Internet:Angriff auf Telekom-Router war ein kompletter Reinfall

  • Hacker haben massenhaft Router angegriffen und so viele Telekom-Kunden vom Internet abgeschnitten.
  • Der Angriff ist aus der Sicht der Hacker jedoch missglückt: Eigentlich wollten sie von den Routern aus in die vernetzten Häuser der Besitzer eindringen.
  • Wer hinter der Attacke steckt, ist noch immer unklar.

Von Varinia Bernau

Dass die Router einfach den Dienst verweigerten, hatten die Angreifer wohl nicht beabsichtigt. Eigentlich wollten sie die Geräte, die als eine Art Vermittlungsstelle ins Internet dienen, kapern - und dabei möglichst unbemerkt bleiben. Doch die Router in den Haushalten von 900 000 Kunden der Deutschen Telekom stürzten ab. Seit Sonntagnachmittag konnten diese Kunden nicht oder nur teilweise aufs Internet zugreifen. Sie konnten nicht surfen, nicht streamen, nicht einmal mehr telefonieren, weil auch Telefonate inzwischen oft übers Internet abgewickelt werden.

Doch der massenhafte Ausfall, so muss man das wohl sagen, war letztlich Glück im Unglück. Die Angreifer sind nicht über die Schwelle, die hinein ins vernetzte Haus führt, hinausgekommen. Sie konnten die Router nicht in ihr ferngesteuertes Netz einbinden, um darüber noch größere Attacken zu starten. Das ist die gute Nachricht. Die schlechte Nachricht aber ist: Deutsche Haushalte sind schlecht geschützt. Denn das Fernwartungsprotokoll, über das die Hacker bis an die Router vorgedrungen sind, wird seit einigen Jahren von Sicherheitsexperten als mangelhaft angesehen.

Solch ein Fernwartungsprotokoll ermöglicht es dem Internetanbieter, zügig neue Dienste oder auch neue Sicherheitsstufen in das vernetzte Haus seiner Kunden zu bringen. Ein Techniker muss also nicht extra rausfahren und die Software vor Ort einspeisen. Und er kann Kunden, die sich mit einem Problem im Callcenter melden, über solch ein Protokoll auch schneller helfen. Wenn es aber Lücken hat, können auch Unbefugte auf den Router und womöglich sogar auf weitere Geräte zugreifen: auf Computer und Tablet, die Musikanlage und den Kühlschrank, Sensoren im Kopfkissen, die die Schlafphasen überwachen - auf all die Dinge, die immer mehr Menschen mit dem Internet verbinden.

Nicht nur Telekom-Router waren wohl betroffen

Die Hacker haben nicht gezielt die Kunden der Telekom ins Visier genommen, sondern Router auf der ganzen Welt attackiert. Nach ersten Erkenntnissen des Bundesamts für Sicherheit in der Informationstechnik (BSI) haben sie dabei die Schadsoftware Mirai verwendet: Die ist darauf spezialisiert, sich in Router oder andere vernetzte Elektronik einzuschleusen, um die Geräte zu kapern und zum Teil eines ferngesteuerten Netzes zu machen.

Erst kürzlich haben Kriminelle derartige Botnetze mit fast einer halben Million verbundener Geräte im Darknet zur Miete angeboten. Solche zusammengeschalteten Geräte werden von Kriminellen gern für koordinierte Attacken genutzt. So lassen sich etwa binnen kürzester Zeit Spam-Nachrichten massenhaft verschicken oder Menschen erpressen, denen die Hacker den Zugriff auf ihre Daten verwehren. Auch digitales Geld wie Bitcoin lässt sich in solchen Netzen schürfen, denn dafür wird mehr Rechenleistung benötigt, als in einem gängigen Computer steckt.

Merkel: "Solche Cyber-Angriffe gehören heute zum Alltag"

Wer hinter der Attacke steckt, ist bislang unklar. Bundesinnenminister Thomas de Maizière (CDU) wollte über die Herkunft des Angriffs nicht spekulieren. Er betonte aber, die Grenze zwischen kriminellen Aktivitäten aus einem Staat und einer staatlichen Aktivität sei möglicherweise nicht ganz klar zu ziehen. Er sprach sich für bessere "Sicherheitsvorgaben für den Betrieb solcher empfindlichen Geräte möglichst in Europa, notfalls auch in Deutschland" aus. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) werde an einer Standardisierung arbeiten. Und selbst Bundeskanzlerin Angela Merkel (CDU) meldete sich am Dienstag in der Angelegenheit zu Wort: "Solche Cyber-Angriffe gehören heute zum Alltag, und wir müssen lernen, damit umzugehen", sagte sie - und setzte gleich noch eine Mahnung hinterher: "Man darf sich davon auch nicht irritieren lassen. Man muss nur wissen, dass es so etwas gibt, und lernen, damit zu leben."

Bleibt also die Frage, wie sich deutsche Haushalte vor solchen Attacken besser schützen lassen. Die Angreifer am Wochenende haben eine Schwachstelle im Fernwartungsprotokoll TR-069 ausgenutzt. Dieses allerdings gilt als mangelhaft. So erläuterte ein Sicherheitsexperte bereits im Jahr 2014 auf einer der weltweit größten Hacker-Konferenzen in Las Vegas die Sicherheitslücken. Die Telekom räumte jetzt ein, dass das Protokoll Mängel hat, betonte aber, dass der Konzern Hacker bislang dennoch abwehren konnte - und dass die Angreifer nun eine bisher unbekannte Sicherheitslücke ausgenutzt hätten. Der Konzern hat seit Montagfrüh alle Router mit einem Sicherheitsupdate versorgt und einen zusätzlichen Filter ins Netz eingespeist, um den Virus schon abzuwehren, ehe er zu den Routern vordringen kann.

Auch andere Internetanbieter haben in der Vergangenheit auf das umstrittene Fernwartungsprotokoll gesetzt. Und sie haben auf Nachfrage, etwa von Journalisten des Technikportals heise.de, stets beteuert, sie wollten durch gezielte Maßnahmen verhindern, dass Hacker darüber auf die Router von Kunden zugreifen. Internetanbieter, aber auch Gerätehersteller und Softwareentwickler, die mit ihnen zusammenarbeiten, liefern sich ein stetes Wettrennen mit den Hackern. So wie es aussieht, müssen die Angegriffenen auch weiterhin an Tempo zulegen.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: