BSI veröffentlicht Erkenntnisse zu Anydesk-Einbruch
Das BSI hatte offenbar zunächst Informationen zu dem Anydesk-Einbruch vertraulich an einige Betroffene verteilt. Jetzt sind die Informationen öffentlich.
(Bild: asharkyu/Shutterstock.com)
Nachdem Störungen bei Anydesk vom Unternehmen als Folgen eines IT-Sicherheitsvorfalls bestätigt wurden, hat jetzt auch das BSI Informationen dazu veröffentlicht. Offenbar hat das Bundesamt für Sicherheit in der Informationstechnik zuvor unter Verschwiegenheitsklausel Informationen mit Betroffenen geteilt, im sogenannten Traffic Light Protocol (TLP) mit Status "Amber+Strict", was lediglich die Weitergabe an gezielte Empfänger und deren Organisationen erlaubt. Am späten Montag dieser Woche hat das BSI als Antwort auf Anfrage von heise online mitgeteilt, die Informationen jetzt mit dem Status "TLP:Clear" veröffentlicht zu haben.
Ein Sprecher des BSI teilte heise online mit: "Das betroffene Unternehmen hat das BSI mit einer entsprechenden Meldung über den Vorfall informiert, woraufhin das BSI unmittelbar tätig geworden ist". Da Gerüchte im Raum standen, dass das BSI bereits seit Längerem von einem Cyber-Einbruch bei Anydesk wusste, erklärte der Sprecher weiter: "Eine Kenntnis des BSI seit Ende Dezember kann das BSI nicht bestätigen".
Anydesk-Vorfall: Bedrohungslage "gelb"
Das BSI hat jetzt eine PDF-Datei herausgegeben, die den aktuellen Kenntnisstand der obersten deutschen IT-Sicherheitsbehörde zusammenfasst. Die derzeitige Bedrohungslage entspreche der BSI-Stufe gelb, das heißt übersetzt: "IT-Bedrohungslage mit verstärkter Beobachtung von Auffälligkeiten unter temporärer Beeinträchtigung des Regelbetriebs". Das BSI stehe mit Anydesk in Kontakt und könne den Vorfall bestätigen, bei dem interne Systeme kompromittiert worden seien. Dabei seien Quellcode und Zertifikate abgeflossen. Mit einem Dienstleister sei unmittelbar eine Bereinigung und Wiederherstellung der betroffenen Systeme vorgenommen worden.
"Im Rahmen dessen wurden Zertifikate zurückgezogen und Updates bereitgestellt, durch die die Zertifikate bei den Endnutzern ausgetauscht werden", schreibt das BSI. Die Behörde erläutert weiter: "AnyDesk hat den Quellcode zudem gründlich überprüft und konnte keine Manipulation feststellen. Die AnyDesk Software GmbH äußerte gegenüber dem BSI, dass das Unternehmen derzeit keine positive Kenntnis einer Kompromittierung von Nutzerdaten hat. AnyDesk hat jedoch aus Gründen der Vorsicht einen Reset der Passwörter des Kundenportals my.anydesk.com erzwungen".
Einordnung des Vorfalls durch das BSI
Das BSI glaubt, dass mit den abgeflossenen Informationen weiterführende Angriffe auf Kunden von Anydesk möglich seien. Die IT-Spezialisten schätzen etwa Man-in-the-Middle- sowie Supply-Chain-Angriffe als denkbar ein. Durch die abgeflossenen Zertifikate könne das sogar unbemerkt geschehen – oder sogar bereits geschehen und unentdeckt geblieben sein. "Durch die vom Betreiber umgesetzten Maßnahmen wird das aktuelle Gefährdungspotenzial erheblich reduziert. Dennoch ist nicht auszuschließen, dass schädliche Versionen der Software, die mit dem kompromittierten Zertifikat signiert sind, durch Angreifer auf Dritt-Seiten angeboten oder gezielt an Kunden gesandt werden", erklärt das BSI weiter.
Da die Anwendung oft mit privilegierten Rechten verwendet werde, eröffne sich ein besonderes Gefährdungspotenzial. Auch auf Kritische Infrastrukturen und Verwaltungen könne sich das auswirken und "die dargestellten Konsequenzen haben".
Die Behörde gibt auch Tipps zum praktischen Umgang mit dem Vorfall: "Das BSI empfiehlt einen vorsichtigen Umgang mit der Software, insbesondere bei Updates oder dauerhaft offenen Verbindungen. Darüber hinaus sollte der Empfehlung des Herstellers Folge geleistet werden, die jeweils aktuellste Version mit dem neuen Zertifikat einzuspielen. Updates sollten ausschließlich über die Update-Funktion innerhalb der Software oder über die Website des Herstellers bezogen werden."
Auch Mitarbeiterinnen und Mitarbeiter, insbesondere solche, die im Kontakt mit dem Unternehmen oder der Software stünden, sollten dafür sensibilisiert werden: Software solle niemals aus unsicheren Quellen bezogen werden. Auch die Empfehlung des präventiven Passwortwechsels durch Anydesk reicht das BSI weiter, das sei besonders dann wichtig, wenn das Passwort auch bei anderen Diensten genutzt werde.
Bezüglich der im digitalen Untergrund aufgetauchten und zum Verkauf stehenden Anydesk-Kundendaten gibt das BSI keine Auskunft. Es handelt sich vermutlich um einen weiteren Problemkreis, wo und wie die Daten abgeflossen sind.
(dmk)