IT-Sicherheit Private Daten in Gefahr

Ein Forscher entdeckt eine gefährliche Schwachstelle: Angreifer konnten Millionen Vodafone-Kunden jahrelang ausspionieren.

Von Hakan Tanriverdi, New York

Alexander Graf wollte nach seinem Umzug auch im neuen Haus in guter Qualität telefonieren: kein analoges Signal, sondern ein digitales. "Das klingt besser", sagt er. Also rief Graf die Techniker von Kabel Deutschland an, seinem neuen Anbieter. Er fragte, ob es möglich sei, auf das digitale Signal Voice-over-IP zu wechseln. Die Antwort: Wenn er sich mit der Technik auskenne, spreche nichts dagegen, dass er im Alleingang umstelle.

Wenn Graf in dieser Woche auf dem vom Chaos-Computer-Club (CCC) veranstalteten Hacker-Kongress 32C3 auf die Bühne tritt, wird er erzählen, was er entdeckte, als er sein Signal umstellte: gefährliche Schwachstellen. Sie erlaubten es ihm, potenziell auf jedes einzelne Modem zuzugreifen, das von Kabel Deutschland an Breitbandkunden herausgegeben wird. Kabel Deutschland, das zu Vodafone gehört, hat 2,8 Millionen solcher Kunden. Die Schwachstelle existierte jahrelang, Graf hatte volle Kontrolle. "Sobald man auf dem Modem war, gab es keine Sicherheitsvorkehrungen mehr", sagt er.

Der Weg war frei. Graf konnte sich Profile und Passwörter von anderen Kunden-Modems herunterladen und im Namen fremder Rechner surfen. Darüber hinaus stieß er auf das interne Wartungsnetz für die Modems. Dieser Kanal ist für den Kundenservice vorgesehen. Techniker der Firma müssen in der Lage sein, auch aus der Ferne auf ein Modem zuzugreifen. So können sie bei Problemen helfen, ohne jedes Mal persönlich beim Kunden vorbeizukommen. Graf konnte sehen, dass die Modems miteinander kommunizierten und vernetzt waren.

Vodafone bestätigt Grafs Erkenntnisse. "Wir sind Mitte November auf eine ernst zu nehmende Schwachstelle von Kabelnetzbetreibern hingewiesen worden, über die sich ein externer IT-Experte zwischenzeitlich Zugang auf das Wartungsnetz von Vodafone Kabel Deutschland verschafft hatte", teilt ein Unternehmenssprecher mit. Die Firma habe im Anschluss umgehend die Bundesnetzagentur und den Bundesbeauftragten für Datenschutz über die Lücke informiert.

Illustration: Stefan Dimitrov

(Foto: )

Graf habe vor seiner Entdeckung keine offensiven Gedanken gehabt, sondern defensive. "Mein Ziel ist nicht gewesen, das Modem anzugreifen. Ich wollte wissen, was ich tun muss, damit mich keiner angreifen kann", sagt Graf. Er beteiligt sich an der Entwicklung des Betriebssystems Linux. Deshalb ist er vertraut mit der Software, die von vielen Modems verwendet wird. Für wenig Geld lassen sich aus China Produkte bestellen, die man auf den Speicher des Modems aufstecken könne, sagt Graf. "Die sehen aus wie kleine Wäscheklammern." Der Effekt: Er konnte den Speicherchip auslesen und so die Betriebssoftware des Modems analysieren. Dabei fand er Schwachstellen im Code und bekam volle Zugriffsrechte für das Modem. Das ist ein doppeltes Desaster. Zum einen innerhalb des Netzwerks, also auf den Rechnern der Kunden. Laptops, Smartphones, Tablet-PCs: Die Lücke erlaubte es, auf fremde Fotos oder Dokumente zuzugreifen. Wenn im Haus ein externer Festplattenspeicher (NAS) eingesetzt wird, damit alle Familienmitglieder auf gemeinsame Dateien zugreifen können, dann stand auch dieser Speicher offen. Denn ein Heimnetz wird in aller Regel nicht besonders gut abgesichert. Wer sich einmal Zugang verschafft hat, kann sich bedienen. Der Eindringling Graf konnte auch Verbindungen nach draußen kontrollieren, also ins Internet. Wurde eine Webseite aufgerufen, konnte dieser Verkehr mitgeschnitten werden. Der überwiegende Teil aller Verbindungen ins Netz ist unverschlüsselt. Diese Daten mitzulesen, war über die Sicherheitslücke problemlos möglich. Das kann beispielsweise private Nachrichten betreffen. Ebenfalls möglich war es, den Internetverkehr auf Webseiten umzuleiten, die der Angreifer kontrolliert. Während ein Nutzer etwa meine-bank.de eingibt, wird er auf mei-nebank.de umgeleitet - ohne dass das in der Adresszeile sichtbar wäre. Die manipulierte Seite gehört dem Angreifer. Gibt der Nutzer dort Passwort oder Kreditkarten-Daten ein, kennt diese Informationen auch der Angreifer und kann sie ausnutzen. Zudem kann Kunden Schadsoftware untergeschoben werden, die jeden Tastaturanschlag protokolliert.

