AnyDesk gehackt - oder wie Kommunikation nicht laufen darf

Im Januar 2024 wurde die IT-Welt durch einen beispiellosen Sicherheitsvorfall erschüttert: AnyDesk, eine führende Software für Fernzugriffe, fiel einem ausgeklügelten Cyberangriff zum Opfer. Dieser Vorfall markiert nicht nur einen kritischen Moment für das Unternehmen selbst, sondern wirft auch ein grelles Licht auf die stetig wachsenden Herausforderungen in der Cybersicherheit, mit denen Organisationen weltweit konfrontiert sind.

AnyDesk, bekannt für seine Remote-Desktop-Lösung, die es Millionen von Nutzern ermöglicht, von überall auf der Welt aus auf ihre Systeme zuzugreifen, musste nun selbst die Verletzlichkeit seiner Infrastruktur eingestehen. Unsere Kunden durften seit über eineinhalb Jahren die Software nur unter sehr strengen Auflagen nutzen, weil wir im Vorfeld bereits Zweifel hatten, hier sichere Software zu haben. Beispielsweise ist der Support von Anydesk seit langer Zeit sehr schlecht, sodass bei Sicherheitsfragen keine Antworten kommen.

Bildquelle: https://blog.anydesk.com/de/5-vorteile-von-anydesk-on-premises/

Die Entdeckung des Hacks löste eine Welle der Besorgnis unter Nutzern und IT-Sicherheitsexperten aus. Angesichts der Tatsache, dass AnyDesk eine Schlüsselrolle in der digitalen Infrastruktur vieler Unternehmen (darunter etwa Samsung, NVIDIA oder Siemens) und Privatpersonen spielt, hat dieser Sicherheitsvorfall weitreichende Implikationen.

Er unterstreicht die Notwendigkeit einer kontinuierlichen Wachsamkeit, der Implementierung robuster Sicherheitsprotokolle und der Förderung eines tiefgreifenden Verständnisses für Cybersicherheit auf allen Ebenen einer Organisation. Vor allem aber zeigt er, wie fehlende Kommunikation Vertrauen zerstört und Unternehmen sich unglaubhaft machen, wenn Sie mit Informationen hinter dem Berg halten.

In diesem Kontext zielt der folgende Artikel darauf ab, die Ereignisse rund um den AnyDesk-Hack detailliert zu beleuchten, von der ersten Entdeckung über die Reaktion des Unternehmens bis hin zu den daraus resultierenden Konsequenzen für die Cybersicherheitslandschaft. Durch die Analyse dieses Vorfalls können wertvolle Lektionen für die Zukunft gelernt und Strategien entwickelt werden, um ähnliche Angriffe zu verhindern und die Resilienz gegenüber Cyberbedrohungen zu stärken.

Chronologie des Vorfalls

• 20. Januar -  es lagen Berichte einzelner AnyDesk-Nutzer über Störungen und Auffälligkeiten im Betrieb der Software vor, welche jedoch seitens des Unternehmens mit Verweis auf Serverprobleme abgewiegelt worden sind. 
• 22. Januar - Ausfall des Customer Portals
• 27. Januar - AnyDesk veröffentlicht ein neues Zertifikat zur Signatur; gültig ist dieses ab 24. Januar.
• 29. Januar - BSI verschickte mutmaßlich eine vertrauliche (Klassifizierung später aufgehoben) Mail mit Informationen und Handlungsempfehlungen an KRITIS-Einrichtungen & AnyDesk veröffentlicht Client-Version 8.0.8
• 30. Januar - In den darauffolgenden Tagen verdichteten sich die Anzeichen auf andauernde Probleme, Lizenz-Keys sind nicht mehr akzeptiert worden und die Website des Anbieters war seitdem nicht mehr erreichbar.
• 02. Februar -  AnyDesk veröffentlicht einen ersten Inzidenz-Report, in dem ein Hackerangriff auf Produktivsysteme eingeräumt wird, das Ausmaß- und vor allem ein Startzeitpunkt unerwähnt bleiben.
• 05. Februar - AnyDesk veröffentlicht einen weiteren Report.

Fragwürdig bleibt an dieser Stelle bislang das Verhalten AnyDesks insbesondere zwischen dem 24. Januar und dem 02. Februar; also zwischen dem Zeitpunkt, als dem Unternehmen der Angriff spätestens bewusst gewesen sein muss und dem Zeitpunkt der ersten öffentlichten Kommunikation. Hierauf werden wir an anderer Stelle weiter eingehen.

Hack bereits am 20. 12.2023?

Mittlerweile kamen dann doch noch neue, erschreckende Erkenntnisse ans Tageslicht. Der Hack hat gar nicht am 20.01.2024 stattgefunden sondern bereits genau einen Monat zuvor. Doch wie kann das sein? 

