Der Sicherheitsvorfall in der 3CX Desktop App
Das BSI gab am 30.03.2023 den Vorfall als BSI-Cybersicherheitswarnung heraus.
Es ist für jedes Unternehmen eine Katastrophe, wenn klar wird, dass die eigene IT von einer Schadsoftware befallen ist. So mussten am 29. März 2023 die Kunden des Telefonanlagenherstellers 3CX bangen, dass sie infizierte Desktop-Apps von 3CX verwenden. Der anfängliche Verdacht erhärtete sich schlagartig mit der Bestätigung des Herstellers sowie der offiziellen Warnung vor der Schadsoftware durch das Bundesamt für Sicherheit (BSI).
Die betroffenen Versionen enthalten demnach Programmteile, die Schadcode aus dem Internet nachladen. Ein infizierter Computer kann von Fremden zu beliebigen Zwecken missbraucht werden. Der Hersteller 3CX hat dies zwischenzeitig bestätigt. Viele Partner waren eine lange Zeit auf sich gestellt. In den Foren tauschten sie sich über Möglichkeiten aus, den Schadcode loszuwerden.
Wozu wird die 3CX Desktop App genutzt?
Die 3CX Desktop App ist eine VoIP-Software zur Verwaltung von Anrufen, Chat-Kommunikation, Videoanrufe, Bildschirmfreigabe, Konferenzschaltungen und Voicemail. Die App bietet Integrationen mit gängigen Geschäftsanwendungen wie CRM-Software und Office-Produkten.
Wie MANAGED_SERVICES vor Schaden bewahren
Unsere Kunden werden im Rahmen der MANAGED_SERVICES vollumfänglich versorgt. Somit gehören die Technikbereiche „IP-Telefonie“ und eben auch „IT-Security“ klar zu unserem Auftrag. Als langjähriger 3CX Partner betreuen wir die Telefonanlagen vieler Unternehmen.
Das Dienstleistungsspektrum unserer MANAGED_SERVICES deckt weit mehr ab, weshalb der aktuelle Sicherheitsvorfall in größten Teilen automatisch bekämpft werden konnte:
- Der Antivirus deaktiviert und löscht sofort nach Bekanntwerden der Gefahr die betroffenen Dateien, so dass die betroffenen Programmteile nicht mehr funktionieren können.
- Die Softwareinventarisierung erkennt, welche Computer überhaupt betroffen sind.
- Die Firewalls blocken vorsorglich den Datenverkehr zu den bekannten, kompromittierten Servern im Internet.
- Das Patchmanagement installiert automatisiert den vom Hersteller als „bereinigt“ gekennzeichneten Softwarestand.
- Das Log-Management überwacht die Dateizugriffe und kann einen Abgang der Unternehmensdaten ausschließen.
- In der Nachbereitung lassen sich Protokolle bereitstellen, die im Fall eines zu dokumentierenden Sicherheitsvorfalls eine konkrete Aussage über das Ausmaß der möglichen Verluste geben (Lessons Learned).
- Die Softwareverteilung installiert die neue Programmversion und die computergestützte Telefonie funktioniert wieder, und eine nachinstallierte Forensik-Software prüft auf vollständige Bereinigung der Schadsoftware.
Natürlich können wir als IT-Dienstleister keine Garantie für die Funktion aller von uns verwendeten und installierten Produkte übernehmen. Allerdings ist das Sicherheitsnetz, das in den von uns betreuten Unternehmensnetzwerken zum Einsatz kommt, sehr engmaschig. Der Ausfall oder die Beeinträchtigung einer einzelnen Komponente führt demnach in den meisten Fällen nur zu marginalen Einschränkungen, die im Normalfall nach kurzer Zeit wieder behoben sind.
Auch gut zu wissen ist, dass Kunden unserer MANAGED_SERVICES solche Maßnahmen nicht separat in Rechnung gestellt bekommen. Sie tauchen nicht einmal in der pauschalen Abrechnung der Infrastrukturpauschalen auf.
