz und Mindeststandards und Technischen Richtlinien gibt es sehr nutzvolle Angebote. Natürlich ist auch der Grundschutz weit weg von perfekt, aber das ist ein anderes Thema. Immernoch konkreter als die ISO und eine Zertifizierung nach IT-Grundschutz auch aussagekräftiger. Der C5 Standard ist aber schon fast wegweisend und alle großen Cloud Anbieter haben ein entsprechendes Testat. Informationen für den Endverbraucher sind mittlerweile auch schon sehr nützlich, selbst wenn wir hier ausm Forum sicherlich nicht die Zielgruppe sind. Allianz für Cybersicherheit kennst du? Thema KRITIS? Brauchst du noch mehr Beispiele?

Und ich sehe auch, das das BSI auch hinsichtlich der Aufstellung und Ausstattung alles andere als gute Bedingungen hat.

Wo siehst du das? Da bin ich mal gespannt.

Ergänzung (6. Februar 2024)

Das BSI ist gänzlich nutzlos

Mag aus deiner Perspektive so sein, ja. Viele andere sehen es anders.

 

[Silencium]

Wer heute seine Systeme nach außen über solche Tools frei aufrufbar macht - am besten RDP - sollte über einen Jobwechsel nachdenken.
Am besten für Accounts mit privilegierten Rechten.

Ich würde spätestens nach dem Vorfall Anydesk den Rücken kehren.

 

[Snowi]

Ganz einfach weil erst Sachen 100% geklärt sein müssen vor allem wenn es vom BSI kommt. Klar könnte man sagen lieber eine Warnung zu viel als zu wenig wenn das aber immer so ist wird eine Warnung nicht mehr ernst genommen. Was genau das Gegenteil bewirkt daher lieber Zeit nehmen und erst alles analysieren.

Dass sie gehackt wurden war seit dem 29.01., also letzte Woche Montag klar. Das ist Verschleppung von Sicherheitslücken, nicht mehr und nicht weniger.
Details hin oder her, das kann man sich gerne sparen, aber die reine Info dass die gehackt wurden, und dass sie jetzt sogar noch bestätigen dass es zu Folgeangriffen kommen könnte, ist eine Frechheit und untergräbt mein letztes Restvertrauen in das BSI, das bis zu diesem Tag noch vorhanden war.
Absolut lächerlich die Aktion. Das BSI sollte sich öffentlich dafür entschuldigen und die Entscheidungsträger entlassen, offensichtlich sind sie nicht in der Lage, ihren Job verantwortungsvoll auszuüben.

 

[andy_m4]

Das was DAS BSI für die privat Wirtschaft und Bürger macht ist in der Tat nicht die Welt,

Na wenigstens gibts Du es zu. :-)

Ein wesentlicher Teil der Arbeit ist die Stärkung der Informationssicherheit der Bundesverwaltung, was ein unheimliches Brett ist.

Das sind ja nun eher nichtssagende Dinge. Was ist denn jetzt konkret durch das BSI dort besser geworden und wie drückt sich das aus? Sind die Anzahl der Sicherheitsvorfälle geringer geworden und falls ja, in welchem Zusammenhang steht das mit der Arbeit des BSI?

Der C5 Standard ist aber schon fast wegweisend und alle großen Cloud Anbieter haben ein entsprechendes Testat.

Ach ja. Die Cloud.

Die Geschichte der IT-Security hat ja gezeigt, das wir keine sicheren IT-Systeme haben. Die werden zwar sukzessive verbessert (was auch wichtig und richtig ist), aber wir sind bei Weitem noch nicht auf dem Stand, wo wir halbwegs sagen können "Alles gut".

Das heißt aber auch, das wir damit rechnen müssen, das es zum Schadensfall kommt. Und das heißt, das wir schon im Vorfeld versuchen sollten, alles so zu machen, das die Schadensauswirkung möglichst gering ist.

Cloud neigt zur Zentralisierung. Das bedeutet dann aber, das Security-Vorfälle einen großen Impact haben. Es wäre aber tendenziell besser dezentrale Strukturen zu schaffen, weil man damit Schadenswirkungen viel besser eingrenzen kann.
Außerdem öffnet die Cloud eine weitere Flanke. Die ist nämlich nicht nur von intern erreichbar (wie klassische IT), sondern steht im Internet. Man vergrößert damit also die Angriffsfläche.

Was wir beobachten ist, das selbst große Cloud-Betreiber Security-Vorfälle haben. Und das, obwohl sie sowohl die Motivation als auch die finanziellen Mittel als auch das Know-How haben Sicherheit einzubauen und das auch tun. Und trotzdem haben die mit Sicherheitsvorfällen zu kämpfen.

