TeamViewer mit weiteren Details zum Sicherheitsvorfall
von caschy | 16 Kommentare
TeamViewer, das Unternehmen hinter der gleichnamigen Fernwartungs-Software, hatte einen Sicherheitsvorfall gemeldet (wir berichteten). Mittlerweile hat uns das Unternehmen weitere Informationen zukommen lassen.
Ergebnisse der aktuellen Untersuchung deuten darauf hin, dass am Mittwoch, dem 26. Juni, ein Angriff stattfand, der mit Anmeldedaten eines Standard-Mitarbeiterkontos in der Corporate-IT-Umgebung erfolgte. Basierend auf einem kontinuierlichen Sicherheitsmonitoring haben die Teams ein verdächtiges Verhalten des Kontos festgestellt und sofort Gegenmaßnahmen ergriffen. Zusammen mit dem externen Incident-Response-Dienstleister führt man den Angriff derzeit auf die als APT29 / Midnight Blizzard bekannte Gruppe zurück. Nach aktuellem Stand der Untersuchungen beschränkte sich der Angriff auf die Corporate-IT-Umgebung von TeamViewer. Es gibt keine Hinweise darauf, dass die Angreifer Zugang zur Produktumgebung oder zu Kundendaten erlangt haben. Weitere Infos wolle man später noch teilen.
Gemäß TeamViewers Systemarchitektur verfügt das Unternehmen über eine strikte Trennung zwischen der Corporate IT, der Produktumgebung und der TeamViewer-Konnektivitätsplattform. Dies bedeutet, dass sie alle Server, Netzwerke und Konten strikt getrennt halten, um unbefugten Zugriff und Bewegungen zwischen den verschiedenen Umgebungen zu verhindern.
Hintergrund: APT29, auch bekannt als Midnight Blizzard, ist eine Bedrohungsakteur-Gruppe, die dem russischen Auslandsgeheimdienst (SVR) zugeschrieben wird. Diese Gruppe, die auch unter den Namen Cozy Bear und Nobelium bekannt ist, ist in komplexe Cyber-Spionage-Kampagnen verwickelt. Midnight Blizzard wird mit prominenten Cyberangriffen in Verbindung gebracht, darunter Angriffe auf Microsoft und dem SolarWinds-Orion-Angriff im Jahr 2020.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Leute werden wohl nie von sowas lernen. Anbei mal eine offene Alternative.
https://rustdesk.com/
Ähm ja und trotzdem brauchst bei rustdesk eine Infrastruktur und wenn die betroffen ist, hast du das selbe Problem. Self Host hilft nur bedingt, dann verlagerst du die Verantwortung woanders hin.
Mach die Büchse nicht auf!
Artikel gelesen?
+1, auch wenn Sicherheitsvorfälle natürlich auch bei Rustdesk vorkommen können.
Und damit wäre dann genau _was_ gewonnen?
Arbeiten an rustdesk keine Menschen mit Computern?
Seit ich hier von Rustdesk gelesen habe, habe ich gewechselt. Jeder sollte Rustdesk nutzen und nicht mehr den Teamviewer. Der wurde in den letzten Jahren schon ziemlich kaputt gemacht, seitens Hersteller.
In der IT-Infrastruktur von TeamViewer ist es zu einem Sicherheitsvorfall gekommen. TeamViewer so: Blabla (das übliche Gesülze von „Wir sind hochprofessionell“, „Angreifer mit enormer krimineller Energie“, „Angreifer müssen staatliche Akteure sein“, „Angreifer im staatlichen Auftrag von Russland“, „Angreifer im staatlichen Auftrag von China“ etc.)
> Ergebnisse der aktuellen Untersuchung deuten darauf hin, dass am Mittwoch, dem 26. Juni, ein Angriff stattfand, der mit Anmeldedaten eines Standard-Mitarbeiterkontos in der Corporate-IT-Umgebung erfolgte …
Ach? Und wie sind die Angreifer an diese Daten bekommen? Und noch besser: Wie konnten sich die Angreifer damit aus dem Internet anmelden? Oder war es gar einen Innentäter?
> Gemäß TeamViewers Systemarchitektur verfügt das Unternehmen über eine strikte Trennung zwischen der Corporate IT, der Produktumgebung und der TeamViewer-Konnektivitätsplattform
Na und? Der oder die Angreifer war(en) ja wohl im internen Netz. Wo findet denn die Software-Entwicklung so statt? Frage für einen Freund.
