Anydesk wurde Opfer eines Cyberangriffs. Betroffen sind dabei die Produktivsysteme, der Quellcode und die privaten Code-Signierungsschlüssel von AnyDesk. Sämtliche Passwörter für das Web-Portal wurden zurückgesetzt. Nutzern wird dringend empfohlen, die Passwörter zu ändern.

In zahlreichen Unternehmen ist AnyDesk längst etabliert. Und auch wenn Verwandte oder Freunde IT-Support benötigen und man nicht vor Ort ist, kann eine Fernwartung via AnyDesk helfen. Mit wenig Aufwand erhält man mit AnyDesk den vollen Zugriff auf das zu betreuende System via Remote-Desktop. Nun aber ist der Anbieter der Fernzugriffssoftware AnyDesk Opfer eines Cyberangriffs geworden. Die Angreifer haben es offenbar geschafft, ein Produktivsystem zu kapern. Das ganze Ausmaß scheint derzeit indes noch nicht absehbar.

AnyDesk äußert sich

Am 2. Februar veröffentlichte AnyDesk bereits ein eigenes Statement zum Vorfall. Darin teilt das Unternehmen mit, dass man sofort einen Sanierungs- und Reaktionsplan aktiviert habe und der Sanierungsplan auch bereits erfolgreich abgeschlossen worden sei. Die zuständigen Behörden seien benachrichtigt worden und man arbeite eng mit diesen zusammen. Außerdem teilte AnyDesk mit, dass der Vorfall nicht im Zusammenhang mit Ransomware stehe. Man habe alle sicherheitsrelevanten Zertifikate widerrufen und die Systeme seien, soweit erforderlich, repariert oder ersetzt worden.

Private Schlüssel, Sicherheits-Tokens oder Passwörter würden bei der Software gar nicht erst gespeichert, weshalb diese auch nicht ausgenutzt werden könnten, um eine Verbindung zu Endbenutzergeräten herzustellen. Als Vorsichtsmaßnahme hat AnyDesk dennoch alle Passwörter für das eigene Webportal my.anydesk.com widerrufen und empfiehlt seinen Nutzern ebenfalls die Passwörter zu ändern, falls dieselben Anmeldedaten an anderer Stelle verwendet werden. Nutzer sollten zudem dringend auf die neuste Version updaten.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Nutzerdaten betroffen

Doch sind auch Nutzerdaten betroffen? In seinem Statement teilte AnyDesk am 2. Februar 2024 lediglich mit, dass es keine Hinweise darauf gebe, dass Endgeräte sowie Nutzerdaten von der Attacke betroffen seien. Zudem blieb AnyDesk bislang die Information schuldig, wann der Angriff überhaupt stattgefunden hat.

In einem russischen Darkweb-Forum werden allerdings laut Medienberichten nun Nutzerdaten von mehr 18.000 Anydesk-Accounts zum Kauf angeboten. Das berichtet die Cybersicherheitsfirma Resecurity. Resecurity konnte nach eigenen Angaben eine Datenprobe von den unbekannten Täter erhalten und bereits deren Echtheit verifizieren. Bei den im Darkweb gehandelten Daten handelt es sich jedoch offenbar um Daten, die aus mit Schadsoftware infizierten Endgeräten von AnyDesk-Nutzerrinnen und Nutzern stammen oder auf andere Art und Weise im Verantwortungsbereich von Nutzern abgeflossen sind. Laut AnyDesk bestehe kein Zusammenhang zu einer „Verletzung des Schutzes personenbezogener Daten“ im Sinne des Art. 4 Nr. 12 Datenschutz-Grundverordnung („DSGVO“) bei AnyDesk. Kriminelle würden vielmehr nunmehr versuchen, diese Daten vor dem Hintergrund der Publizität des Cyberangriffs (erneut) zu kommerzialisieren. Laut AnyDesk ist die Situation unter Kontrolle und die Software kann sicher verwendet werden.

Durchaus denkbar ist es indes, dass Kriminelle einen Vorteil aus im Darknet angebotenen Daten ziehen können, selbst dann, wenn gestohlene Login-Daten nicht mehr genutzt werden können. Gegenüber Resecurity sollen die unbekannten Täter ihre Beute als „ideal für Support-Betrug und Phishing“ angepriesen haben. Für Nutzer wäre das ein Desaster. Schließlich weiß man inzwischen, dass Betroffene besonders häufig Opfer von gefährlichen Phishing-Attacken werden.

Auskunftsanspruch und Schadensersatz

Was gilt rechtlich? Auf der Grundlage von Art. 15 DSGVO kann man zunächst Auskunft gegenüber AnyDesk verlangen, ob persönliche Daten bei dem Vorfall entwendet wurden. Erteilt AnyDesk sodann keine oder eine unvollständige Auskunft, kann sich daraus zu ihren Gunsten bereits ein Schadensersatzanspruch ergeben. Ob darüber hinaus weitere Pflichtverletzungen in Betracht kommen, die möglicherweise Schadensersatzansprüche zur Folge haben könnten, muss nun geprüft werden.

Das grundsätzlich Schadensersatzansprüche für betroffene Nutzer bei Sicherheitslücken in Betracht kommen, wird durch die aktuelle deutsche Rechtsprechung und ein wegweisendes Urteil des Europäischen Gerichtshofs (EuGH) untermauert. Das Wichtigste, das der EuGH entschieden hat, ist: Es kann bereits einen „immateriellen Schaden“ darstellen, wenn man als Betroffener eines Hackerangriff befürchtet, dass eigene personenbezogenen Daten durch Dritte missbraucht werden.

Unternehmen, die Kundendaten nicht ausreichend gegen Hackerangriffe gesichert haben, werden es infolge des EuGH-Urteils sehr schwer haben, sich zu entlasten. Schon jetzt zeigt unsere Praxiserfahrung, dass diese Beweisführung Unternehmen kaum gelingt. Dass sie ‚in keinerlei Hinsicht‘ verantwortlich sind, ist praktisch fast unmöglich, nachzuweisen. Denn schließlich zeigt es sich oft erst im Nachhinein, welche Sicherheitslücke man ganz offensichtlich doch übersehen hat.“

Zuletzt haben deutsche Gerichte Klägern hohe Schadensersatzansprüche aus Art. 82 DSGVO bei DSGVO-Verstößen zugebilligt. Die Norm wird von der Rechtsprechung zunehmend sehr weit ausgelegt. Zum Teil wird von den Gerichten auch vertreten, dass der den Klägern zustehende Schadensersatz abschreckende Wirkung haben und damit eine abschreckende Höhe erreichen müsse. In unserem Beitrag “Erfolgreiche Urteile der Kanzlei WBS.LEGAL” erhalten Sie Einblick in gewonnene Verfahren unserer Kanzlei im Facebook-Datenskandal.