"Diligent forensic investigation revealed that the incident had started in late December 2023." FAQ Anydesk

Das BSI wurde zu Beginn des Angriffs am 20. Dezember 2023 nicht informiert. Ein französisches ANSSI-Dokument gibt hier die ersten Indizien, dass es hier schon früher zum Hack kam als offiziell bestätigt. Und tatsächlich muss dann einige Tage später AnyDesk das auch eingestehen. Ein weiterer Schlag für Kunden und Geschädigte.

Analyse des Angriffs 

Laut Aussage des BSI seien interne Systeme kompromittiert worden. Von unerlaubtem Zugriff betroffen sind demnach Quellcode und Zertifikate, was eine ernsthafte Sicherheitsbedrohung darstellt, da solche Systeme oft sensible Informationen und Zugriffskontrollen enthalten.. Obwohl AnyDesk selbst bislang beteuert, dass keine Kundendaten abgeflossen seien, gibt das BSI Warnstufe Gelb aus und zeigt sich besorgt: 

"Nach Einschätzung des BSI besteht durch den möglichen Abfluss des Quellcodes sowie der Zertifikate die Gefahr, dass diese Informationen für weiterführende Angriffe auf Kunden des Anbieters genutzt werden könnten. In diesem Kontext sind unter anderem Man-in-the-Middle- sowie Supply-Chain-Angriffe denkbar. Insbesondere durch die womöglich abgeflossenen Zertifikate könnten diese unbemerkt bleiben oder im schlimmsten Fall bereits erfolgte Angriffe unentdeckt geblieben sein. Durch die vom Betreiber umgesetzten Maßnahmen wird das aktuelle Gefährdungspotenzial erheblich reduziert. Dennoch ist nicht auszuschließen, dass schädliche Versionen der Software, die mit dem kompromittierten Zertifikat signiert sind, durch Angreifer auf Dritt-Seiten angeboten oder gezielt an Kunden gesandt werden. Im Unternehmenskontext wird die Anwendung oft mit privilegierten Rechten verwendet, wodurch sich ein besonderes Gefährdungspotenzial eröffnet."

Reaktion von AnyDesk

• Widerruf von Sicherheitszertifikaten: Als Reaktion auf den Vorfall hat AnyDesk alle sicherheitsrelevanten Zertifikate widerrufen und angekündigt, das vorherige Code-Signaturzertifikat für seine Binärdateien zu widerrufen und durch ein neues zu ersetzen. Dies ist ein wichtiger Schritt, um zu verhindern, dass kompromittierte Software weiterhin als vertrauenswürdig eingestuft wird.
• Invalidierung von Passwörtern: AnyDesk hat alle Passwörter für sein Kundenwebportal invalidiert und Nutzer aufgefordert, ihre Passwörter zu ändern, insbesondere wenn dieselben Passwörter auch anderweitig verwendet werden. Diese Maßnahme soll weiteren Missbrauch verhindern.
• Empfehlung zur Aktualisierung der Software: AnyDesk rät allen Nutzern, sicherzustellen, dass sie die neueste Version der Software verwenden, die mit einem neuen Code-Signaturzertifikat ausgestattet ist, um das Risiko einer Kompromittierung zu minimieren.

Mögliche Auswirkungen auf Kunden

Obwohl AnyDesk behauptet, dass es keine Beweise dafür gebe, dass Systeme von Endnutzern betroffen waren, besteht immer das Risiko, dass solche Vorfälle die Sicherheit von Kundeninformationen gefährden können. Cybersecurity-Experten haben berichtet, dass Zugangsdaten von AnyDesk-Kunden zum Verkauf angeboten wurden, was darauf hindeutet, dass Nutzerdaten kompromittiert wurden. 

18.317 Datensätze für 15.000 € - die perfekte Grundlage, um diese Personen mit gefakten AnyDesk E-Mails dazu zu bringen, ihre neu gesetzten Zugangsdaten zu offenbaren, damit Hacker diese ausnutzen können, um Kundensysteme anzugreifen. Eine verheerende Vorstellung. 

(Quelle der Bilder)

Kritik am Krisenmanagement

AnyDesk wurde für seine anfängliche Kommunikation und das Management des Vorfalls kritisiert. Das Unternehmen bezeichnete die Unterbrechungen zunächst als "Wartung", was Fragen zur Transparenz und zum Umgang mit Cybersicherheitsvorfällen aufwarf. Wie weiter oben bereits aufgezeigt, verstrich wertvolle Zeit (Tage) zwischen dem Moment, in dem das Unternehmen den Hack bemerkt haben muss und der ersten öffentlichen Mitteilung. Es ließe sich zwar argumentieren dass, da keine Kundendaten betroffen sein sollen, keine Auskunftspflicht bestanden hat. Dennoch macht AnyDesk in puncto Kommunikationspolitik keine gute Figur und sieht sich zurecht deutlicher Kritik ausgesetzt.

