{"id":291497,"date":"2024-02-05T16:41:53","date_gmt":"2024-02-05T15:41:53","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=291497"},"modified":"2024-02-20T11:03:56","modified_gmt":"2024-02-20T10:03:56","slug":"anydesk-hack-nachlese-der-bsi-meldung-teil-6","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/05\/anydesk-hack-nachlese-der-bsi-meldung-teil-6\/","title":{"rendered":"AnyDesk-Hack – Nachlese der BSI-Meldung – Teil 6"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Nachdem ich seit einer Woche ja am \"Verdachtsfall\" AnyDesk-Hack dran war, der sich am Freitag, den 2. Februar 2024, als \"stattgefundener, erfolgreicher Cyberangriff\" best\u00e4tigte, hat nun das BSI zum 5. Februar 2024 endlich eine Mitteilung mit TLP:CLEAR ver\u00f6ffentlicht. Die Bedrohungslage wird als \"2 \/ Gelb\" eingestuft – zum 29. Januar 2024 war das noch mit TLP:Amber-Strict klassifiziert. Hier eine kurze Wiedergabe, was das BSI seinen Lesern mitteilt.<\/p>\n

<\/p>\n

AnyDesk wurde gehackt<\/h2>\n

\"\"Der Sachverhalt: Der Anbieter der Fernwartungssoftware AnyDesk ist Opfer eines Hacks geworden, bei dem auch die Produktivsysteme betroffen waren. Ransomware schlie\u00dft der Anbieter aus, best\u00e4tigt aber, dass Angreifer in seinen Systemen unterwegs waren. Wir wissen nicht wann und wir wissen nicht was betroffen war bzw. ist. Was der Anbieter AnyDesk offen offen gelegt hat, habe ich im Artikel AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen<\/a> (Teil 1) mit aufbereitet. Hier noch die offizielle d\u00fcnne Mitteilung des Anbieters (Inzidenzbericht von AnyDesk<\/a>) im Screenshot.<\/p>\n

\"AnyDesk-Meldung<\/a><\/p>\n

Kenne ich seit Freitag, den 2. Februar 2024, 22:44 Uhr. Bis zu diesem Zeitpunkt gab es nur eine als TLP:Amber-Strict klassifizierte Meldung des BSI, meiner Kenntnis nach, vom 29. Januar 2024, die an einen kleinen Verteilerkreis des BSI im Bereich kritischer Infrastrukturen ging. Wegen dieser Klassifizierung durften diese Empf\u00e4nger das Dokument nicht weiter geben und auch nicht au\u00dferhalb des Adressatenkreises sprechen. Muss also etwas am \"brennen sein\", oder?<\/p>\n

Offenlegung des BSI vom 5. Februar 2024<\/h2>\n

Inzwischen haben mich Leser auf die heutige Ver\u00f6ffentlichung des BSI zum Thema hingewiesen. Diese ist mit TLP:Clear klassifiziert und l\u00e4sst sich hier<\/a> abrufen. \"Hurra, wir haben BSI-Warnung\" – ich habe mal einen Screenshot der Warnung eingebunden.<\/p>\n

\"BSI-Warnung<\/p>\n

Dort sieht man dann, dass das BSI jegliche Klassifizierung aufgehoben hat – wohl weil \"\u00f6ffentliche Quellen\" \u00fcber den Vorfall berichten – und AnyDesk das letzten Freitag publik gemacht hat. Letztendlich best\u00e4tigt das BSI, was bekannt war: Die AnyDesk Software GmbH \u2013 Hersteller der gleichnamigen und weit verbreiteten Software f\u00fcr Fernzugriff und Screensharing \u2013 habe eine Pressemitteilung zu einem Angriff mit erfolgter Kompromittierung interner Systeme ver\u00f6ffentlicht.<\/p>\n

Wir erfahren, dass das BSI mit dem Unternehmen in Kontakt steht und kann den Vorfall best\u00e4tigen (hat schon die Qualit\u00e4t eines Karl Valentin \"wir best\u00e4tigen, dass die AnyDesk den Vorfall best\u00e4tigt hat\"). Interessant auch die Deutung: \"\u00d6ffentliche Quellen berichten dar\u00fcber, dass im Zuge dieser Kompromittierung auch Quellcode sowie Zertifikate zum Signieren der Software abgeflossen seien – das K\u00fcrzel [BLEEP2024] steht f\u00fcr den Artikel von Bleeping Computer.<\/p>\n