"Du stehst komplett nackt da. Der gesamte Zugang gehört jemand anderem."

Ein Rundumangriff. "Du stehst komplett nackt da", sagt Graf. "Der gesamte Zugang gehört jemand anderem." Lediglich Modems von Fritzbox seien sicher vor dieser Form des Angriffs gewesen. Und die Sicherheitslücke betrifft nicht nur Internetverbindungen. Graf gelang es über eine weitere Schwachstelle außerdem, den Telefonzugang von fremden Kunden zu übernehmen. Das heißt, er hätte sämtliche Anrufe annehmen, ablehnen oder umleiten können.

Wie massiv die Lücke war, verblüfft sogar Branchenkenner. "Man kann sich kaum erklären, dass Kabel Deutschland die eigene Infrastruktur so schlecht abgesichert hat", sagt Ronald Eikenberg vom IT-Magazin c't. Die gesamte Sicherheit des Nutzers habe an der Integrität des Modems gehangen. Das sei ein fataler Fehler. Graf hatte sich mit Informationen über die Schwachstelle an c't gewandt. Vodafone zeigte sich für die Informationen dankbar: Man sei "immer an Hinweisen interessiert, die uns dabei unterstützen, unsere Systeme und Applikationen noch sicherer zu machen", so der Konzern. Potenzielle Schwachstellen kann man dem Unternehmen online melden.

Angesichts der Verbreitung der Modems geht Eikenberg davon aus, dass diese Form des Angriffs aktiv ausgenutzt wurde, vielleicht auch von Behörden. "Wir reden ja nicht nur von Kriminellen, sondern auch von Überwachungsmaßnahmen." Die Industrie nutze das aus und verkaufe Informationen über derartige Sicherheitslücken an Regierungen.

Vodafone-Sprecher habe das eigene Netzwerk seit Bekanntwerden der Lücke analysiert, sagt ein Sprecher - und nichts Verdächtiges gefunden: "Wir haben auch nach sorgfältiger Untersuchung keinerlei Hinweise darauf, dass es in der Vergangenheit weiteren Personen gelungen ist, sich Zugriff auf unser Wartungsnetz zu verschaffen und darüber Zugriff auf die Modems unserer Kunden zu erlangen." Die Firma habe herausgefunden, dass Graf eine "einstellige Zahl" an Modems kontrolliert habe. Die Redakteure von c't hatten ihm ihre Zugänge zur Verfügung gestellt. "Wir wollten nicht auf Modems von irgendwelchen Kunden zugreifen", sagt Redakteur Eikenberg. Das wäre illegal.

Kunden drohe mittlerweile keine Gefahr mehr, betont Vodafone. "Durch das Einspielen neuer Schutzfilter haben wir die Schwachstelle Mitte Dezember abschließend beseitigt", sagt der Sprecher. Tests von Graf und c't bestätigen das.

Graf sagt, dass er sich nur die Systeme von Vodafone angeschaut hat. Ob die Schwachstellen auch bei anderen Anbietern existieren, weiß er nicht. "Ich denke, andere Firmen werden das jetzt von sich aus überprüfen."