TV-2024-1005

TeamViewer IT security incident

Bulletin ID
TV-2024-1005
Veröffentlicht am
27.06.2024
Letztes Update
04.07.2024
Schweregrad
Informativ
Betroffene Produkte
No product, platform, or customer data affected

1. Summary

In late June 2024, TeamViewer was confronted with a cyber-attack. But we were fast in detecting, investigating and remediating the incident. Based on the results of the diligent investigation together with leading cyber security experts from Microsoft, we confirmed that the incident was contained to our internal corporate IT environment and that neither our separated product environment, nor the connectivity platform, nor any customer data had been affected.

Our products have been safe to use at all times. Since the incident, we have strengthened our security posture and processes even further with additional protection layers.

2. Incident Overview

  • June 26, 2024: Initial detection.
  • June 27, 2024: First statement.
  • July 4, 2024: Final statement and conclusion of the main incident response and investigation phase.

3. Communications Timeline (DE)

Am Mittwoch, 26. Juni 2024, hat unser Security-Team eine Auffälligkeit in unserer internen IT-Umgebung festgestellt. Wir haben unverzüglich unser Response-Team aktiviert und entsprechende Prozesse in die Wege geleitet. Gemeinsam mit weltweit anerkannten IT-Sicherheitsexperten haben wir unmittelbar mit Untersuchungen begonnen und notwendige Schutzmaßnahmen umgesetzt.

TeamViewers interne IT-Umgebung ist komplett unabhängig von der Produktumgebung. Es gibt keine Anzeichen dafür, dass unsere Produktumgebung oder Kundendaten betroffen sein könnten. Die Untersuchungen laufen weiter und es bleibt unser Hauptfokus, die Integrität unserer Systeme sicherzustellen.

Sicherheit ist von größter Wichtigkeit für TeamViewer, sie ist tief in unserer DNA verankert. Daher legen wir viel Wert auf transparente Kommunikation und werden regelmäßig Updates zum Stand unserer Untersuchungen veröffentlichen, wenn neue Informationen vorliegen.

Eine Taskforce bestehend aus den Sicherheitsteams von TeamViewer und weltweit führenden Cybersicherheitsexperten hat rund um die Uhr mit allen verfügbaren Mitteln an der Untersuchung des Vorfalls gearbeitet. Wir stehen zudem in ständigem Austausch mit weiteren Threat Intelligence Anbietern und relevanten Behörden, um eine bestmögliche Aufklärung sicherzustellen.

Aktuelle Ergebnisse der Untersuchung deuten auf einen Angriff am Mittwoch, den 26. Juni, der mit Anmeldedaten eines Standard-Mitarbeiterkontos in unserer Corporate IT Umgebung erfolgte. Auf Basis kontinuierlichen Sicherheitsmonitorings haben unsere Teams ein verdächtiges Verhalten des Kontos festgestellt und sofort Gegenmaßnahmen ergriffen. Zusammen mit unserem externen Incident Response Dienstleister führen wir den Angriff derzeit auf die als APT29 / Midnight Blizzard bekannte Gruppe zurück. Nach aktuellem Stand der Untersuchungen blieb der Angriff auf die Corporate IT Umgebung von TeamViewer beschränkt. Es gibt keine Hinweise darauf, dass die Angreifer Zugang zu unserer Produktumgebung oder zu Kundendaten erlangt haben.

Gemäß unserer Best-Practice Systemarchitektur verfügt TeamViewer über eine strikte Trennung zwischen der Corporate IT, der Produktumgebung und der TeamViewer Konnektivitätsplattform. Dies bedeutet, dass wir alle Server, Netzwerke und Konten strikt getrennt halten, um unbefugten Zugriff und Bewegungen zwischen den verschiedenen Umgebungen zu verhindern. Diese Trennung ist eine von mehreren Schutzebenen in unserem "Defense in-depth" Ansatz.

Sicherheit ist für uns von größter Bedeutung, sie ist tief in unserer DNA verwurzelt. Daher verpflichten wir uns zu einer transparenten Kommunikation mit allen Beteiligten. Wir werden den Status der Untersuchungen weiter in unserem Trust Center aktualisieren, sobald neue Informationen verfügbar sind. Wir gehen davon aus, dass wir das nächste Update bis zum Ende des heutigen Tages MESZ veröffentlichen werden.

