[English]Der Spiegel berichtet, dass die Entwicklerfirma der Fernwartungssoftware TeamViewer im Jahr 2016 Opfer eines Cyberangriffs wurde. Dieser Hack wurde aber nicht durch die Firma öffentlich gemacht. Warum eigentlich nicht? Hier einige Informationen, was bekannt ist, und einige Gedanken meinerseits samt Einordnung zum Kontext des Ganzen.
Anzeige
Es ist mal wieder ein Lehrstück, wie Informationen über einen Cyber-Angriff unter Verschluss bleiben. Dieses Mal geht es um die Entwicklerfirma von TeamViewer, die Opfer eines Cyberangriffs wurde.
Einige Vorbemerkungen zu TeamViewer
Viele von euch kennen den TeamViewer – eine Remote-/Fernwartungs-Software. Ziemlich einfach zu handhaben und sehr funktional – dabei für Privatanwender sogar kostenlos nutzbar. Laut Unternehmensangaben nutzten bereits 2014 mehr als 200 Millionen Anwender (viele Firmen sind dabei) diese Software für Webkonferenzen und Fernwartung. Mittlerweile soll die Software auf 2 Milliarden Geräten weltweit installiert sein. Hinter dem TeamViewer steckte bisher die deutsche GmbH gleichen Namens aus Göppingen (bei Stuttgart), die 2005 gegründet wurde.
Der Spiegel bezeichnet (Artikel hier hinter Paywall), die Softwareschmiede Teamviewer aus Göppingen als eines der wichtigsten 'Einhörner' und Startups aus Deutschland. Nun ja, nach 14 Jahren ist eine Firma eher kein Startup mehr, und mit Einhörnern habe ich es auch nicht so. Denn 2014 wurde die Firma ganz still durch einen Private Equity-Fonds übernommen – ich hatte im Blog-Beitrag TeamViewer: 'Stille' Übernahme durch Private Equity–Fonds darüber berichtet. Käufer war die britische Private Equity-Firma Permira, die die GmbH bei einem Exit zum Kaufpreis von 1,1 Milliarden US $) übernommen hat, ohne dass das irgendwie publik wurde.
Im damaligen Blog-Beitrag habe ich einige Informationen zu Permira verlinkt und auch die 'Vertrauensfrage' in Sachen TeamViewer gestellt. Nun ja, ich bin ja nur ein kleiner Blogger, aber bei mir steht der Teamviewer mental auf einer schwarzen Liste bzw. beim Namen des Produkts gehen hier alle Lampen an. Denn im Blog (siehe Artikellinks am Beitragsende) tauchte der Namen TeamViewer danach im Blog eher durch gehackte Versionen auf. Aber bei der heutigen Recherche bin ich auf den just im April 2019 publizierten ZDNet-Beitrag gestoßen, dass Hacker erneut manipulierte TeamViewer-Version gegen Regierungen in Europa einsetzen.
Anzeige
Gut, für den Missbrauch können die TeamViewer-Entwickler nichts, da die Software durch Cyber-Kriminelle manipuliert wurde und wird. Aber im Hinterkopf war da immer für mich: Finger weg von dem Zeugs – und einsetzen falls überhaupt nur, wenn Du weißt, dass das alles sicher ist. War halt ein Bauchgefühl, welches bei mir aus den zahlreichen Missbrauchsfällen und der Übernahme durch ein Private Equity-Unternehmen entstand – ohne dass ich da harte Belege hätte liefern können.
Der Cyber-Angriff auf TeamViewer
Der Spiegel berichtet nun (Paywall), das die Entwicklerfirma von TeamViewer Opfer eines Cyber-Angriffs wurde. Das Ganze ging von der Schadsoftware der Hackergruppe Winnti aus, die auch in anderem Zusammenhang, zum Beispiel dem Bayer-Hack (siehe Sicherheitsinfos zum Sonntag (14. April 2019)) im Jahr 2018 oder bei Thyssen Krupp eine Rolle spielte.
(Quelle: Pexels Markus Spiske CC0 Lizenz)
Die Hackergruppe Winnti soll mutmaßlich im Auftrag des chinesischen Staates operieren. Der Angriff auf TeamViewer wurde allerdings bereits im Jahr 2016 entdeckt – aber erst jetzt hat das Unternehmen dies gegenüber dem Spiegel bestätigt. Das Magazin zitiert das Unternehmen mit, dass man diesen Angriff "rechtzeitig genug entdeckt habe, um größere Schäden zu verhindern".
Mit der Untersuchung beauftragte IT-Experten als auch die Behörden hätten, so berichtet der Spiegel unter Berufung auf das Unternehmen, seinerzeit "keine Belege dafür gefunden, dass Kundendaten entwendet" oder "Computersysteme von Kunden infiziert wurden". Deswegen habe man von der TeamViewer GmbH selbst die eigenen Kunden nicht gewarnt. "Nach übereinstimmender Meinung aller relevanten Drittparteien war eine breite Information an die Kunden hier nicht angezeigt", zitiert der Spiegel das Unternehmen.
