Anydesk-Einbruch: Hersteller bestätigt Dezember als Einbruchszeitpunkt
Anydesk hat jetzt zugegeben, dass der Einbruch in die Produktivsysteme auf den Dezember zurückgeht.
(Bild: Black_Kira/Shutterstock.com)
Stück für Stück wird etwas klarer, was bei Anydesk vorgefallen ist. Das Unternehmen hat Mitte der Woche seine FAQ-Liste aktualisiert, nachdem durch das CERT-FR bekannt wurde, dass der Einbruch in die Produktivsysteme bereits im Dezember erfolgt ist. Nun gibt Anydesk das auch zu und bestätigt damit den Einbruchszeitpunkt.
Der Hersteller hat eine Liste der häufig gestellten Fragen und Antworten bereitgestellt. Darin beschreibt er in drei Sektionen, was vorgefallen ist, was Anydesk-Kunden jetzt tun müssen und schließlich, welche Auswirkungen das hat.
Anydesk: Zögerliche Informationspreisgabe
Jetzt steht neben den bislang bereits bekannten Informationen, dass eine Überprüfung Mitte Januar kompromittierte Systeme fand, wobei Anydesk mit dem externen IT-Sicherheitsunternehmen Crowdstrike und dem BSI zusammenarbeitete. Die neue Aussage lautet: "Eine sorgfältige forensische Untersuchung ergab, dass der Vorfall Ende Dezember 2023 seinen Anfang nahm".
Es bleibt aber weiter unklar, wer wo eingebrochen ist und was die Täter dabei alles angestellt haben. Es finden sich Ausführungen dazu, dass Anydesk zwar nicht glaube, dass Zugangsdaten abgeflossen seien, aber dennoch etwa die Passwörter präventiv zurückgesetzt wurden.
Da das Codesigning-Zertifikat gestohlen worden sein könnte, will Anydesk es zurückziehen und liefert neue Anwendungsversionen aus, die mit einem neuen Zertifikat signiert wurden. Das Unternehmen habe keine Hinweise auf Modifikationen am Quellcode gefunden. Die neuen Versionen 7.0.15 sowie 8.0.8 für Windows und 8.0.0 für macOS sind bereits auf aktuellem Stand. Custom Client und On-Premise-Versionen sind noch auf Stand 7.0.14, aber das Unternehmen will zügig auch hierfür Aktualisierungen bereitstellen. Bislang sei noch keine Malware, die mit dem Anydesk-Zertifikat signiert wurde, entdeckt worden.
Zugangsdaten von Anydesk im Darknet
In der FAQ geht das Unternehmen auch kurz darauf ein, dass Zugangsdaten zu Anydesk im Darknet aufgetaucht sind. Diese stammten aber nicht aus dem jetzigen Vorfall und seien nicht von Anydesk-Systemen gestohlen worden. Es scheine sich um alte Informationen zu handeln, die etwa durch Malware-Infektionen auf Endnutzer-Systemen etwa von Info-Stealern eingesammelt wurden, erklärt das Unternehmen. Auch deshalb habe man die Passwörter für das my.anydesk.com-Portal zurückgesetzt.
In der FAQ findet sich die zentrale Aussage: "Da Transparenz, Integrität des Unternehmens und Vertrauen in unsere Produkte für uns von größter Bedeutung sind, werden wir diese FAQ ständig aktualisieren", was sich im derzeitigen Kommunikationsverhalten jedoch eher weniger widerspiegelt. Die bruchstückhafte Informationsverteilung des Unternehmens scheint eher ungeeignet, das Vertrauen in die Sicherheit wiederherzustellen. Nur tröpfchenweise und zögerlich gibt es Informationshäppchen, und dann auch nicht vollständig transparent, sondern lediglich gerade so, dass das bestätigt wird, was ohnehin auf anderen Wegen an die Öffentlichkeit gelangt ist.
Die c't hat sich im vergangenen Jahr Fernwartungslösungen zum selbst Hosten angesehen. Zudem gibt die c't Hilfestellung zum Aufsetzen eines eigenen Servers für RustDesk und MeshCentral. Die iX hat zudem eine Marktübersicht für gängige kommerzielle Fernwartungslösungen erstellt.
(dmk)