„ In der IT-Infrastruktur von TeamViewer ist es zu einem Sicherheitsvorfall gekommen. TeamViewer so: Blabla (das übliche Gesülze von „Wir sind hochprofessionell“, „Angreifer mit enormer krimineller Energie“, „Angreifer müssen staatliche Akteure sein“, „Angreifer im staatlichen Auftrag von Russland“, „Angreifer im staatlichen Auftrag von China“ etc.)“
Wie sähe hier eine richtige Stellungnahme aus, die Sie akzeptieren würden?
Natürlich ist da viel Marketing-Blahblah dabei, was sollen sie den auch so kurz nach dem Vorfall schreiben?
„War ein Scriptkiddy und wir sind totale Anfänger! Liebe Kunden, wir haben zwar (noch) kein Problem für Eure Sicherheit gefunden, aber bitte geraten Sie JETZT in Panik!“?
„Ach? Und wie sind die Angreifer an diese Daten bekommen? Und noch besser: Wie konnten sich die Angreifer damit aus dem Internet anmelden? Oder war es gar einen Innentäter?“
Phishing, Social Engineering? Je nach Interesse und Organisation der Täter gehen diese inzwischen sehr gezielt und gut vorbereitet vor. Das hat ein gänzlich anderes Niveau als „Hallo! Hier ist Ihre Sparkasse, bitte Daten hier eingeben sonst Kontosperre!“ Es ist nicht das erste und wird nicht das letzte mal sein, dass der Faktor Mensch überlistet wird.
Und Homeoffice wird natürlich mit einem Netzwerkkabel betrieben, welches ein Unternehmen eigens und nur für diesem Zweck zu jedem seinem Arbeitnehmer gelegt hat? Und ja, ich kenne VPN, aber auch das funktioniert über das Internet und mit irgend einer Art Zugangsdaten.
„ Na und? Der oder die Angreifer war(en) ja wohl im internen Netz. Wo findet denn die Software-Entwicklung so statt? Frage für einen Freund.“
Vermutlich nur in einem der drei separaten Bereiche. Aber wer sagt, dass Zugriff auf die Produktentwicklung bestand? Im Text steht nur „eines Standard-Mitarbeiterkontos in der Corporate-IT-Umgebung“, was zumindest bedeutet auf die für die Kunden unmittelbaren kritischen Bereiche (die Kunden wollen natürlich wissen ob sich über TeamViewer bei Ihnen einschmuggeln könnte) wohl nicht.
Was wirklich passiert ist wird sich vermutlich noch zeigen, ebenso ob TeamViewer bei der Sicherheit geschlampt hat oder nicht, aber für reflexartige Vorwürfe ohne Details zu kennen ist es bei allem gesunden Misstrauen doch noch etwas zu früh.
Es ging mir um Folgendes: In praktisch 100% solcher Fälle kommen die gleichen Phrasen, aber nie irgendwelche Belege. Und auch kritische Nachfragen sind selten. Ich mache Teamviewer – auch wenn es aktuell nicht gut in Sachen professionelle IT-Sicherheit aussieht – keinen Vorwurf. Zum einen gibt es keine perfekte IT-Sicherheit in vernetzen Umgebungen und zum anderen weiß ich ja nicht, was genau passiert ist. Der Vorwurf zielt auf zwei andere Punkte ab
1. Mitteilungen rauszuhauen und dabei eine russische Gruppe konkret zu beschuldigen, ohne Belege zu präsentieren.
2. Marketing-Nebelkerzen zu zünden („Basierend auf einem kontinuierlichen Sicherheitsmonitoring haben die Teams ein verdächtiges Verhalten des Kontos festgestellt und sofort Gegenmaßnahmen ergriffen“ , „Gemäß TeamViewers Systemarchitektur verfügt das Unternehmen über eine strikte Trennung zwischen der Corporate IT, der Produktumgebung und der TeamViewer-Konnektivitätsplattform“), wichtige Fragen aber unter den Tisch zu kehren.