Ergänzung: Bleeping Computer berichtet hier von einer am 1. Juni 2016 veröffentlichten TeamViewer Pressemitteilung, in der ein Dienstausfall aufgrund eines Denial-of-Service-Angriffs (DoS), der auf die TeamViewer DNS-Serverinfrastruktur abzielte, bestätigt wurde. Das war an mir vorbei gegangen. Mich haben damals mehr Berichte von Leuten beschäftigt, die behaupteten, dass ihre Passwörter gestohlen worden seien. The Hacker News hatte seinerzeit einen Artikel zum Thema. Hier hieß es von Teamviewer immer, dass diese Kennwörter auf anderen Wegen erbeutet worden seien. Kann zutreffen (es gab ja jede Menge Leaks anderer Plattformen wie LinkedIn und die Passwörter könnten für Bruteforce-Angriffe benutzt worden sein), muss es aber nicht – Zweifel bleiben auf jeden Fall.
Die Brisanz des Ganzen
An dieser Stelle schließt sich der von mir in den Vorbemerkungen eröffnete Kreis. Der TeamViewer ist als Fernwartungssoftware ein extrem sensitives Tool. Ist dieses kompromittiert, können Angreifer in alle Rechner eindringen, auf denen der TeamViewer genutzt wird. Weiter oben hatte ich geschrieben, dass der TeamViewer weltweit auf ca. zwei Milliarden Geräten (oft für die Fernwartung) installiert sei. Wenn da eine Backdoor in die Software eingebracht worden wäre, hätte dies das 'Sesam öffne dich' für einen Angreifer bedeutet. Über erfolgreiche Angriffe auf Software-Entwicklungsketten (Supply Chains) habe ich ja kürzlich erst berichtet (siehe ShadowHammer: ASUS Live Update mit Backdoor infiziert und die Links am Artikelende).
Abseits der obigen Überlegungen hätte eine Veröffentlichung des Cyber-Angriffs auf das Unternehmen TeamViewer wohl einen enormen Reputationsverlust bedeutet. Geschäftsgeheimnisse ausgespäht, Software vielleicht kompromittiert? Kunden wären möglicherweise von der Fahne gegangen. Und da war die Private Equity-Firma Permira, die bei solchen Veröffentlichungen natürlich ein Wörtchen mitzureden hat. Es gab einen Cyber-Angriff? Welchen Cyber-Angriff meinen Sie? Schaden, welcher Schaden? Es gab keinen Schaden, also gab es auch nicht wirklich einen Cyber-Angriff – sicherlich gab es solche internen Überlegungen. Jedenfalls wahrte man Stillschweigen – und vor wenigen Tagen gab es die Meldung (siehe Handelsblatt und gruenderszene.de), dass die Besitzer des TeamViewer im Rahmen eines IPO zum Herbst den Gang an die Börse planen.
Da kommt der Bericht des Spiegel nach meinem Gefühl natürlich zum verkehrten Zeitpunkt und stört die schönen Pläne der Investoren. Bei gruenderszene.de schreibt man unter Berufung auf den Spiegel-Artikel, dass die TeamViewer GmbH seine Infrastruktur bereits 2016 generalüberholt habe. Das Ganze wird aber als 'Vorsichtsmaßnahme' verkauft, und es soll ein 'hoher einstelliger Millionenbetrag' in die IT-Sicherheit geflossen sein. Nur mal als Hausnummer: Die aktuelle Bewertung von TeamViewer bei einem Börsengang liegt bei vier bis fünf Milliarden Euro – Hilmar Kopper hätte den 'hohen einstelligen Millionenbetrag' zu Recht als Peanuts bezeichnet. Die Ausführungen zur Sicherheit und zum Datenschutz des Unternehmens lassen sich hier einsehen.
Was bleibt? Der Ruf des TeamViewer als vertrauenswürdige und transparente Instanz ist in meinen Augen wieder einmal angekratzt – was wissen wir nicht. Die von TeamViewer beauftragte Deutschen Cyber-Sicherheitsorganisation (DCSO) ist überzeugt, dass der Angriff 'von China ausging', aber die TeamViewer-Entwickler gaben gegenüber dem Spiegel an, "die Expansion im Schlüsselmarkt China vorantreiben zu wollen". Na denne. Artikel zum Thema gibt es übrigens noch bei gruenderszene.de, Bleeping Computer und The Hacker News.
Ähnliche Artikel:
TeamViewer: Sicherheitslücke gefährdet Sessions
TeamSpy Malware-Kampagne zielt erneut auf TeamViewer
Sicherheitswarnung für GoToMyPC und TeamViewer
TeamViewer-Ärger: Ausfall und Backdoor-Trojaner
TeamViewer: 'Stille' Übernahme durch Private Equity–Fonds
Backdoor: ASUS war seit Monaten vor Risiken gewarnt
ShadowHammer: ASUS Live Update mit Backdoor infiziert
Neues zur ShadowHammer-Attacke und den Auswirkungen
Anzeige
Hab Teamviewer noch nie von mir aus benutzt, nur dort, wo die Aufforderung von anderen kam. Dort, wo wir betreuen sehen wir zu, dass eine vernünftige VPN-Firewall vorhanden ist und dann gehts per RemoteDesktop oder RemoteAssist weiter. Einmal richtig eingerichtet (RA z.B. über ein extra Helper-Konto, damit der Kunde nicht mit irgendwelchen Nummern oder zu verschickenden Dateien genervt wird), funktioniert das wunderbar, ist sicher und vor allem unabhängig (ein Ausfall/Störung der Teamviewer-Server/Infrastruktur stört mich also nicht).