AnyDesk hat die Bereinigung und Wiederherstellung unmittelbar gemeinsam mit einem Dienstleister durchgef\u00fchrt. Im Rahmen dessen wurden Zertifikate zur\u00fcckgezogen und Updates bereitgestellt, durch die die Zertifikate bei den Endnutzern ausgetauscht werden. Hierbei wird nach Informationen von der Anydesk Software GmbH an das BSI u.a. das folgende Zertifikat ausgetauscht:<\/p>\n

Zertifikat-Seriennummer: 0DBF152DEAF0B981A8A938D53F769DB8<\/p><\/blockquote>\n

AnyDesk habe den Quellcode zudem gr\u00fcndlich \u00fcberpr\u00fcft und konnte keine Manipulation feststellen, hei\u00dft es. Die AnyDesk Software GmbH \u00e4u\u00dferte gegen\u00fcber dem BSI, dass das Unternehmen derzeit keine positive Kenntnis einer Kompromittierung von Nutzerdaten hat. AnyDesk hat jedoch aus Gr\u00fcnden der Vorsicht einen Reset der Passw\u00f6rter des Kundenportals my.anydesk.com erzwungen. Zum letzten Satz habe ich in Teil 5 ja was geschrieben.<\/p>\n

Die Einsch\u00e4tzung des BSI<\/h2>\n

Mit der Einstufung Gelb hat das BSI die Warnstufe recht niedrig geh\u00e4ngt. Nach Einsch\u00e4tzung des BSI besteht durch den m\u00f6glichen Abfluss des Quellcodes sowie der Zertifikate die Gefahr, dass diese Informationen f\u00fcr weiterf\u00fchrende Angriffe auf Kunden des Anbieters genutzt werden k\u00f6nnten. In diesem Kontext sind laut BSI unter anderem Man-in-the-Middle- sowie Supply-Chain-Angriffe denkbar.<\/p>\n

Insbesondere durch die wom\u00f6glich abgeflossenen Zertifikate k\u00f6nnten diese unbemerkt bleiben oder im schlimmsten Fall bereits erfolgte Angriffe unentdeckt geblieben sein. Durch die vom Betreiber umgesetzten Ma\u00dfnahmen wird das aktuelle Gef\u00e4hrdungspotenzial erheblich reduziert. Dennoch sei nicht auszuschlie\u00dfen, dass sch\u00e4dliche Versionen der Software, die mit dem kompromittierten Zertifikat signiert sind, durch Angreifer auf Dritt-Seiten angeboten oder gezielt an Kunden gesandt werden, schreibt das BSI.<\/p>\n

Im Unternehmenskontext wird die Anwendung oft mit privilegierten Rechten verwendet, wodurch sich ein besonderes Gef\u00e4hrdungspotenzial er\u00f6ffnet. Im Hinblick auf m\u00f6gliche Auswirkungen auf kritische Infrastrukturen und Verwaltung meint dass BSI, dass der geschilderte Vorfall diese in \u00e4hnlicher Art treffen und die dargestellten Konsequenzen haben kann.<\/p>\n

Die Empfehlung des BSI<\/h2>\n

Das BSI empfiehlt einen vorsichtigen Umgang mit der Software, insbesondere bei Updates oder dauerhaft offenen Verbindungen. Dar\u00fcber hinaus sollte der Empfehlung des Herstellers Folge geleistet werden, die jeweils aktuellste Version mit dem neuen Zertifikat einzuspielen. Updates sollten ausschlie\u00dflich \u00fcber die Update-Funktion innerhalb der Software oder \u00fcber die Website des Herstellers bezogen werden.<\/p>\n

Dar\u00fcber hinaus sollten Mitarbeitende (vor allem solche, die schwerpunktm\u00e4\u00dfig in Kontakt mit dem Unternehmen oder der Software stehen) im eigenen Unternehmen sensibilisiert werden, verbunden mit dem Hinweis, dass Software niemals aus unsicheren Quellen bezogen werden sollte. Der Hersteller empfiehlt au\u00dferdem einen vorsorglichen Passwortwechsel, insbesondere wenn die bei AnyDesk verwendeten Zugangsdaten auch bei anderen Diensten genutzt werden. Zu diesen Fragen hatte ich ja bereits in meinen nachfolgenden Blog-Beitr\u00e4gen was geschrieben.<\/p>\n

