Ausgerechnet TeamViewer, der Platzhirsch für Fernwartungssoftware, wurde Opfer eines raffinierten Cyberangriffs. Am 26. Juni 2024 entdeckten die Sicherheitsexperten des Unternehmens ungewöhnliche Aktivitäten in ihrem internen Netzwerk. Was zunächst nach einer Routineuntersuchung aussah, entpuppte sich als ausgeklügelter Hackerangriff, der die Cybersecurity-Welt in Aufruhr versetzt.
TL;DR – die wichtigsten Infos:
- TeamViewer wurde am 26. Juni 2024 Opfer eines gezielten Cyberangriffs
- Verdächtigt wird die russische Hackergruppe APT29 (Cozy Bear/Midnight Blizzard)
- Angreifer nutzten komprom
- Mitarbeiterverzeichnis und verschlüsselte Passwörter wurden entwendet
- Kundenumgebungen blieben verschont, aber das Vertrauen ist angeknackst
Kapitel in diesem Beitrag:
- 1 TL;DR – die wichtigsten Infos:
- 2 Midnight Blizzard schlägt zu: APT29 hinter dem Angriff?
- 3 Zugang über Mitarbeiterdaten
- 4 Datendiebstahl: Was genau wurde erbeutet?
- 5 Schadenskontrolle und Krisenkommunikation
- 6 Branchenweite Auswirkungen und ein Weckruf
- 7 Was Nutzer jetzt tun sollten
- 8 Meine Tipps & Tricks rund um Technik & Apple
- 9 Ähnliche Beiträge
Midnight Blizzard schlägt zu: APT29 hinter dem Angriff?
Wie TeamViewer in einem Blogpost einräumt, gelang es den Angreifern, tief in das Unternehmensnetzwerk einzudringen. Obwohl TeamViewer in seiner offiziellen Kommunikation vorsichtig bleibt, deuten Branchenexperten auf einen ganz bestimmten Verdächtigen hin: Die berüchtigte russische Hackergruppe APT29, auch bekannt als Cozy Bear oder neuerdings als „Midnight Blizzard“.
Diese Gruppe, die Verbindungen zum russischen Auslandsgeheimdienst SVR haben soll, ist bekannt für ihre hochentwickelten Angriffsmethoden und hat in der Vergangenheit bereits zahlreiche hochkarätige Ziele ins Visier genommen. Der Angriff auf TeamViewer passt perfekt in ihr Beuteschema: Ein Unternehmen mit Zugang zu sensitiven Daten und potenziell wertvollen Kundeninformationen.
Zugang über Mitarbeiterdaten
Besonders brisant: Die Hacker nutzten offenbar eine bisher unbekannte Schwachstelle – einen sogenannten Zero-Day-Exploit – in der Firewall von TeamViewer aus. Zero-Day-Exploits sind gefürchtet, da sie Schwachstellen ausnutzen, für die es noch keine Patches gibt. Wie uns ein Mitarbeiter von TeamViewer mitteilte, ist der Zugang nicht über einen Zero-Day-Exploit erfolgt, sondern über Mitarbeiterdaten, die kompromittiert wurden:
„Unsere Analyse zeigt, wie auch in der Stellungnahme dargestellt, dass über kompromittierte Mitarbeiterdaten auf die interne IT-Umgebung des Unternehmens zugegriffen wurde und nicht über eine Schwachstelle.“
Nach dem initialen Eindringen nutzten die Angreifer offenbar Techniken namens „Advanced Persistent Threats (APTs)“ und „Lateral Movement“, um sich im Netzwerk auszubreiten.
Lateral Movement bedeutet, dass sich die Hacker schrittweise durch das Netzwerk bewegen, Zugangsdaten sammeln und ihre Privilegien erhöhen, bis sie an ihr eigentliches Ziel gelangen.
Advanced Persistent Threats (APTs) sind hochentwickelte, langfristige Cyberangriffe, bei denen ein erfahrener Angreifer unbefugten Zugang zu einem System oder Netzwerk erlangt und diesen über einen längeren Zeitraum aufrechterhält, um sensible Daten zu stehlen oder Schaden anzurichten.
