Von Fabian Köhler
30.11.2016

Von Bots, Ports und Murks

Was hinter dem Netzausfall bei der Deutschen Telekom steckte

c023c8b314cacc4928f71bb2922a1d99.jpg
Mit lahmgelegtem Router läuft nichts.

Was ist passiert?

Momentan spricht vieles dafür, dass ein Hackerangriff die Ursache dafür war, dass bei hunderttausenden Telekom-Kunden seit Sonntag nichts mehr ging. Dies vermuteten bisher sowohl das Unternehmen als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Demnach hätten unbekannte Angreifer versucht, die Kontrolle über die DSL-Router der Endkunden zu übernehmen. Diese kleinen Kästchen wählen sich normalerweise ins Netz des Internet-Telefonanbieters ein und ermöglichen so dem Endkunden, Telefonie und Internet zu nutzen. Genau das taten viele Router aber ab Sonntag nicht mehr. Zwar gelang es den Hackern nicht, die Kontrolle über die Geräte zu übernehmen, ihre Angriffe brachten die Router aber zum Absturz und damit Kunden zur telekommunikativen Zwangspause.

Was wollten die Hacker damit erreichen?

Hinter dem Angriff steckt nach Erkenntnissen von IT-Experten das Botnetz »Mirai«, das in der Vergangenheit bereits mehrfach für Hackerangriffe verantwortlich war. Als Botnetz bezeichnet man ein Netzwerk aus internetfähigen Geräten (Computern, Handys, Routern usw), die von Hackern gekapert wurden, um bestimmte Angriffe auszuführen. Der milliardenfache Versand von Spam-Mails läuft beispielsweise genauso über Botnetze wie gezielte Angriffe auf Server, um diese lahmzulegen und den Betreiber so zu erpressen oder zu schädigen. Bei den Hackern handelt es sich in den meisten Fällen um Kriminelle, die mit den Angriffen selbst oder dem Vermieten der Botnetze Geld machen. Aber auch politische Aktivisten und staatliche Geheimdienste nutzen diese. Im Telekom-Fall war das mutmaßliche Ziel der Angreifer, die attackierten Router mittels Schadsoftware zu kapern, sie dem eigenen Botnetz einzugliedern, um so in Zukunft noch wirksamere Angriffe ausführen zu können.

Hätte die Telekom den Angriff verhindern können?

Wahrscheinlich schon. Die Hacker nutzten die Fernverwaltungsports, um auf die Router zugreifen zu können. Diese Schnittstellen dienen eigentlich den Technikern des Internetanbieters dazu, aus der Ferne Einstellungen am Router vornehmen zu können, und sind normalerweise entsprechend gesichert. Im Fall der betroffenen Geräte war das wohl aber nicht der Fall. Alle betroffenen Router stammten vom taiwanesischen Hersteller Arcadyan. Dessen Router-Modelle »Speedport« verfügen für den Fernzugriff über keinen Passwortschutz. Bereits 2014 machte ein Kunde im Telekom-Forum auf diese Sicherheitslücke aufmerksam. Offenbar ohne Folgen. Einen Hinweis darauf, dass es gegen den Angriff einen wirksamen Schutz gegeben hätte, lieferte auch das BSI. Die Behörde teilte am Montag mit, dass es auch Angriffe auf das Netz der Bundesregierung gegeben habe, die aufgrund »funktionierender Schutzmaßnahmen« folgenlos blieben.

Hätte es schlimmer kommen können?

Ja. Denn so groß der Schaden für viele Telekom-Kunden auch war, ihr eigentliches Ziel verfehlten die Hacker: die Router zu kapern und zum Teil eines ferngesteuerten Netzes zu machen. »Die Schadsoftware war schlecht programmiert, sie hat nicht funktioniert und hat nicht das getan, was sie hätte tun sollen. Ansonsten wären die Folgen des Angriffs noch viel schlimmer gewesen«, sagte Telekom-Sprecher Georg von Wagner im RBB-Inforadio. Und auch BSI-Chef Arne Schönbohm zeigte sich erleichtert: »Dieses Mal haben wir noch Glück gehabt.«

Kann man sich als Internetnutzer vor solchen Angriffen schützen?

Eigentlich sollte es Sache des Internet- und Telefonanbieters sein, für die Sicherheit seiner Geräte zu garantieren. Wer trotzdem mehr tun will, der kann sich selbst um einen als sicher geltenden Router kümmern. Seit dem 1. August gilt der sogenannte Routerzwang nicht mehr, mit dem Internetanbieter ihre Kunden zur Nutzung eines bestimmten Modells verpflichteten. Technisch versierte Nutzer könnten theoretisch auch selbst den Fernwartungsport deaktivieren. Dieses verbietet die Telekom allerdings in ihren AGBs.

Wie komme ich als Betroffener nun wieder ins Netz?

Die Telekom hat für alle betroffenen Kunden mittlerweile ein Softwareupdate bereitgestellt, das das Problem beben soll. Die Software soll sich von allein installieren, nachdem man den Router für 30 Sekunden vom Stromnetz getrennt und anschließend wieder angeschaltet hat.

Artikel weiterempfehlen und ausdrucken