Protokoll

Telekom-Chef Höttges: So haben wir auf den Angriff reagiert

Was passierte am Sonntagabend bei der Telekom, als der Angriff auf die Router begann? Telekom-Chef Höttges hat es heute beschrieben.
AAA
Teilen (56)

Telekom-Chef Tim Höttges (Archivbild)Telekom-Chef Tim Höttges (Archivbild) Telekom-Chef Tim Höttges sprach heute auf dem von der Telekom initiierten Fachkongress Magenta Security auch über den Angriff auf die Speedport-Router der Telekom. Dieser Angriff hatte am Sonntag dazu geführt, das 900 000 Kunden offline waren. In einer zugleich launigen aber doch ernsten Rede an die Zuhörer beschrieb er, wie er den Vorfall wahrgenommen hat und was zu welchem Zeitpunkt passiert ist.

Sonntag, 15:30 Uhr: Das Netzmanagement-Center der Telekom verzeichnet einen vermehrten Ausfall von Routern im Netz der Telekom. Bei einem signifikanten Abfall von Nutzern auf der IP-Plattform löst das direkt einen internen Hinweis aus. Durch Störungs-Monitore im Internet sowie soziale Medien ist es der Telekom zudem möglich, unkompliziert Hinweise der Kunden im Internet zu verarbeiten. teltarif.de hatte darüber bereits bei einer Reportage aus dem Telekom-NOC in Bamberg berichtet.

Sonntag, 15:35 Uhr wurden Expertenteams zusammengerufen. Höttges selbst spielte zu diesem Zeitpunkt Golf. Er erhielt per Telefon die Information, dass es offenbar eine Attacke auf das Netz gebe. "Ich habe die Golf-Partie verloren. Dabei hab ich nicht schlecht gespielt."

Sonntag, 16:00 Uhr: Höttges telefoniert mit Telekom-Sicherheitschef Thomas Tschersich.

Sonntag, 18:00 Uhr: Die Hinweise verdichteten sich, dass es sich um einen Botnet-Angriff handelt.

Sonntag, 18:15 Uhr wurden die dafür entwickelten Notfall-Routinen eingeleitet. Dafür gibt es in der Zentrale Räume, in denen alle Teams zusammenkommen. Dabei handelt es sich um Mitarbeiter aus den Bereichen Netz, Software-Sicherheit, IT, Kommunikation, Callcenter und Management. Forensische Untersuchungen seien eingeleitet worden, Analysen der Verbreitungswege getroffen und Sofortmaßnahmen im Netz getroffen. Das sollte die weitere Ausbreitung unterbinden. Dazu wurde auch die Internetadresse, von der der Schadcode geladen werden sollte, gesperrt. Zudem wurden auch die Ports im Netz gesperrt. Die Telekom hat auch die Partner, vor allem die Router-Zulieferer, in die Eskalationskette involviert. Gleichzeitig wurde auch die Entwicklung eines Software-Updates für die betroffenen Router eingeleitet. "Ein solches Update binnen 12 Stunden zu programmieren ist schon eine extreme Spitzenleistung", so Höttges.

In der Nacht hätten viele Verantwortliche gar nicht oder nur wenige Stunden geschlafen, berichtet Höttges.

Am Montag, 15:00 Uhr habe das Update für die Speedport-Router bereitgestanden. Bei den meisten Routern wurde dieses automatisch installiert, bei anderen mussten die Kunden tätig werden.

Montag, 15:30 Uhr habe die Telekom alle ihr vorliegenden Informationen zu dem Angriff mit allen großen nationalen und internationalen Anbietern ausgetauscht.

Router vom Strom trennen war richtiger Lösungsansatz

"Manche haben unseren Lösungsansatz an die Kunden, den Router für einige Zeit vom Strom zu trennen und neu zu starten als hilflos kritisiert", bedauerte Höttges. Das sei jedoch eine clevere Vorgehensweise gewesen. Die Router führten dadurch ein Software-Update durch. Zudem hat der Neustart vor Bereitstellung des Updates offenbar dazu geführt, dass der Router eine Weile wieder funktionierte - jedoch nur so lange wie er erneut in das Visier der Angreifer geriet. Deswegen fiel die Leitung offenbar bei einigen Kunden zunächst immer wieder aus.

Höttges bestätigte in seiner Rede, dass es einen weltweiten Angriff auf Router über den Fernwartungsport gab. Dieser Port werde gebraucht, um eigene Updates zu installieren und technisch weniger versierten Kunden Hilfe bei Problemen anzubieten. "Diesen Zugang haben wir jetzt noch besser geschützt." Weiter sagte Höttges: "Ich würde gerne versprechen, dass ich solche Fehler für die Zukunft ausschließe. Aber die Wahrheit ist: Das kann ich nicht." Man habe Glück im Unglück gehabt. Nach derzeitigem Kenntnisstand seien keine Router infiziert worden. Nach Angaben von Linus Neumann vom Chaos Computer Club (CCC) sei das aber auch gar nicht möglich gewesen. Der TR069-Exploit, der derzeit die Runde macht, setzt Linux auf den Routern voraus - dieses sei jedoch auf den Speedport-Geräten gar nicht installiert.

Höttges Rede in voller Länge

Teilen (56)

Mehr zum Thema Timotheus Höttges