Cyberangriff auf Fernwartung: TeamViewer beendet Untersuchung, Nutzer nicht betroffen
TeamViewer hat gestern Abend ein weiteres Statement zum Cyberangriff auf das interne IT-System des Anbieters von Fernwartungssoftware am 26. Juni veröffentlicht. Die erste Untersuchungsphase sei abgeschlossen und man plane nun zunächst keine weiteren Updates zum Vorfall zu geben. Intern laufen die Untersuchungen aber weiter.
Kundendaten und Entwicklungsumgebung nicht betroffen
Kundendaten sind, das haben auch die weiteren Untersuchungen unter anderem in Zusammenarbeit mit Microsoft ergeben, nicht betroffen gewesen. Auch auf die Entwicklungsumgebung des Unternehmens konnte von den Angreifern, die ein Mitarbeiterkonto von TeamViewer kompromittiert und sich so Zugang verschafft hatten, nicht zugegriffen werden.
Angreifer kopierten Daten von Mitarbeitern
Die Untersuchungen der Experten hätten jedoch ergeben, dass im Rahmen des Cyberangriffs personenbezogene Daten der Mitarbeiter von TeamViewer kopiert worden sind. Dabei soll es sich nach bisherigen Erkenntnissen um die Namen, Kontaktinformationen und Passwort-Hashes von TeamViewer-Mitarbeitern handeln. Ob dies die Daten aller Mitarbeiter oder nur einen Teil betrifft, ist nicht bekannt. Das 2005 gegründete Unternehmen mit seinen Hauptsitz in Göppingen, Deutschland, beschäftigt weltweit mehr als 1.400 Mitarbeiter.
Keine weitere Aktivität festgestellt
TeamViewer hat nach eigenen Angaben nach dem schnell erkannten Zugriff auf das interne IT-System und den ergriffenen Gegenmaßnahmen sowie den inzwischen zusätzlich eingeführten Schutzmaßnahmen keinerlei verdächtige Aktivität mehr feststellen können.
Bei den Angreifern soll es sich um die als Cozy Bear, APT29, Midnight Blizzard oder auch Nobelium bekannte Hacker-Gruppe handeln, die vom russischen Geheimdienst SWR gesteuert wird. Als APT – Advanced Persistant Threat – wird ein Angriff bezeichnet, wenn eine gut ausgebildete, üblicherweise staatlich gesteuerte Hacker-Gruppe sich meistens über einen längeren Zeitraum Zugriff zu einem System zum Zwecke der Spionage oder Sabotage verschafft.
Acht Tage nach Entdeckung des Cyber-Sicherheitsvorfalls vom 26. Juni und nach Ausschöpfen aller relevanten Ermittlungsoptionen, ist die unmittelbare Untersuchungsphase in Bezug auf den Vorfall abgeschlossen. Basierend auf den Ergebnissen dieser gemeinsamen Untersuchung mit führenden Cybersicherheitsexperten von Microsoft bestätigen wir erneut, dass der Vorfall auf unsere interne Corporate IT-Umgebung beschränkt war. Dies bedeutet, dass weder unsere separate Produktumgebung, noch die Konnektivitätsplattform, noch Kundendaten betroffen waren.
Diese Ergebnisse bestätigen, dass die Nutzung unserer Software-Lösungen zu jedem Zeitpunkt sicher war und weiterhin ist. Wir schätzen das ungebrochene Vertrauen unserer Kunden in unsere Produkte, Sicherheitsarchitektur und Incident Response-Fähigkeiten. Die unmittelbar ergriffenen Gegenmaßnahmen in Bezug auf unsere interne Corporate IT-Umgebung sowie die zusätzlich eingeführten Schutzmaßnahmen haben sich als sehr wirksam erwiesen: Nachdem unsere Sicherheitsteams den Angriff direkt nach Entdeckung unterbunden hatten, gab es keine weitere verdächtige Aktivität in unserer internen Corporate IT Umgebung mehr.
Da wir die Bedrohung sehr ernst nehmen, werden wir unsere Untersuchungen fortsetzen und die Situation weiterhin aufmerksam beobachten. Mit diesem Statement schließen wir die regelmäßigen Updates zu dem Vorfall ab.
Sicherheit ist Teil unserer DNA. Wir werden wie in den vergangenen Jahren auch weiterhin in unsere ausgezeichnete Sicherheitsarchitektur investieren.
Security Update – 4. Juli, 2024, 20:15 Uhr MESZ