Datendiebstahl: Was genau wurde erbeutet?
Die Bilanz des Angriffs liest sich wie der Albtraum jedes IT-Sicherheitsverantwortlichen: Die Hacker konnten das komplette Mitarbeiterverzeichnis kopieren und entwendeten zudem verschlüsselte Passwörter. TeamViewer beteuert, dass die Verschlüsselung state-of-the-art sei und ein Knacken der Passwörter nahezu unmöglich wäre.
Interessanterweise gibt es keine Hinweise darauf, dass die Angreifer Zugriff auf Kundendaten oder die eigentliche Produktumgebung erhielten. Das zeigt, dass TeamViewers Segmentierung zwischen internem Netzwerk und Kundenumgebungen tatsächlich funktioniert.
Schadenskontrolle und Krisenkommunikation
TeamViewer hat schnell reagiert und arbeitet eng mit Strafverfolgungsbehörden und externen Cybersecurity-Experten zusammen. Das Unternehmen hat zusätzliche Sicherheitsmaßnahmen implementiert, was hoffentlich den gewünschten Effekt bringt und zukünftige Angriffe schwerer macht. Wenn sich allerdings ein Angreifer so lange im Unternehmensnetz bewegt hat, ohne bemerkt zu werden, besteht die Gefahr, dass sie schon Hintertüren eingebaut haben, über die sie auch in Zukunft reinkommen können.
Die Kommunikationsstrategie des Unternehmens ist erfreulicherweise transparent – vielleicht eine Lehre aus früheren PR-Desastern in der Tech-Branche. Dennoch bleibt ein fader Beigeschmack: Wie konnte ausgerechnet ein Unternehmen, das sich auf sichere Fernwartung spezialisiert hat, Opfer eines solchen Angriffs werden?
Branchenweite Auswirkungen und ein Weckruf
Der Vorfall bei TeamViewer ist mehr als nur ein isolierter Sicherheitsvorfall. Er ist ein Weckruf für die gesamte Tech-Branche. Wenn selbst ein Unternehmen, dessen Geschäftsmodell auf Sicherheit und Vertrauen basiert, kompromittiert werden kann, was bedeutet das für den Rest der Branche?
Experten erwarten, dass dieser Vorfall zu einer Überprüfung und Verschärfung von Sicherheitsprotokollen in vielen Unternehmen führen wird. Besonders im Fokus: Die Absicherung gegen Zero-Day-Exploits und Advanced Persistent Threats (APTs), wie sie von Gruppen wie Midnight Blizzard eingesetzt werden.
Was Nutzer jetzt tun sollten
Auch wenn TeamViewer beteuert, dass Kundenumgebungen nicht betroffen sind, sollten Nutzer der Software vorsichtshalber einige Schritte unternehmen:
- Aktiviert die Zwei-Faktor-Authentifizierung, falls noch nicht geschehen.
- Ändert eure TeamViewer-Passwörter und verwendet dabei starke, einzigartige Passwörter.
- Haltet die Software stets auf dem neuesten Stand.
- Wenn ihr sie nur braucht, deinstalliert sie und installiert sie wieder, wenn ihr sie benötigt.
Ich persönlich mache mir weniger Sorgen – obwohl ich TeamViewer für den Mac hin und wieder für die Mac-Hilfe bei Bekannten nutze. Allerdings würde ich empfehlen, dass man TeamViewer nicht dauerhaft im Hintergrund laufen lässt. Wer es nur selten nutzt, kann den „Helper“, der im Hintergrund auf eine Verbindung wartet, über die Sicherheitseinstellungen am Mac deaktivieren.
Meine Tipps & Tricks rund um Technik & Apple
Ähnliche Beiträge
Seit 2012 betreibe ich meinen Blog als Sir Apfelot und helfe meinen Lesern bei technischen Problemen. In meiner Freizeit flitze ich auf elektrischen Einrädern, fotografiere mit meinem iPhone, klettere in den hessischen Bergen oder wandere mit meiner Familie. Meine Artikel behandeln Apple-Produkte, Drohnen-News und Lösungen für aktuelle Bugs.