Sicherheitsvorfall bei TeamViewer: Steckt der russische Geheimdienst dahinter?

Sunny · 28. Juni 2024 um 05:36

Kommentare zu folgendem Beitrag: Sicherheitsvorfall bei TeamViewer: Steckt der russische Geheimdienst dahinter?

VIP · 28. Juni 2024 um 10:25

Putins Bären – Die gefährlichsten Hacker der Welt!

Security Update – 28. Juni, 2024, 12:10 Uhr MESZ

Eine Taskforce bestehend aus den Sicherheitsteams von TeamViewer und weltweit führenden Cybersicherheitsexperten hat rund um die Uhr mit allen verfügbaren Mitteln an der Untersuchung des Vorfalls gearbeitet. Wir stehen zudem in ständigem Austausch mit weiteren Threat Intelligence Anbietern und relevanten Behörden, um eine bestmögliche Aufklärung sicherzustellen.

Aktuelle Ergebnisse der Untersuchung deuten auf einen Angriff am Mittwoch, den 26. Juni, der mit Anmeldedaten eines Standard-Mitarbeiterkontos in unserer Corporate IT Umgebung erfolgte. Auf Basis kontinuierlichen Sicherheitsmonitorings haben unsere Teams ein verdächtiges Verhalten des Kontos festgestellt und sofort Gegenmaßnahmen ergriffen. Zusammen mit unserem externen Incident Response Dienstleister führen wir den Angriff derzeit auf die als APT29 / Midnight Blizzard bekannte Gruppe zurück. Nach aktuellem Stand der Untersuchungen blieb der Angriff auf die Corporate IT Umgebung von TeamViewer beschränkt. Es gibt keine Hinweise darauf, dass die Angreifer Zugang zu unserer Produktumgebung oder zu Kundendaten erlangt haben.

Gemäß unserer Best-Practice Systemarchitektur verfügt TeamViewer über eine strikte Trennung zwischen der Corporate IT, der Produktumgebung und der TeamViewer Konnektivitätsplattform. Dies bedeutet, dass wir alle Server, Netzwerke und Konten strikt getrennt halten, um unbefugten Zugriff und Bewegungen zwischen den verschiedenen Umgebungen zu verhindern. Diese Trennung ist eine von mehreren Schutzebenen in unserem „Defense in-depth“ Ansatz.

Sicherheit ist für uns von größter Bedeutung, sie ist tief in unserer DNA verwurzelt. Daher verpflichten wir uns zu einer transparenten Kommunikation mit allen Beteiligten. Wir werden den Status der Untersuchungen weiter in unserem Trust Center aktualisieren, sobald neue Informationen verfügbar sind. Wir gehen davon aus, dass wir das nächste Update bis zum Ende des heutigen Tages MESZ veröffentlichen werden.

d0m1ng0 · 28. Juni 2024 um 11:24

Da ist wohl mal wieder eine Mitarbeiterschulung notwendig… Der Mensch ist immer das schwächste Glied in der Kette.

kassenpatient · 28. Juni 2024 um 11:58

die wichtigere Frage ist das der einzige Vorfall oder nur der einzige bekannte

TeamViewer ist recht weit in Firmen verbreitet und wegen des zentralen Cloudservers zu dem sich alle Clients konnekten (müssen) mit einem recht hohen Risiko zu bewerten. Da hat sich jahrelang keiner Gedanken drum gemacht.

VIP · 28. Juni 2024 um 14:10

Wieso…? Nur weil der Mitarbeiter sein PW unter die Tastatur geklebt hatte?

kassenpatient · 29. Juni 2024 um 09:01

Das findest du doch nicht wieder.
Das post-it gehört an den Bildschirm.

deafmobil1977 · 29. Juni 2024 um 14:33

Ich benutze lieber RustDesk.

VIP · 29. Juni 2024 um 15:33

Na im schlimmsten Fall, kann ich dann die Putzfrau fragen…! Die kennt es immer!

VIP · 1. Juli 2024 um 02:52

TeamViewer-Update zu IT-Sicherheit

Security Update – 30. Juni, 2024, 18:10 Uhr MESZ

Im Rahmen der voranschreitenden Untersuchungen bestätigen wir, dass der Angriff auf die interne Corporate IT-Umgebung von TeamViewer beschränkt war. Insbesondere bekräftigen wir unsere Einschätzung, dass weder die separate Produktumgebung, noch unsere Konnektivitätsplattform, noch Kundendaten betroffen sind. Nach aktuellen Erkenntnissen gehen wir davon aus, dass der Angreifer einen kompromittierten Mitarbeiterzugang genutzt hat, um Informationen aus dem Mitarbeiterverzeichnis zu kopieren. Es handelt sich hierbei um Namen, geschäftliche Kontaktdaten und verschlüsselte Passwörter für die interne Corporate IT Umgebung. Wir haben unsere Mitarbeitenden und die relevanten Behörden informiert.

Gemeinsam mit führenden Experten unseres Incident Response Partners Microsoft haben wir Maßnahmen ergriffen, die das Risiko, welches mit dem Abfluss verschlüsselter Passwörter verbunden ist, minimieren. Wir haben die Authentifizierungsprozesse für unsere Mitarbeitenden maximal verstärkt und zusätzliche starke Schutzvorkehrungen implementiert. Darüber hinaus haben wir damit begonnen, unsere interne Corporate IT-Umgebung komplett neu aufzubauen.

Wir setzen unsere Ermittlungen fort und werden weitere Updates in unserem Trust Center bereitstellen, sobald neue Informationen verfügbar sind.

kassenpatient · 1. Juli 2024 um 08:34

passive Sicheheit - wie Trennung - ist immer das beste

maximal ? ok logisch mehr kann man nicht machen
die Formulierungen die Firmen so raushauen sind immer wieder goldig

VIP · 1. Juli 2024 um 10:27

Natürlich…so sollte das gehandhabt werden! Physikalische UND logische Trennung der verschiedenen Netze. Wie wir aber bei TV gesehen haben, ist das nur die halbe Miete - ein vernünftiges Nutzer-Management und eine harte Rechteverwaltung sollten genauso vorhanden sein. Das war wohl bei TV nur marginal vorhanden?! Anders wäre der Zugriff über ein „normales“ Benutzerkonto wohl kaum erklärbar…
Aber selbst solche Maßnahmen reichen manchmal einfach nicht aus, wie man vor ca. 3,5 Jahren beim SolarWinds-Hack gesehen hat. Es begann, als die Hacker selbst gehackt wurden. Am 9. Dezember 2020 bemerkten Experten der IT-Sicherheitsfirma FireEye, dass sie Opfer eines Cyberangriffs wurden. Jemand hatte sich Zugriff zu ihren Systemen verschafft und Software gestohlen, die FireEye eigentlich dazu verwendet, um die Abwehrsysteme seiner Kunden zu testen.

Wenige Tage später wurde bekannt, dass Abteilungen der US-Regierung ebenfalls gehackt wurden, darunter das Finanz- und Handelsministerium. Schnell war klar: Die Fälle hängen zusammen. Alle Opfer nutzten die Softwareplattform Orion des Unternehmens SolarWinds. Über ein kompromittiertes Update konnten die Angreifer eine Hintertür, »Sunburst« getauft, in die Systeme und Netzwerke der Nutzerinnen und Nutzer einschleusen.
Die Liste der Betroffenen wächst immer noch fast täglich. Mittlerweile umfasst sie allein mehr als ein Dutzend US-Behörden. Das Heimatschutzministerium ist ebenso betroffen wie die amerikanische Telekommunikationsbehörde NTIA und die Nationale Verwaltung für Nukleare Sicherheit (NNSA). Softwareentwickler wie Microsoft und VMware gehören zu den Opfern, ebenso der Finanzdienstleister Equifax, die Wirtschaftsprüfer von Deloitte sowie die Tech-Firmen Nvidia, Belkin, Intel und Cisco.
Man vermutet, dass ca. 90% der 33.000 Orion-Kunden unterwandert wurden! Ebenfalls liegt die Vermutung sehr nahe, dass die Angreifer eventuell schon seit 2017 unentdeckt in der SolarWinds IT herumgemacht hatten…!

Mal abwarten, was noch alles zu TeamViewer ans Licht kommt, die nächsten Tage und Wochen? Der Hack ist ja erst einige Tage her…