{"id":218175,"date":"2019-05-18T01:31:50","date_gmt":"2019-05-17T23:31:50","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=218175"},"modified":"2024-03-31T20:14:14","modified_gmt":"2024-03-31T18:14:14","slug":"cyber-angriff-auf-teamviewer-chinesen-im-verdacht","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/05\/18\/cyber-angriff-auf-teamviewer-chinesen-im-verdacht\/","title":{"rendered":"Cyber-Angriff auf TeamViewer, Chinesen im Verdacht"},"content":{"rendered":"

[English<\/a>]Der Spiegel berichtet, dass die Entwicklerfirma der Fernwartungssoftware TeamViewer im Jahr 2016 Opfer eines Cyberangriffs wurde. Dieser Hack wurde aber nicht durch die Firma \u00f6ffentlich gemacht. Warum eigentlich nicht? Hier einige Informationen, was bekannt ist, und einige Gedanken meinerseits samt Einordnung zum Kontext des Ganzen.<\/p>\n

<\/p>\n

\"\"Es ist mal wieder ein Lehrst\u00fcck, wie Informationen \u00fcber einen Cyber-Angriff unter Verschluss bleiben. Dieses Mal geht es um die Entwicklerfirma von TeamViewer, die Opfer eines Cyberangriffs wurde.<\/p>\n

Einige Vorbemerkungen zu TeamViewer<\/h2>\n

Viele von euch kennen den TeamViewer \u2013 eine Remote-\/Fernwartungs-Software. Ziemlich einfach zu handhaben und sehr funktional \u2013 dabei f\u00fcr Privatanwender sogar kostenlos nutzbar. Laut Unternehmensangaben nutzten bereits 2014 mehr als 200 Millionen Anwender (viele Firmen sind dabei) diese Software f\u00fcr Webkonferenzen und Fernwartung. Mittlerweile soll die Software auf 2 Milliarden Ger\u00e4ten weltweit installiert sein. Hinter dem TeamViewer steckte bisher die deutsche GmbH gleichen Namens<\/a> aus G\u00f6ppingen (bei Stuttgart), die 2005 gegr\u00fcndet wurde.<\/p>\n

Der Spiegel bezeichnet (Artikel hier<\/a> hinter Paywall), die Softwareschmiede Teamviewer aus G\u00f6ppingen als eines der wichtigsten 'Einh\u00f6rner' und Startups aus Deutschland. Nun ja, nach 14 Jahren ist eine Firma eher kein Startup mehr, und mit Einh\u00f6rnern habe ich es auch nicht so. Denn 2014 wurde die Firma ganz still durch einen Private Equity-Fonds \u00fcbernommen \u2013 ich hatte im Blog-Beitrag TeamViewer: 'Stille' \u00dcbernahme durch Private Equity\u2013Fonds<\/a> dar\u00fcber berichtet. K\u00e4ufer war die britische Private Equity<\/a>-Firma Permira<\/a>, die die GmbH bei einem Exit zum Kaufpreis von 1,1 Milliarden US $) \u00fcbernommen hat, ohne dass das irgendwie publik wurde.<\/p>\n

Im damaligen Blog-Beitrag habe ich einige Informationen zu Permira verlinkt und auch die 'Vertrauensfrage' in Sachen TeamViewer gestellt. Nun ja, ich bin ja nur ein kleiner Blogger, aber bei mir steht der Teamviewer mental auf einer schwarzen Liste bzw. beim Namen des Produkts gehen hier alle Lampen an. Denn im Blog (siehe Artikellinks am Beitragsende) tauchte der Namen TeamViewer danach im Blog eher durch gehackte Versionen auf. Aber bei der heutigen Recherche bin ich auf den just im April 2019 publizierten ZDNet-Beitrag<\/a> gesto\u00dfen, dass Hacker erneut manipulierte TeamViewer-Version gegen Regierungen in Europa einsetzen.<\/p>\n

Gut, f\u00fcr den Missbrauch k\u00f6nnen die TeamViewer-Entwickler nichts, da die Software durch Cyber-Kriminelle manipuliert wurde und wird. Aber im Hinterkopf war da immer f\u00fcr mich: Finger weg von dem Zeugs \u2013 und einsetzen falls \u00fcberhaupt nur, wenn Du wei\u00dft, dass das alles sicher ist. War halt ein Bauchgef\u00fchl, welches bei mir aus den zahlreichen Missbrauchsf\u00e4llen und der \u00dcbernahme durch ein Private Equity-Unternehmen entstand \u2013 ohne dass ich da harte Belege h\u00e4tte liefern k\u00f6nnen.<\/p>\n