Und "Deine" Antwort darauf, ist aber nicht von dem Konzept weg zu gehen, sondern das genauso zu machen wie diese Anbieter und dann irgendwie nicht mit dem Maximum was möglich ist, sondern mit Mindeststandards (darums gehts ja bei solchen Sachen wie C5) herum zu hantieren? Really?

Allianz für Cybersicherheit kennst du? Thema KRITIS?

Wie gesagt. Bei all diesen Maßnahmen gehts letztlich darum: Bringen die signifikant etwas? Hilft wenig, wenn Du hier irgendwelche Buzzwords droppst, aber den Nachweis über deren Wirksamkeit schuldig bleibst.

Wo siehst du das?

Du bist also der Meinung, das BSI ist top ausgestattet und ferner der Meinung, das es zum Beispiel ein guter Zustand ist, das die dem Innenministerium unterstellt sind, was dann ein direkter Interessenskonflikt darstellt.
Interessant, interessant.

Ergänzung (7. Februar 2024)

offensichtlich sind sie nicht in der Lage, ihren Job verantwortungsvoll auszuüben.

Die haben doch jetzt dieses hochmoderne Cyber-Sicherheits-Abwehr-Zentrum oder so.
Macht ein tollen Eindruck. Ab jetzt wird alles besser. :-)

 

[M-X]

Cloud Anbieter sind in der Security in der Regel besser als die 3-500 Mann Butze mit lokalem "ITler" der dann vom Mailserver bis zum Desktop alles abdecken muss. Zentralisierung lässt sich auch in der Cloud durch Konzepte wie "bring your own Key" abschwächen. Der Vorteil eines lokalen Netzes weicht sich auch immer weiter auf seitdem wir Home office, Remote Working und Mobile office haben. Zero Trust zeigt hier ja wo der weg hingeht. Also anstatt mal wieder auf Cloud zu bashen sich mal mit der Materie auseinandersetzen.

 

[Poati]

@andy_m4
Du willst den Nutzen nicht sehen, dann ist das so. In meiner täglichen Arbeit sehe ich sehr viel Nutzen. Ich war auch beim letzten großen Treffen der Allianz für Cybersichertheit. Wenn man bei all den Dingen, die ich aufgezählt habe keinen Nutzen sehen möchte, dann will man es einfach nicht. Ich kann dir auch noch haufenweise weitere Themen nennen. Deine Ausführungen zum C5 lassen schon vermuten, dass du dich damit nicht soo sehr auskennst. Ist ok, weils ein fetter Wälzer ist.

BMI als Fachaufsicht bin ich auch kein Fan von. Was Haushaltsmittel etc. betrifft mangelt es aber an nichts und du meinst ja dir ein Urteil über die Ausstattung zu erlauben.

Schau über den Telerrand.

 

[Snowi]

Cloud Anbieter sind in der Security in der Regel besser als die 3-500 Mann Butze mit lokalem "ITler" der dann vom Mailserver bis zum Desktop alles abdecken muss.

Das Problem ist, dass der Cloud-Provider aber nur eine zusätzliche Schwachstelle ist, außer man kauft SaaS. Alles andere ist dann von genau den gleichen Leuten gemanaged, nur dass die jetzt Cloud machen statt OnPrem.
Sieht man oft genug, wenn Leute irgendwelche Keys o.ä. in ein öffentliches S3 Bucket schieben, weil die Leute es nicht mal schaffen, das sauber zu konfigurieren.

Wenn SaaS gekauft wird, bin ich voll bei dir - das wird besser betrieben als die meisten es können und wollen. Aber sobald da viel konfiguriert werden kann, und damit auch muss, ist das Problem am Ende exakt das gleiche. Nur die Hardware ist eventuell etwas besser / redundanter als OnPrem.

 

[Evil E-Lex]

Dass sie gehackt wurden war seit dem 29.01., also letzte Woche Montag klar.

Wenn man den aktuellen Recherchen von Günter Born glauben darf, gab es bereits vor Weihnachten 2023 erste Hinweise auf einen möglichen Sicherheitsvorfall bei AnyDesk. Daraufhin hat das BSI am 05.01. eine Mitteilung herausgegeben. Damit waren die Behörden und KRITIS entsprechend informiert und konnten Maßnahmen ergreifen. Es ist nicht Aufgabe des BSI die Öffentlichkeit proaktiv über mögliche Sicherheitsvorfälle in Kenntnis zu setzen.
Alle anderen Warnungen hätten zeitnah von AnyDesk erfolgen müssen, das ist nicht passiert. Erst nachdem AnyDesk den Vorfall bestätigt hat, hat das BSI dies aufgegriffen und öffentlich kommentiert.

 

[ChinaOel]

teamviewer

ist keine Option zu nichts!