{"id":291488,"date":"2024-02-05T13:31:22","date_gmt":"2024-02-05T12:31:22","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=291488"},"modified":"2024-02-20T11:03:43","modified_gmt":"2024-02-20T10:03:43","slug":"anydesk-hack-eine-nachlese-teil-5","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/05\/anydesk-hack-eine-nachlese-teil-5\/","title":{"rendered":"AnyDesk-Hack – Eine Nachlese – Teil 5"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Seit einer Woche bin ich ja am \"Verdachtsfall\" AnyDesk-Hack dran, der sich am Freitag, den 2. Februar 2024, als \"stattgefundener, erfolgreicher Cyberangriff\" best\u00e4tigte. Zum Wochenende habe ich dann meine Erkenntnisse in vier Artikeln aufbereitet (siehe Links am Artikelende). Nun m\u00f6chte ich in einer Art Nachlese noch einige Gedanken und Hinweise f\u00fcr die Leserschaft nachschieben.<\/p>\n

<\/p>\n

AnyDesk wurde gehackt<\/h2>\n

\"\"Der Sachverhalt in Kurz: Der Anbieter der Fernwartungssoftware AnyDesk ist Opfer eines Hacks geworden, bei dem auch die Produktivsysteme betroffen waren. Ransomware schlie\u00dft der Anbieter aus, best\u00e4tigt aber, dass Angreifer in seinen Systemen unterwegs waren. Details habe ich im Artikel AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen<\/a> (Teil 1), soweit der Anbieter diese offen gelegt hat, sowie einige Hintergr\u00fcnde (aus meiner Sicht) aufbereitet.<\/p>\n

\"AnyDesk-Meldung<\/a><\/p>\n

Obige Abbildung zeigt nochmals den Inzidenzbericht von AnyDesk<\/a> im Screenshot. In weiteren Teilen (siehe Verlinkungen am Artikelende) wurden weitere Informationen von mir aufbereitet. Nachfolgend noch einige Bemerkungen und Informationen f\u00fcr meine Blog-Leserschaft.<\/p>\n

Offenlegung Freitag 22:44 Uhr?<\/h2>\n

Den ersten Punkt, den ich aufgreifen m\u00f6chte, betrifft den Ablauf der Offenlegung des Sicherheitsvorfalls. Zur BSI-Warnung hatte ich ja im Beitrag AnyDesk-Hack Undercover \u2013 weitere Informationen und Gedanken<\/a> \u2013 Teil 2 was geschrieben – mag gute Gr\u00fcnde f\u00fcr das Ganze geben – m\u00fcssen andere bewerten. In AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen<\/a> \u2013 Teil 1 hatte ich aber skizziert, dass ich seit Tagen dem Verdacht auf einen Cyberangriff nachging.<\/p>\n

Ich kann verstehen, dass bei AnyDesk Aufruhr herrschte, und sich sehr gut \u00fcberlegt wird, wie und wann die \u00d6ffentlichkeit informiert wird. Aber seit dem 1. Februar 2024 gab es ein Angebot einer AnyDesk-F\u00fchrungskraft, ein Gespr\u00e4ch mit dem CEO wegen des Vorfalls mit mir zu vermitteln, welches am Freitag, den 2. Februar 2024 den gesamten Tag nicht zustande kam. Gut, ich bin nicht \"der Nabel der Welt\" und die haben keinerlei Verpflichtung mit mir \u00fcberhaupt und zeitnah zu sprechen.<\/p>\n

Irgendwann habe ich Freitag am sp\u00e4ten Nachmittag das B\u00fcro zu verlassen und dies AnyDesk so kommuniziert. Ich hatte in der Mail um eine kurze Einstufung gebeten, wen der Cyber-Incident betrifft (on-premises Hosting oder Cloud-Nutzer) und was die Kunden beachten sollten bzw. tun k\u00f6nnen. Es hie\u00df \"Wir werden heute eine Pressemitteilung machen, wir senden sie Ihnen vorher.\" So gegen 22:30 Uhr bin ich schlicht schlafen gegangen – und habe dann am Samstag, den 3. Feb. 2024 gegen 3:00 Uhr gesehen, dass am 2.2.2024 um 22:44 Uhr eine Mail mit der obigen AnyDesk Incident Response 2-2-2024<\/em> eingetroffen war.<\/p>\n

\"Jake<\/a><\/p>\n

Sicherheitsforscher Jake Williams hat es in obigem Tweet<\/a> in seinen \"Bemerkungen zum AnyDesk-Vorfall\" aufgegriffen. O-Ton:<\/p>\n

Das sollte nicht an einem Freitagnachmittag ver\u00f6ffentlicht werden, wenn die Systeme schon vor Tagen vom Netz genommen wurden. Dies ist ein PR-Schachzug. Unternehmen, die transparent sind, machen so einen Bl\u00f6dsinn nicht.<\/p><\/blockquote>\n

Im Schwabenl\u00e4ndle sagen die Leute \"das hat aber schon Geschm\u00e4ckle\". Lassen wir das mal so stehen.<\/p>\n

Die Offenlegung als Witz<\/h2>\n

Ich m\u00f6chte nochmals auf einen weiteren Aspekt abstellen, der mir aufgefallen ist – ich hatte es ja bereits Beitrag AnyDesk-Hack Undercover \u2013 weitere Informationen und Gedanken<\/a> \u2013 Teil 2 angesprochen. Der Inzidenz-Report<\/a> enth\u00e4lt keinerlei Zeitangaben, wann was passierte ist. Generell ist das Ganze schlicht ein Witz und PR-Geklimper – zugeben, was nicht mehr zu leugnen ist.<\/p>\n

So bleibt jede Menge Unsicherheit bei Betroffenen und Spekulationsm\u00f6glichkeit f\u00fcr Beobachter zur\u00fcck. Auszug aus der Datenschutzerkl\u00e4rung der AnyDesk: \"Der Erfolg unserer Produkte h\u00e4ngt nicht zuletzt davon ab, dass unsere Kunden auf die Sicherheit und den Schutz Ihrer Daten vertrauen k\u00f6nnen.\" Das ist eine Botschaft und ein Versprechen.<\/p>\n

Auch wenn vermutlich keine Kundendaten beim Zugriff auf die Produktivsysteme bei AnyDesk abgeflossen sind, also keine Kundeninformationen per DSGVO erforderlich ist, ist das alles andere als \"good practice\". Bis zum Schreiben dieses Artikels ist keinerlei Hinweis auf der AnyDesk-Webseite<\/a> oder auf deren Statusseite<\/a> zum Cybervorfall f\u00fcr Besucher zu sehen. Man muss den Deep-Link zum Bericht<\/a> kennen, um \u00fcber den Vorfall informiert zu werden.<\/p>\n

\"Jake<\/a><\/p>\n

Jake Williams greift die obigen Gedanken in mehreren Tweets<\/a> auf und schreibt dazu, dass alleine dieses Verhalten eines von zwei Dingen bedeutet:<\/p>\n