Wer ungefähr seit dem 25. Januar 2024 die Berichterstattung über AnyDesk mitverfolgt hat, der wird spätestens seit dem 02. Februar 2024 Wissen, das dieser Anbieter von Fernzugriffs-Lösungen erfolgreich angriffen wurde. Ich kann mir gut vorstellen, was da gerade bei AnyDesk selbst, aber auch bei allen Partnern und Kollegen da gerade los ist. So seltsam das nun klingen mag: Irgendwie leidet man mit.
Jetzt haben wir es in der IT oft genug mit irgendwelchen Fehlern, Problemen und mehr zu tun. Das schlimmste ist meiner Meinung nach aber immer ein Sicherheitsvorfall. Zunächst ist zu klären was eigentlich los ist, wie sind der oder die Angreifer rein gekommen, wie umfangreich ist der Schaden, was ist jetzt zu tun und sehr viele weitere Fragen und ja, auch Ängste, Sorgen und Nöte kommen in solchen Situationen auf. Darüber hinaus trifft es ja nicht nur, in diesem Fall, AnyDesk und dessen Partner sowie Anwender selbst, sondern indirekt auch das Umfeld. Gemeint sind indirekte Nutzer, also solche wo die Software im Bundle “einfach” mit kommt, aber auch das soziale Umfeld. Über das vergangene Wochenende dürfte so mancherorts schlechte Stimmung geherrscht haben.
Wir selbst nutzen kein AnyDesk, aber ja, wir haben Kunden da kommt der Client für den spontanen Support einfach mit. Daher galt über das Wochenende dessen Ausführung zu unterbinden und die Kunden zu informieren. Wenigstens waren die Clients (hier 8.0.5) gar nicht so alt (November 2023). Offenbar gibt es OEM-Ausgaben noch mit Version 7.x. Problematisch ist, das die Informationslage, sagen wir mal, dürftig ist.
Eine Incidence Response die man erstmal finden muss bzw. eine Pressemitteilung Freitags-Nachts. Tolles Timing. So manch einen hat das Ganze vermutlich erst am heutigen Montag erreicht.
Bei heise gibt es ein paar Meldungen:
IT-Sicherheitsvorfall: Anydesk bestätigt Einbruch in Produktionssysteme
Kundendaten von Anydesk zum Verkauf angeboten
Im deutschsprachigen Raum fand ich die Berichterstattung von Günter Born noch am besten bzw. ausführlichsten:
Störung bei AnyDesk, jemand betroffen?
AnyDesk und die Störungen: Es ist womöglich was im Busch
AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen
AnyDesk-Hack Undercover – weitere Informationen und Gedanken – Teil 2
AnyDesk-Hack Undercover – Verdachtsfälle und mehr – Teil 3
AnyDesk-Hack Undercover – Zugangsdaten zum Verkauf angeboten – Teil 4
AnyDesk-Hack – Eine Nachlese – Teil 5
Was mich etwas irritiert ist die Sache mit der BSI-Meldung an KRITIS-Betreiber. Ich nahm an, das man bei entsprechenden Anforderungen nicht gerade typisch-öffentlich erreichbare Lösungen einsetzt. Also das nicht die “Otto-Normal”-AnyDesk-Server verwendet werden, sondern entsprechende Dienstleister eigene Server betreiben, die vom Rest getrennt sind. Vielleicht ist das sogar der Fall, wobei, bietet AnyDesk das eigentlich überhaupt an? Jedenfalls dachte ich, das wäre da mehr abgeschottet.
Es ist immer schlicht eine Katastrophe wenn ein Fernzugriffs- oder gar ein RMM-Anbieter kompromittiert werden, die Folgen sind so oder so weitreichend und passiert ist es schon einigen und weitere werden leider irgendwann folgen. Es gibt schlichtweg keine 100%-ige Sicherheit.
Was tun, wenn es “gekracht” hat? Kennwörter ändern, Zugriffe kontrollieren, Informationen checken – Soweit, so normal. Mal schnell die Lösung austauschen geht auch eher schlecht, oder?
Klar kann man kurzfristig zu einem anderem Anbieter wechseln, die Sache ist allerdings alles andere als trivial wenn man eine entsprechend große Anzahl an zu verwalteten Systemen hat (wir sprechen hier nicht gerade von ein-zwei Handvoll Rechnern). Geht es nur um den spontanen Support wäre das noch relativ simple, sprich: Den Client auf der Homepage verlinken und den Supportern das entsprechende Tool zur Verfügung stellen. Das geht aber auch nur bei einer überschaubaren Anzahl von Support-Fällen.
Mal sehen, was in Sachen AnyDesk und Hack noch alles kommt. Mehr brauchbare Informationen wäre hilfreich und hoffentlich hält sich der Schaden in Grenzen.
Wie geht’s euch so mit diesem Thema? Jemand AnyDesk im Einsatz? Oder schon mal einen Hack der verwendeten Fernzugriffs- oder RMM-Lösung erlebt? Lasst mir gerne ein Kommentar da.
Update 05.02.2024 – 19:44
Es gibt weitere Infos, wobei die irgendwie nichts weiteres oder neues Verraten:
heise – BSI veröffentlicht Erkenntnisse zu Anydesk-Einbruch
Borns IT- und Windows-Blog – AnyDesk-Hack – Nachlese der BSI-Meldung – Teil 6
BSI – Cybersicherheitsvorfall bei einem Remote-Screen-Sharing-Anbieter (PDF)

Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.