robsonphoto - stock.adobe.com
Teamviewer: Cyberangriff per Anmeldedaten
Laut Teamviewer haben sich Angreifer über kompromittierte Zugangsdaten eines Mitarbeiters Zugang zum Unternehmensnetzwerk verschafft. Die Produktumgebung sei nicht betroffen.
Wie Teamviewer mitteilte, habe man über ein kontinuierliches Sicherheitsmonitoring ein verdächtiges Verhalten eines Mitarbeiterkontos festgestellt. Die ersten Ergebnisse der Untersuchung haben auf einen Angriff am 26. Juni hingedeutet, der mit Anmeldedaten eines Standardkontos eines Mitarbeiters erfolgt sei. Der Angriff sei auf die Corporate-IT-Umgebung erfolgt. Man führe den Angriff gemeinsam mit einem externen Incident-Response-Dienstleister auf die Gruppe zurück, die als APT29 oder Midnight Blizzard bekannt sei. Dieser Gruppe wird auch ein Angriff auf Microsoft zugeschrieben, bei denen es den Angreifern gelangt Zugriff auf E-Mail-Konten von Mitarbeitern und Führungskräften von Microsoft zu erhalten (siehe auch Microsoft: Angreifer hatten Zugriff auf Mitarbeiter-E-Mails).
Wie Teamviewer am Freitag, den 28 Juni, in einem aktualisierten Statement am Abend mitteilte, habe sich die Einschätzung bestätigt, dass sich der Angriff auf die interne IT-Umgebung von Teamviewer beschränkt habe. Die Produktumgebung, die Konnektivitätsplattform sowie Kundendaten seien nicht betroffen.
Man verfolge bei Teamviewer einen Defense-in-Depth-Ansatz mit mehreren Schutzebenen. Daher erfolge eine strikte Trennung zwischen der Corporate IT, der Produktumgebung und der Teamviewer-Konnektivitätsplattfom. Alle Server, Netzwerke und Konten seien strikt getrennt, um unbefugten Zugriff und Bewegungen zwischen den Umgebungen zu verhindern. Es bestehe eine Taskforce aus den Sicherheitsteams und führenden Security-Experten, um den Vorfall zu untersuchen. Man stehe zudem im Austausch mit weiteren Threat-Intelligence-Anbietern und relevanten Behörden.
Update 01.07.2024: In einem Statement vom Abend des 30. Juni 2024 bekräftigt Teamviewer die Einschätzung, dass die Produktumgebung, die Konnektivitätsumgebung sowie Kundendaten von dem Vorfall nicht betroffen sind. Man gehe nach aktuellen Erkenntnissen davon aus, dass der Angreifer einen kompromittierten Zugang eines Mitarbeitenden genutzt habe, um Daten aus dem Mitarbeiterverzeichnis zu kopieren. Dabei handele es sich um Namen, geschäftliche Kontaktdaten sowie verschlüsselte Passwörter für die interne IT-Umgebung. Die Mitarbeitenden und relevanten Behörden seien informiert worden.
Es seien Maßnahmen ergriffen worden, die das Risiko, das mit dem Abfluss verschlüsselter Passwörter verbunden sei, zu minimieren. Darüber hinaus seien die Authentifizierungsprozesse für die Mitarbeitenden verstärkt worden. Und es seien zusätzliche Schutzvorkehrungen eingerichtet worden. Zudem habe man bei Teamviewer damit begonnen, die interne Corporate IT-Umgebung komplett neu aufzubauen.