IT-Sicherheit:2,8 Millionen Vodafone-Kunden waren jahrelang ausspionierbar

IT-Sicherheit: Eine Vodafone-Filiale in Hamburg (Archivbild)

Eine Vodafone-Filiale in Hamburg (Archivbild)

  • Ein IT-Sicherheitsforscher hat es geschafft, in das interne Wartungsnetz von Vodafone einzudringen. Von dort konnte er auf Modems anderer Kunden zugreifen.
  • Durch den Angriff konnte er in das Heimnetz der Kunden eindringen und die Verbindung ins Internet kapern.
  • Vodafone bestätigt die Schwachstelle. Die Firma habe die Lücke Mitte Dezember vollständig geschlossen. Durch dritte Personen sei der Zugang nicht ausgenutzt, sagt Vodafone.

Von Hakan Tanriverdi

Alexander Graf wollte nach seinem Umzug auch im neuen Haus in guter Qualität telefonieren: kein analoges Signal, sondern ein digitales. "Das klingt besser", sagt er. Also rief Graf die Techniker von Kabel Deutschland an, seinem neuen Anbieter. Er fragte, ob es möglich sei, auf das digitale Signal Voice-over-IP zu wechseln. Die Antwort: Wenn er sich mit der Technik auskenne, spreche nichts dagegen, dass er im Alleingang umstelle.

Wenn Graf in dieser Woche auf dem vom Chaos Computer Club (CCC) veranstalteten Hacker-Kongress 32C3 auf die Bühne tritt, wird er erzählen, was er entdeckte, als er sein Signal umstellte: Schwachstellen, die es ihm erlaubten, potenziell auf jedes einzelne Modem zuzugreifen, das von Kabel Deutschland an Breitbandkunden herausgegeben wird. Kabel Deutschland, das zu Vodafone gehört, hat 2,8 Millionen solcher Kunden.

Die Schwachstelle existierte jahrelang, Graf hatte volle Kontrolle. "Sobald man auf dem Modem war, gab es keine Sicherheitsvorkehrungen mehr", sagt er.

Der Kunde stieß auf den Kanal für den Kunden-Service

Graf konnte sich Profile und Passwörter von anderen Kunden-Modems herunterladen und im Namen fremder Rechner surfen. Darüber hinaus stieß er auf das interne Wartungsnetz für die Modems. Dieser Kanal ist für den Kunden-Service vorgesehen. Techniker der Firma müssen in der Lage sein, auch aus der Ferne auf ein Modem zuzugreifen. So können sie bei Problemen helfen, ohne jedes Mal persönlich beim Kunden vorbeizukommen. Graf konnte sehen, dass die Modems miteinander kommunizierten und vernetzt waren.

Vodafone bestätigt Grafs Erkenntnisse: "Wir sind Mitte November auf eine ernst zu nehmende Schwachstelle von Kabelnetzbetreibern hingewiesen worden, über die sich ein externer IT-Experte zwischenzeitlich Zugang auf das Wartungsnetz von Vodafone Kabel Deutschland verschafft hatte", teilt ein Unternehmenssprecher auf Anfrage mit. Die Firma habe umgehend die Bundesnetzagentur und den Bundesbeauftragten für Datenschutz informiert.

Volle Zugriffsrechte für das Modem

"Mein Ziel ist nicht gewesen, das Modem anzugreifen. Ich wollte wissen, was ich tun muss, damit mich keiner angreifen kann", sagt Graf im Telefongespräch mit der SZ. Er beteiligt sich an der Entwicklung des Betriebssystems Linux. Deshalb ist er vertraut mit der Software, die von vielen Modems verwendet wird.

Für wenig Geld lassen sich aus China Produkte bestellen, die man auf den Speicher des Modems aufstecken könne, sagt Graf. "Die sehen aus wie kleine Wäscheklammern." Der Effekt: Er konnte den Speicherchip auslesen und so die Betriebssoftware des Modems analysieren. Dabei fand er Schwachstellen im Code und bekam volle Zugriffsrechte für das Modem.

Das ist ein doppeltes Desaster. Zum einen innerhalb des Netzwerks, also auf den Rechnern der Kunden. Laptops, Smartphones, Tablet-PCs: Die Lücke erlaubte es Graf, auf fremde Fotos oder Dokumente zuzugreifen. Wenn im Haus ein externer Festplattenspeicher (NAS) eingesetzt wird, damit alle Familienmitglieder auf gemeinsame Dateien zugreifen können, dann stand auch dieser Speicher offen. Denn ein Heimnetz wird in aller Regel nicht besonders gut abgesichert. Wer sich einmal Zugang verschafft hat, kann sich bedienen.