Der Cyber-Angriff auf TeamViewer<\/h2>\n

Der Spiegel berichtet nun (Paywall<\/a>), das die Entwicklerfirma von TeamViewer Opfer eines Cyber-Angriffs wurde. Das Ganze ging von der Schadsoftware der Hackergruppe Winnti aus, die auch in anderem Zusammenhang, zum Beispiel dem Bayer-Hack (siehe Sicherheitsinfos zum Sonntag (14. April 2019)<\/a>) im Jahr 2018 oder bei Thyssen Krupp eine Rolle spielte.<\/p>\n

\"KRITIS-Netzwerk\"
\n(Quelle: Pexels Markus Spiske<\/a> CC0 Lizenz)<\/p>\n

Die Hackergruppe Winnti soll mutma\u00dflich im Auftrag des chinesischen Staates operieren. Der Angriff auf TeamViewer wurde allerdings bereits im Jahr 2016 entdeckt \u2013 aber erst jetzt hat das Unternehmen dies gegen\u00fcber dem Spiegel best\u00e4tigt. Das Magazin zitiert das Unternehmen mit, dass man diesen Angriff \"rechtzeitig genug entdeckt habe, um gr\u00f6\u00dfere Sch\u00e4den zu verhindern\".<\/p>\n

Mit der Untersuchung beauftragte IT-Experten als auch die Beh\u00f6rden h\u00e4tten, so berichtet der Spiegel unter Berufung auf das Unternehmen, seinerzeit \"keine Belege daf\u00fcr gefunden, dass Kundendaten entwendet\" oder \"Computersysteme von Kunden infiziert wurden\". Deswegen habe man von der TeamViewer GmbH selbst die eigenen Kunden nicht\u00a0 gewarnt. \"Nach \u00fcbereinstimmender Meinung aller relevanten Drittparteien war eine breite Information an die Kunden hier nicht angezeigt\", zitiert der Spiegel das Unternehmen.<\/p>\n

Erg\u00e4nzung: <\/strong>Bleeping Computer berichtet hier<\/a> von einer am 1. Juni 2016 ver\u00f6ffentlichten TeamViewer Pressemitteilung, in der ein Dienstausfall aufgrund eines Denial-of-Service-Angriffs (DoS), der auf die TeamViewer DNS-Serverinfrastruktur abzielte, best\u00e4tigt wurde. Das war an mir vorbei gegangen. Mich haben damals mehr Berichte von Leuten besch\u00e4ftigt, die behaupteten, dass ihre Passw\u00f6rter gestohlen worden seien. The Hacker News hatte seinerzeit einen Artikel<\/a> zum Thema. Hier hie\u00df es von Teamviewer immer, dass diese Kennw\u00f6rter auf anderen Wegen erbeutet worden seien. Kann zutreffen (es gab ja jede Menge Leaks anderer Plattformen wie LinkedIn und die Passw\u00f6rter k\u00f6nnten f\u00fcr Bruteforce-Angriffe benutzt worden sein), muss es aber nicht \u2013 Zweifel bleiben auf jeden Fall.<\/p>\n

Die Brisanz des Ganzen<\/h2>\n

An dieser Stelle schlie\u00dft sich der von mir in den Vorbemerkungen er\u00f6ffnete Kreis. Der TeamViewer ist als Fernwartungssoftware ein extrem sensitives Tool. Ist dieses kompromittiert, k\u00f6nnen Angreifer in alle Rechner eindringen, auf denen der TeamViewer genutzt wird. Weiter oben hatte ich geschrieben, dass der TeamViewer weltweit auf ca. zwei Milliarden Ger\u00e4ten (oft f\u00fcr die Fernwartung) installiert sei. Wenn da eine Backdoor in die Software eingebracht worden w\u00e4re, h\u00e4tte dies das 'Sesam \u00f6ffne dich' f\u00fcr einen Angreifer bedeutet. \u00dcber erfolgreiche Angriffe auf Software-Entwicklungsketten (Supply Chains) habe ich ja k\u00fcrzlich erst berichtet (siehe ShadowHammer: ASUS Live Update mit Backdoor infiziert<\/a> und die Links am Artikelende).<\/p>\n

