Am 26. Juni bemerkten Mitarbeitende des deutschen Softwareherstellers Teamviewer, dass einige IT-Systeme des Unternehmens von Hackern geknackt worden waren. Schon
bei der ersten Bekanntgabe des Vorfalls betonten die Verantwortlichen bei Teamviewer, dass die interne IT-Umgebung des Unternehmens komplett unabhängig von der Produktumgebung sei. Es gebe keine Anzeichen dafür, dass die Produktumgebung oder Kundendaten betroffen seien.
Eine interne forensische Untersuchung, die Teamviewer in den letzten rund zehn Tagen zusammen mit Experten von Microsoft durchgeführt hat, scheint dies nun zu bestätigen. Auch diese Untersuchung habe ergeben, dass der Angriff auf die interne IT-Umgebung des Unternehmens beschränkt gewesen sei, so Teamviewer. Die Software selber sei nicht beeinträchtigt, ebenso wenig wie die Cloud-Plattform zur Vernetzung der Teamviewer-Instanzen.
Dies ist sehr wichtig, denn Teamviewer bietet Software für Remote Support an, die Supportern den Zugriff auf PCs ihrer Klienten erlaubt. Wenn die Hacker die Software gekackt hätten, hätte dies sehr schwerwiegende Folgen haben können. Sie hätten dadurch nicht nur in IT-Systeme von Teamviewer-Kunden eindringen können, sondern auch in die Systeme von deren Kunden.
Persönliche Daten der Mitarbeitenden
Was laut der Untersuchung aber tatsächlich in die Hände der Hacker gelangt ist, sind persönliche Daten von Teamviewer-Mitarbeitenden, insbesondere Namen, Kontaktinformationen und Passwort-Hashes. Diese Daten stammen möglicherweise aus einem geknackten Active Directory.
Im Laufe der forensischen Untersuchung, so Teamviewer, habe man typische Verhaltensweisen der Hackergruppe Cozy Bear identifiziert. Diese Gruppe ist auch als Midnight Blizzard, Nobelium oder APT29 bekannt. Westliche Sicherheitsexperten nehmen an, dass Cozy Bear vom russischen Auslandsgeheimdienst SWR gesteuert wird.