Kleines Fazit<\/h2>\n

Erst war die BSI-Meldung von Ende Januar 2024 \"unter Verschluss\" – nun gibt es eine Einsch\u00e4tzung der \"Warnstufe Gelb\" – und die Leute sollen vorsichtig sein. Einfach den Client austauschen und gut ist. Nett, bin ja mal gespannt, wie sich das f\u00fcr die Leserschaft im Feld so darstellt und ob der Austausch so klappt.<\/p>\n

\u00dcber die Erfahrungen und Folgen des Vorfalls werde ich zu gegebener Zeit ggf. im Blog berichten. Um den Kreis zu schlie\u00dfen: Auch mit der BSI-Mitteilung und Mitteilungen weiterer Stellen, die mir \u00fcber die Leserschaft zur Kenntnis gegeben wurden, wissen wir immer noch nicht, wann der Hack erfolgte und was genau bei AnyDesk kompromittiert wurde bzw. was abgeflossen ist. Aber ich \"glaube\", wir haben soeben Cybersicherheit wiederhergestellt.<\/p>\n

Artikelreihe:<\/strong>
\nAnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen<\/a> \u2013 Teil 1
\nAnyDesk-Hack Undercover \u2013 weitere Informationen und Gedanken<\/a> \u2013 Teil 2
\nAnyDesk-Hack Undercover \u2013 Verdachtsf\u00e4lle und mehr<\/a>\u00a0 \u2013 Teil 3
\nAnyDesk-Hack Undercover \u2013 Zugangsdaten zum Verkauf angeboten<\/a> \u2013 Teil 4
\nAnyDesk-Hack \u2013 Eine Nachlese<\/a> Teil 5
\nAnyDesk-Hack \u2013 <\/a>Nachlese der BSI-Meldung<\/a> \u2013 Teil 6
\nAnyDesk-Hack \u2013 Hinweise zum Zertifikatstausch bei Customs-Clients 7.x<\/a>\u00a0\u2013 Teil 7
\nAnyDesk-Hack \u2013 Weitere Informationen vom 5. Februar 2024<\/a>\u00a0-Teil 8
\nAnyDesk-Hack bereits zum 20. Dezember 2023 bemerkt?<\/a> \u2013 Teil 9
\nAnyDesk-Hack zum Dezember 2023 best\u00e4tigt; Altes Zertifikat zur\u00fcckgerufen<\/a>\u00a0\u2013 Teil 10
\nAnyDesk-Hack: Revoke-Chaos bei alten Zertifikaten?<\/a>\u00a0 \u2013 Teil 11
\nAnyDesk-Hack: Es gibt wohl neu signierte Clients; wie sind eure Erfahrungen?<\/a> \u2013 Teil 12<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSt\u00f6rung bei AnyDesk, jemand betroffen?<\/a>
\nAnyDesk und die St\u00f6rungen: Es ist wom\u00f6glich was im Busch<\/a><\/p>\n

Leidiges Thema AnyDesk, die Lizenzen und deren 7.1-Client \u2026<\/a>
\nAnyDesk-Probleme: Stellungnahme des Herstellers und weitere Insights<\/a>
\nNach AnyDesk \u00c4rger nun RustDesk offline?<\/a><\/p>\n

Fernwartungssoftware-Anbieter Anydesk gehackt<\/a> (Artikel bei Golem)<\/p>\n

Ransomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 1<\/a>
\nRansomware bei Kommunal IT-Dienstleister S\u00fcdwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 2<\/a>
\nGolem-Artikel: Erkenntnisse zum Cybervorfall bei S\u00fcdwestfalen-IT<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Nachdem ich seit einer Woche ja am \"Verdachtsfall\" AnyDesk-Hack dran war, der sich am Freitag, den 2. Februar 2024, als \"stattgefundener, erfolgreicher Cyberangriff\" best\u00e4tigte, hat nun das BSI zum 5. Februar 2024 endlich eine Mitteilung mit TLP:CLEAR ver\u00f6ffentlicht. Die Bedrohungslage … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-291497","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291497","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=291497"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/291497\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=291497"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=291497"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=291497"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}