Ich habe nicht behauptet, dass die Angreifer Zugriff auf die Produktentwicklung hatten. Ich habe auf einen Aspekt hingewiesen und habe mir nur die Produktentwicklung plakativ herausgegriffen. Tatsache ist wohl: Es kam zu einem Sicherheitsvorfall im internen Netzwerk von Teamviewer. Es geht also um das Netzwerk mit Produktentwicklung, Kundenbetreuung, Lizenzmanagement etc. Vielleicht teilweise getrennt, vielleicht auch nicht. Vielleicht getrennt, aber vollkommen unzureichend oder sogar auf physikalischer Ebene perfekt isoliert. Man weiß es nicht.
Was Du aber geschrieben hast, ist genau das, was Teamviewer mit der Meldung von der Trennung von Fernwartungsbereich und internem Teamviewer-Netzwerk beabsichtigt hatte. Nur: Die Kunden wissen eben gerade nicht, ob sie unmittelbar bedroht sind oder nicht. Sie nehmen an, dass es nicht so kritisch ist, weil ja „nur“ das interne Netzwerk betroffen ist. Nur ist es eben genau das: Eine Annahme.
Also kurz:
Du hast genau so wenig Ahnung was passiert ist wie jeder andere hier, aber du wirfst halt mal pauschal mit Anschuldigungen um dich.
Insbesondere beschuldigst du das betroffene Unternehmen ganz direkt einer Lüge, denn die Aussage war „Corporate IT; NICHT produktiv- oder Entwicklungsumgebung“.
Was an sich ja auch logisch ist, denn in welcher Umgebung sitzen mehr User? Wo liest man (potentielle phishing-) Mails? Wo surft man womöglich auf einen malicious Link?
Natürlich ist „Corporate“ der mit Abstand wahrscheinlichste Vektor. Deswegen GIBT es ja typischerweise eine Trennung davon.
Kriegt euch mal wieder ein… Das ist inzwischen sowas von Alltag. Und ich will gar nicht wissen wie viele Vorfälle dieser Art es jeden Tag gibt von denen die Öffentlichkeit gar nix erfährt. Wer meint, er können es mit angeborenem Glücksabo, angegoogletem Fachwissen, Open Source oder/oder einfach mit Gottes Hilfe selbst besser, der soll es halt selber machen und hoffen, dass es ihn nicht doch irgendwann trifft. Über welches Einfallstor auch immer…
Und weil der vergammelte Mist Alltag ist, sollte man ihn als normal ansehen?
Ich habe da so den Verdacht, dass genau diese Haltung zu der aktuellen Situation geführt hat. Und das betrifft nicht nur IT-Sicherheitsvorfälle.
Ich will die Experten hier nicht stören, aber irgendwie finde ich es gut und eher vertrauenserweckend, dass Teamviewer anscheinend recht offen und problembewusst damit umgeht und die Öffentlichkeit scheinbar proaktiv informiert inkl. der Seite hier. Und die Stellungnahme ist schon konkreter als vieles andere. Draufhauen ist leicht, aber das kann nachweislich jeder Firma passieren, siehe Microsoft und Co. mit ganz anderen Mitteln. Versetzt euch mal in deren Lage, wenn ihr überhaupt vergleichbare Jobs macht oder kennt.
Hauptsache man hat wieder Russland im Verdacht, ich weiß nicht woher das kommt aber Teamviewer hat in keiner einzigen Pressemitteilung das Wort Russland in den Mund genommen, irgendwo in der Presse wurde das hinzugefügt, es ist eine Katastrophe hier werden nicht mal halbwegs journalistische Standards eingehalten
Soweit korrekt, Zitat aus der Original-Meldung „Zusammen mit unserem externen Incident Response Dienstleister führen wir den Angriff derzeit auf die als APT29 / Midnight Blizzard bekannte Gruppe zurück.“
Den Hintergrund von APT29 zu ermitteln ist nicht weiter schwierig. In der Security Branche besteht seit vielen Jahren Konsens: „Gesteuert wird die Gruppe laut übereinstimmenden Experteneinschätzungen vom russischen Auslandsnachrichtendienst SWR.“
Die journalistische Leistung besteht hier also im Nennen der Akteure: Organe des russischen Staates steuern und finanzieren seit vielen Jahren hochgefährliche Online-Kriminalität.
Falls du Rrussland-freundlich eingestellt bist: schön. Russland hat viele gute Seiten. Roß und Reiter dürfen trotzdem genannt werden.
https://www.teamviewer.com/de/resources/trust-center/statement/
https://en.wikipedia.org/wiki/Cozy_Bear