Bedeutung für die IT-Sicherheits-Branche

Die oben genannten Vorgänge betonen die Bedeutung von robusten Sicherheitsmaßnahmen und transparenter Kommunikation in der heutigen digitalen Landschaft, insbesondere für Unternehmen, die kritische Infrastruktur wie Fernzugriffssoftware bereitstellen.

Zu nennen sind hier beispielsweise regelmäßige Sicherheitsaudits und das schnelle Patchen von Sicherheitslücken, sowie regelmäßige Penetrationstests.

Der Vorfall verdeutlicht erneut, wie legitime Software von Cyberkriminellen missbraucht werden kann, um Zugang zu Nutzersystemen zu erlangen. Es erinnert die Branche daran, dass Softwareanbieter ständig gegen solche Missbräuche vorgehen müssen, um ihre Plattformen sicher zu halten.

In diesem Zusammenhang ist zudem ein besonderes Augenmerk auf den Verdacht zu richten, es könne sich um einen sog. Supply-Chain-Angriff gehandelt haben. So wird deutlich, dass die Sicherheit der gesamten Lieferkette wichtig ist und Unternehmen nicht nur ihre eigenen Systeme prüfen-, sondern darüber hinaus auch die Sicherheit der Software und Dienstleistungen ihrer Kooperationspartner im Blick behalten müssen.

Und nicht zuletzt wird im Zuge des "Aufräumens" deutlich, wie wichtig es für Endnutzer ist, ihre Software regelmäßig - und in diesem Fall äußerst zeitnah- zu aktualisieren.

Wie Kommunikation nicht laufen darf: Die Rolle des BSI

Bildquelle: https://www.bwi.de/magazin/artikel/cyber-sicherheit-bsi-und-bwi-vertiefen-zusammenarbeit

Das BSI hat die Aufgabe, sowohl die Regierung als auch die Wirtschaft und die Öffentlichkeit in Deutschland über Risiken in der Informationstechnologie zu informieren und Empfehlungen zur Prävention von Cyberangriffen zu geben. 

Fraglich ist also im konkreten Fall, weshalb das BSI zunächst eine klassifizierte Nachricht lediglich an potenziell betroffene KRITIS-Einrichtungen geschickt hat. Französische Behörden haben eine viel transparentere Kommunikationspolitik an den Tag gelegt und ohne Unterscheidung die Allgemeinheit informiert.

Unverständlich bleibt also, weshalb das BSI eine Art Zweiklassengesellschaft sieht, wenn es zur Warnung vor und Aufklärung von IT-Sicherheitsvorfällen kommt.

Erst nachdem die Kunde von dem AnyDesk-Hack über diverse andere Medien verbreitet und der Öffentlichkeit zugänglich gemacht worden ist, hat das BSI seine Vertraulichkeitseinstufung zurückgenommen. Das alles wirkt etwas wie: Wir haben etwas herausgefunden, teilen es aber nur mit unseren Freunden. Außer, ihr findet es anderweitig heraus, dann könnt ihr unsere Informationen doch haben. Es ist der obersten IT-Sicherheitsbehörde unwürdig und schadet ihrem Ansehen und dem in sie gesetzten Vertrauen.

Fazit

Es hat sich gezeigt, dass selbst große Unternehmen, zu deren Kerngeschäft die Cybersicherheit selbst gehört, nicht vor erfolgreichen Cyberangriffen gefeit sind. Umso wichtiger- und das predigen wir immer wieder- ist eine offensive und transparente Kommunikation mit den Kunden, der Öffentlichkeit. Dies dient nicht nur der unmittelbaren Schadensbegrenzung und wäre daher letztlich als Fairness zu bezeichnen. Es verkleinert auch den drohenden Reputationsschaden, der durch den Angriff ohnehin besteht. Durch Geheimniskrämerei und Desinformation wird dieser Vertrauensverlust unnötigerweise verschlimmert. Für die Endkunden sollte der Lerneffekt darin bestehen, anstehende Updates unbedingt sehr zeitnah durchzuführen und auf eventuelle Anzeichen zu achten, dass sich Unregelmäßigkeiten häufen. 

1. Ändern Sie Ihre Passwörter.

2. Nutzen Sie Zwei-Faktor-Authentifizierung. Immer.

3. Halten Sie funktionierende Backup-Pläne bereit.

4. Und bleiben Sie immer wachsam.