In Zusammenarbeit mit weltweit führenden Experten für Cyber-Sicherheit und den relevanten Behörden haben unsere Security-Teams ihre umfassende Untersuchung des Vorfalls fortgesetzt. Die heute gewonnenen Erkenntnisse haben uns in der Einschätzung bestärkt, dass der Angriff auf die interne Corporate IT-Umgebung von TeamViewer beschränkt war und nicht die Produktumgebung, unsere Konnektivitätsplattform oder Kundendaten betrifft. Wir bestätigen vor diesem Hintergrund unsere zuvor veröffentlichten Statements.

Wir räumen Cyber-Sicherheit einen sehr hohen Stellenwert ein und nehmen die Bedrohung daher sehr ernst. In den nächsten Tagen werden wir unsere intensive Untersuchung fortsetzen, um die gesammelten Beweise weiter anzureichern und alle Ermittlungsoptionen auszuschöpfen. Sobald neue Informationen verfügbar sind, werden wir weitere Updates in unserem Trust Center bereitstellen.

Im Rahmen der voranschreitenden Untersuchungen bestätigen wir, dass der Angriff auf die interne Corporate IT-Umgebung von TeamViewer beschränkt war. Insbesondere bekräftigen wir unsere Einschätzung, dass weder die separate Produktumgebung, noch unsere Konnektivitätsplattform, noch Kundendaten betroffen sind. Nach aktuellen Erkenntnissen gehen wir davon aus, dass der Angreifer einen kompromittierten Mitarbeiterzugang genutzt hat, um Informationen aus dem Mitarbeiterverzeichnis zu kopieren. Es handelt sich hierbei um Namen, geschäftliche Kontaktdaten und verschlüsselte Passwörter für die interne Corporate IT Umgebung. Wir haben unsere Mitarbeitenden und die relevanten Behörden informiert.

Gemeinsam mit führenden Experten unseres Incident Response Partners Microsoft haben wir Maßnahmen ergriffen, die das Risiko, welches mit dem Abfluss verschlüsselter Passwörter verbunden ist, minimieren. Wir haben die Authentifizierungsprozesse für unsere Mitarbeitenden maximal verstärkt und zusätzliche starke Schutzvorkehrungen implementiert. Darüber hinaus haben wir damit begonnen, unsere interne Corporate IT-Umgebung komplett neu aufzubauen.

Wir setzen unsere Ermittlungen fort und werden weitere Updates in unserem Trust Center bereitstellen, sobald neue Informationen verfügbar sind.

Acht Tage nach Entdeckung des Cyber-Sicherheitsvorfalls vom 26. Juni und nach Ausschöpfen aller relevanten Ermittlungsoptionen, ist die unmittelbare Untersuchungsphase in Bezug auf den Vorfall abgeschlossen. Basierend auf den Ergebnissen dieser gemeinsamen Untersuchung mit führenden Cybersicherheitsexperten von Microsoft bestätigen wir erneut, dass der Vorfall auf unsere interne Corporate IT-Umgebung beschränkt war. Dies bedeutet, dass weder unsere separate Produktumgebung, noch die Konnektivitätsplattform, noch Kundendaten betroffen waren.

Diese Ergebnisse bestätigen, dass die Nutzung unserer Software-Lösungen zu jedem Zeitpunkt sicher war und weiterhin ist. Wir schätzen das ungebrochene Vertrauen unserer Kunden in unsere Produkte, Sicherheitsarchitektur und Incident Response-Fähigkeiten.

Die unmittelbar ergriffenen Gegenmaßnahmen in Bezug auf unsere interne Corporate IT-Umgebung sowie die zusätzlich eingeführten Schutzmaßnahmen haben sich als sehr wirksam erwiesen: Nachdem unsere Sicherheitsteams den Angriff direkt nach Entdeckung unterbunden hatten, gab es keine weitere verdächtige Aktivität in unserer internen Corporate IT Umgebung mehr.

Da wir die Bedrohung sehr ernst nehmen, werden wir unsere Untersuchungen fortsetzen und die Situation weiterhin aufmerksam beobachten. Mit diesem Statement schließen wir die regelmäßigen Updates zu dem Vorfall ab.

Sicherheit ist Teil unserer DNA. Wir werden wie in den vergangenen Jahren auch weiterhin in unsere ausgezeichnete Sicherheitsarchitektur investieren.

4. Solutions and mitigations

We hardened authentication procedures for our employees to a maximum level and implemented further strong protection layers. Additionally, we have started to rebuild the internal corporate IT environment towards a fully trusted state.