Abseits der obigen \u00dcberlegungen h\u00e4tte eine Ver\u00f6ffentlichung des Cyber-Angriffs auf das Unternehmen TeamViewer wohl einen enormen Reputationsverlust bedeutet. Gesch\u00e4ftsgeheimnisse ausgesp\u00e4ht, Software vielleicht kompromittiert? Kunden w\u00e4ren m\u00f6glicherweise von der Fahne gegangen. Und da war die Private Equity-Firma Permira, die bei solchen Ver\u00f6ffentlichungen nat\u00fcrlich ein W\u00f6rtchen mitzureden hat. Es gab einen Cyber-Angriff? Welchen Cyber-Angriff meinen Sie? Schaden, welcher Schaden? Es gab keinen Schaden, also gab es auch nicht wirklich einen Cyber-Angriff \u2013 sicherlich gab es solche internen \u00dcberlegungen. Jedenfalls wahrte man Stillschweigen \u2013 und vor wenigen Tagen gab es die Meldung (siehe Handelsblatt und gruenderszene.de<\/a>), dass die Besitzer des TeamViewer im Rahmen eines IPO zum Herbst den Gang an die B\u00f6rse planen.<\/p>\n

Da kommt der Bericht des Spiegel nach meinem Gef\u00fchl nat\u00fcrlich zum verkehrten Zeitpunkt und st\u00f6rt die sch\u00f6nen Pl\u00e4ne der Investoren. Bei gruenderszene.de schreibt man unter Berufung auf den Spiegel-Artikel, dass die TeamViewer GmbH seine Infrastruktur bereits 2016 general\u00fcberholt habe. Das Ganze wird aber als 'Vorsichtsma\u00dfnahme' verkauft, und es soll ein 'hoher einstelliger Millionenbetrag' in die IT-Sicherheit geflossen sein. Nur mal als Hausnummer: Die aktuelle Bewertung von TeamViewer bei einem B\u00f6rsengang liegt bei vier bis f\u00fcnf Milliarden Euro \u2013 Hilmar Kopper h\u00e4tte den 'hohen einstelligen Millionenbetrag' zu Recht als Peanuts bezeichnet. Die Ausf\u00fchrungen zur Sicherheit und zum Datenschutz des Unternehmens lassen sich hier einsehen<\/a>.<\/p>\n

Was bleibt? Der Ruf des TeamViewer als vertrauensw\u00fcrdige und transparente Instanz ist in meinen Augen wieder einmal angekratzt \u2013 was wissen wir nicht. Die von TeamViewer beauftragte Deutschen Cyber-Sicherheitsorganisation (DCSO) ist \u00fcberzeugt, dass der Angriff 'von China ausging', aber die TeamViewer-Entwickler gaben gegen\u00fcber dem Spiegel an, \"die Expansion im Schl\u00fcsselmarkt China vorantreiben zu wollen\". Na denne. Artikel zum Thema gibt es \u00fcbrigens noch bei gruenderszene.de<\/a>, Bleeping Computer<\/a> und The Hacker News<\/a>.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nTeamViewer: Sicherheitsl\u00fccke gef\u00e4hrdet Sessions<\/a>
\nTeamSpy Malware-Kampagne zielt erneut auf TeamViewer<\/a>
\nSicherheitswarnung f\u00fcr GoToMyPC und TeamViewer<\/a>
\nTeamViewer-\u00c4rger: Ausfall und Backdoor-Trojaner<\/a>
\nTeamViewer: 'Stille' \u00dcbernahme durch Private Equity\u2013Fonds<\/a><\/p>\n

Backdoor: ASUS war seit Monaten vor Risiken gewarnt<\/a>
\nShadowHammer: ASUS Live Update mit Backdoor infiziert<\/a>
\nNeues zur ShadowHammer-Attacke und den Auswirkungen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Der Spiegel berichtet, dass die Entwicklerfirma der Fernwartungssoftware TeamViewer im Jahr 2016 Opfer eines Cyberangriffs wurde. Dieser Hack wurde aber nicht durch die Firma \u00f6ffentlich gemacht. Warum eigentlich nicht? Hier einige Informationen, was bekannt ist, und einige Gedanken meinerseits samt … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[7572,2564,4328,7573],"class_list":["post-218175","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-cyberangriff","tag-hack","tag-sicherheit","tag-teamviwer"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218175","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=218175"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218175\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=218175"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=218175"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=218175"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}