"Du stehst komplett nackt da"

Der Eindringling Graf konnte auch Verbindungen nach draußen kontrollieren, also ins Internet. Wurde eine Webseite aufgerufen, konnte dieser Verkehr mitgeschnitten werden. Der überwiegende Teil aller Verbindungen ins Netz ist unverschlüsselt. Diese Daten mitzulesen, war über die Sicherheitslücke problemlos möglich.

Ebenfalls möglich war es, den Internet-Verkehr auf Webseiten umzuleiten, die der Angreifer kontrolliert. Während ein Nutzer etwa "meine-bank.de" eingibt, wird er auf "mei-nebank.de" umgeleitet - ohne dass das in der Adresszeile sichtbar wäre. Diese Seite gehört dem Angreifer. Gibt der Nutzer dort Passwort oder Kreditkarten-Daten ein, kennt diese Informationen auch der Angreifer. Außerdem kann Kunden Schadsoftware untergeschoben werden, mit der jeder Tastaturanschlag protokolliert werden kann. "Du stehst komplett nackt da. Der gesamte Zugang gehört jemand anderem", beschreibt Graf das Problem. Lediglich Fritzbox-Modems seien sicher vor dieser Form des Angriffs gewesen.

Die gesamte Sicherheit hing am Modem

Graf gelang es über eine weitere Schwachstelle außerdem, den Telefon-Zugang von fremden Kunden zu übernehmen. Das heißt, er hätte sämtliche Anrufe annehmen, ablehnen oder umleiten können.

"Man kann sich kaum erklären, dass Kabel Deutschland die eigene Infrastruktur so schlecht abgesichert hat", sagt Ronald Eikenberg vom IT-Magazin c't. Die gesamte Sicherheit habe an der des Modems gehangen. Das sei ein fataler Fehler. Graf hatte sich mit Informationen über die Schwachstelle an c't gewandt.

Für Grafs Aktion zeigt Vodafone sich dankbar: Man sei "immer an Hinweisen interessiert, die uns dabei unterstützen, unsere Systeme und Applikationen noch sicherer zu machen", heißt es. Potenzielle Schwachstellen kann man dem Unternehmen über eine Webseite melden.

Sicherheitslücken sind begehrt

Angesichts der Verbreitung der Modems geht Eikenberg davon aus, dass diese Form des Angriffs aktiv ausgenutzt wurde. "Wir reden ja nicht nur von Kriminellen, sondern auch von Überwachungsmaßnahmen." Die Industrie nutze das aus und verkaufe Informationen über derartige Sicherheitslücken an Regierungen.

Der Vodafone-Sprecher teilt mit, das eigene Netzwerk sei seit Bekanntwerden der Lücke analysiert worden. "Wir haben auch nach sorgfältiger Untersuchung keinerlei Hinweise darauf, dass es in der Vergangenheit weiteren Personen gelungen ist, sich Zugriff auf unser Wartungsnetz zu verschaffen und darüber Zugriff auf die Modems unserer Kunden zu erlangen." Die Firma habe herausgefunden, dass Graf eine "einstellige Zahl" an Modems kontrolliert habe. Die Redakteure von c't hatten ihm ihre Zugänge zur Verfügung gestellt. "Wir wollten nicht auf Modems von irgendwelchen Kunden zugreifen", sagt Eikenberg. Das wäre illegal.

"Durch das Einspielen neuer Schutzfilter haben wir die Schwachstelle Mitte Dezember abschließend beseitigt", heißt es von Vodafone. Tests von Graf und c't zufolge stimmt diese Aussage.

"Andere Firmen werden das von sich aus überprüfen"

Eikenberg sagt, dass die Kooperation mit Vodafone in dem Fall, den Graf aufdeckte, flott und reibungslos abgelaufen sei. Zuerst hatte sich sein Magazin von Graf seine Arbeit demonstrieren lassen. "Wir konnten die Ergebnisse nachvollziehen und Herr Graf hat sie uns final übergeben", sagt der Journalist.

Graf sagt, dass er sich nur die Systeme von Vodafone angeschaut hat. Ob die Schwachstellen auch bei anderen Anbietern existieren, weiß er nicht. "Ich denke, andere Firmen werden das jetzt von sich aus überprüfen."

Zur SZ-Startseite

Lesen Sie mehr zum Thema