Anydesk wurde Opfer eines Cyberangriffs, bei dem auch die Produktionssysteme kompromittiert wurden. Das Unternehmen hat dies in einer Incident Response bestätigt. Zuvor war die Website down und Nutzer meldeten massive Ausfälle sowie nicht funktionierende Lizenzschlüssel, wie
'Borns IT- und Windows-Blog' berichtet.
Gemäss Autor Günter Born wurden die ersten Störungen bereits Ende Januar gemeldet. So konnte ein Nutzer ab dem 20. Januar 2024 keine Verbindungen mehr zum Dienst von Anydesk aufbauen. Zudem wurden teilweise Lizenz-Keys nicht mehr akzeptiert. Das erweckte gemäss dem Sicherheitsfachmann den Anschein, dass "womöglich etwas im Busch liegt".
Zudem kriegte er Wind von einer geheimen Sicherheitswarnung. Demnach soll das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) in diesem Zusammenhang eine Warnung an die Betreiber von Kritischen Infrastrukturen versendet haben. Diese sei aber so klassifiziert gewesen, dass sie nur von einem sehr kleinen Personenkreis eingesehen werden konnte.
Produktionssysteme kompromittiert
In einer
Incident Response von Anydesk wird der vermutete Cyberangriff nun bestätigt. Das Unternehmen schreibt, dass nach Hinweisen auf einen Vorfall in den eigenen Systemen eine Sicherheitsüberprüfung durchgeführt wurde. "Dabei fanden sich auch Hinweise auf kompromittierte Produktionssysteme."
Anydesk schreibt, dass sofort ein Reaktionsplan aktiviert und externe Cybersicherheitsexperten hinzugezogen wurden. Zudem seien die zuständigen Behörden benachrichtigt worden. Dass es sich bei dem Vorfall um einen Cyberangriff mit Ransomware gehandelt hat, wird vom Unternehmen bestritten.
In der Folge hat Anydesk alle sicherheitsrelevanten Zertifikate widerrufen. Damit "seien die Systeme, soweit erforderlich, repariert oder ersetzt worden", heisst es vom Unternehmen. "Als Vorsichtsmassnahme haben wir alle Passwörter für unser Webportal zurückgesetzt und empfehlen den Benutzern, ihre Passwörter zu ändern."
Keine Endgeräte betroffen?
Obwohl das bisherige Code-Signing-Zertifikat für Binärdateien in Kürze widerrufen werden soll, schreibt Anydesk, dass man bislang keine Hinweise darauf habe, dass Endgeräte vom Vorfall betroffen seien. Zudem sagt das Unternehmen, dass die Situation unter Kontrolle sei und die Fernwartungssoftware sicher genutzt werden kann.
Anwender sollen sicherstellen, dass sie die neueste Version mit dem neuen Code-Signing-Zertifikat verwenden. Anydesk schreibt abschliessend, dass seine Systeme so konzipiert seien, dass sie keine privaten Schlüssel, Sicherheits-Tokens oder Passwörter speichern, die ausgenutzt werden könnten, um eine Verbindung zu Endbenutzergeräten herzustellen.
Gemäss Günter Born hält sich jedoch das Gerücht, dass bei dem Cyberangriff auch private Schlüssel und Quellcodes abgeflossen seien. Alle Anydesk-Installationen müssten nun als kompromittiert betrachtet werden müssen, schreibt er. Die Fernwartungssoftware ist auch in vielen anderen Softwarepaketen enthalten und müsste entsprechend aktualisiert werden.
Anydesk bietet eine Fernwartungssoftware unter gleichem Namen an. Der Dienst wurde von ehemaligen Teamviewer-Mitarbeitenden entwickelt und galt lange als Alternative zu diesem Produkt. Rund 170'000 Kunden nutzen die Software, darunter Grosskonzerne wie 7-Eleven, Comcast, Samsung, Nvidia, Simens oder Organisationen wie die Vereinten Nationen.