Datum: 8. Februar 2024

Nachdem Anydesk kürzlich IT-Sicherheitsvorfall-Störungen bestätigt hatte, veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun Informationen zu dem Vorfall. Ursprünglich wurden diese Informationen vertraulich an einige Betroffene weitergegeben, bevor sie nun öffentlich zugänglich gemacht wurden.

Das BSI informierte die Betroffenen unter strenger Geheimhaltungsklausel im Rahmen des Traffic Light Protocols (TLP) mit dem Status „Amber+Strict“. Dieser erlaubt nur die Weitergabe an gezielte Empfänger und deren Organisationen. Auf Anfrage von heise online bestätigte das BSI, dass die Informationen nun mit dem Status „TLP:Clear“ veröffentlicht wurden.

Ein BSI-Sprecher erklärte gegenüber heise online, dass das betroffene Unternehmen das BSI unmittelbar nach Bekanntwerden des Vorfalls informiert hatte. Gerüchte über eine mögliche Kenntnis des BSI seit Ende Dezember wurden dementiert.

Die aktuelle Bedrohungslage wird vom BSI auf Stufe „gelb“ eingestuft, was auf eine IT-Bedrohungslage mit verstärkter Beobachtung von Auffälligkeiten unter temporärer Beeinträchtigung des Regelbetriebs hinweist. Interne Systeme von Anydesk wurden kompromittiert, wobei Quellcode und Zertifikate abgeflossen sind. In Zusammenarbeit mit einem Dienstleister erfolgte die Bereinigung und Wiederherstellung der betroffenen Systeme.

Das BSI sieht weiterhin die Möglichkeit von weiterführenden Angriffen auf Anydesk-Kunden aufgrund der abgeflossenen Informationen. Insbesondere Man-in-the-Middle- und Supply-Chain-Angriffe werden als denkbar eingestuft. Ob schädliche Versionen der Software mit dem kompromittierten Zertifikat bereits im Umlauf sind, bleibt unklar.

Empfehlungen des BSI für den Umgang mit dem Vorfall beinhalten einen vorsichtigen Umgang mit der Software, insbesondere bei Updates oder dauerhaft offenen Verbindungen. Nutzer sollten die aktuellste Version mit dem neuen Zertifikat verwenden, ausschließlich über die Update-Funktion innerhalb der Software oder die Website des Herstellers. Mitarbeiter, die mit der Software in Kontakt stehen, sollten sensibilisiert werden, Software nur aus sicheren Quellen zu beziehen. Das BSI betont die Wichtigkeit präventiver Passwortwechsel, insbesondere wenn dasselbe Passwort auch bei anderen Diensten genutzt wird.

Bezüglich der im digitalen Untergrund angebotenen Anydesk-Kundendaten gab das BSI keine Auskunft über die Ursachen des Datenabflusses. Der Vorfall wirft Fragen auf, wie und wo die Daten abgeflossen sind.