TeamViewer war 2016 Opfer eines Cyber-Angriffs

Die deutsche TeamViewer GmbH wurde 2016 offenbar gehackt. Man machte den Vorfall jedoch damals nicht bekannt, weil man ihn nicht für bedeutsam genug hielt.

In Pocket speichern vorlesen Druckansicht 179 Kommentare lesen
TeamViewer GmbH

Die Firmenzentrale der TeamViewer GmbH im baden-württembergischen Göppingen.

(Bild: dpa, Christoph Schmidt)

Lesezeit: 4 Min.
Von
  • Günter Born
Inhaltsverzeichnis

Mit einer Schadsoftware, die der mutmaßlich chinesischen Hackergruppe Winnti zugeschrieben wird, versuchten Hacker 2016 einen Cyberangriff auf die Netzwerke der TeamViewer-Entwickler. Die Hackergruppe Winnti wird auch für erfolgreiche Angriffe auf Thyssen-Krupp im Jahr 2016 und die Bayer AG im Jahr 2018 verantwortlich gemacht. Sicherheitskreise spekulieren dabei über Verbindungen der Hackergruppe mit dem chinesischen Staat. Der Angriff wurde erst jetzt durch einen Bericht des Spiegel öffentlich.

Die TeamViewer GmbH bestätigte gegenüber dem Spiegel den Cyberangriff, den man aber "rechtzeitig genug entdeckt habe, um größere Schäden zu verhindern". Der Vorfall gelangte bisher nicht an die Öffentlichkeit, weil seinerzeit IT-Experten und Behörden keine Belege dafür gefunden hätten, dass Kundendaten entwendet oder Computersysteme von Kunden infiziert wurden. Deswegen habe man selbst die eigenen Kunden nicht gewarnt. "Nach übereinstimmender Meinung aller relevanten Drittparteien war eine breite Information an die Kunden hier nicht angezeigt", sagte das Unternehmen dem Spiegel. Eine Pressemitteilung vom 1. Juni 2016 bestätigte lediglich einen Dienstausfall wegen eines Denial-of-Service-Angriffs auf die TeamViewer-DNS-Serverinfrastruktur, wie Bleeping Computer berichtet.

Laut einem Bericht auf gruenderszene.de schreibt man unter Berufung auf den Spiegel-Artikel, dass die TeamViewer GmbH ihre Infrastruktur 2016 generalüberholt habe. Das Ganze wird als "Vorsichtsmaßnahme" bezeichnet und es soll ein "hoher einstelliger Millionenbetrag" in die IT-Sicherheit geflossen sein.

Die vom Unternehmen seinerzeit mit der Untersuchung des Cyberangriffs beauftragte Deutschen Cyber-Sicherheitsorganisation (DCSO) ist nach dem Bericht des Spiegel überzeugt, dass der Angriff "von China ausging". Das hält allerdings die TeamViewer-Firmenleitung nicht davon ab, "die Expansion im Schlüsselmarkt China vorantreiben zu wollen", wie der Spiegel schreibt.

Firmen wie der Hersteller der Fernwartungssoftware TeamViewer stellen ein lukratives Ziel für Cyberangriffe dar. Gelingt es einem Angreifer die Software beim Hersteller zu kompromittieren, kann er auf einen Schlag Millionen Rechner, auf denen die Software eingesetzt wird, infizieren. Der Not Petya-Angriff über die infizierte ukrainische Steuersoftware MeDoc verursachte 2017 einen Millionenschaden. Auch die 2018 bekannt gewordenen ShadowHammer-Angriffe auf ASUS und verschiedene asiatische Spielehersteller fallen in diese Kategorie. Dort wurde die von einer infizierten Software eingerichteten Hintertür aber gezielt eingesetzt, um einzelne Ziele auszuspionieren.

In den Folgejahren gab es zwar immer wieder Berichte von TeamViewer-Nutzern, die Opfer von Hacks wurden. Es kam auch gelegentlich der Verdacht auf, dass die erforderlichen Kennwörter und Zugangsdaten eventuell durch einen Hack erbeutet wurden. Das wurde vom Hersteller immer glaubhaft dementiert. Es war naheliegend, dass die Zugangsdaten über andere Wege, möglicherweise per Trojaner oder von Hackern verteilte infizierte TeamViewer-Komponenten abgegriffen wurden.

2018 wurde dann das TeamViewer-Passwort-Leck bekannt. Die in der Fernwartungssoftware zwischengespeicherten Zugangskennwörter ließen sich über die Schwachstelle CVE-2018-143333 aus dem Arbeitsspeicher auslesen. Heise Security berichtete seinerzeit über eine Änderung in der Software, durch die die Software zwischengespeicherte Passwörter künftig nach fünf Minuten vergessen soll. Ziel der Maßnahme war es, die Angreifbarkeit der Fernwartungssoftware zu reduzieren.

Belege für einen Zusammenhang zwischen dem Cyberangriff auf die TeamViewer-Infrastruktur und den zwischenzeitlich bekannt gewordenen TeamViewer-Hacks gibt es nach bisherigem Wissen nicht.

Von der Presse wird die 2005 gegründete TeamViewer GmbH aus Göppingen als erfolgreiches deutsches Startup-Unternehmen und "Einhorn" gefeiert. Die Fernwartungssoftware zählt zwischenzeitlich weltweit ungefähr 2 Milliarden Geräteaktivierungen. Weniger bekannt ist, dass die TeamViewer GmbH 2014 durch den Private Equity-Fonds Permira in aller Stille übernommen wurde. Permira zahlte 1,1 Milliarden US-Dollar (ca. 800 Millionen Euro) als Kaufpreis.

Der TeamViewer-Eigentümer plant einen Börsengang des Unternehmens: Vor wenigen Tagen meldete das Handelsblatt, dass Permira im Herbst 2019 sich im Rahmen eines Börsengangs (IPO) von TeamViewer trennen will. Der Wert des Unternehmens wird dabei auf vier bis fünf Milliarden Euro geschätzt.

[Update 19.5.2019 9:42 Uhr:] Angabe zu den ca. 2 Milliarden Geräteaktivierungen korrigiert. (tiw)