Bot-Netz

Telekom-Router-Störung: Schlechter Ausfall, guter Ausfall

Dass viele Router der Telekom am Sonntag ausfielen, ist nur auf den ersten Blick schlecht. Denn wäre das nicht passiert, gäbe es jetzt wohl ein Bot-Netz mit 900 000 Geräten allein im Netz der Telekom.
AAA
Teilen (65)

Selten schlug eine vermeintliche Telekom-Störung so hohe Wellen: Am Sonntag fielen bei etwa 900 000 Kunden die Router aus. Was zunächst nach einem Serverfehler und einer normalen Störung aussah, entpuppte sich als ein Hacker-Angriff auf weltweiter Ebene, bei dem die Kunden der Telekom nur ein kleiner Teil waren. Dabei ging es den Hackern nicht darum, dass es einen Ausfall bei den Kunden gibt. Vielmehr wollten sie die Router der Kunden kapern und haben offenbar einen noch größeren Angriff über ein Botnet vorbereitet, das sie anhand der gehackten Router aufbauen wollten. Das ist nicht gelungen.

Router stammen von taiwanesischen Zulieferer

Telekom-Router im Visier von HackernTelekom-Router im Visier von Hackern Bleiben wir bei der Telekom. Hier waren nach Angaben des Unternehmens die eigenen Routermodelle vor allem die Modelle Speepdort W 921V (inkl. Fiber) und Speedport W 723V Typ B betroffen. Die Telekom baut diese Router nicht in Eigenregie, sondern überlässt sie einem darauf spezialisierten Unternehmen. Sie stammen nach übereinstimmenden Informationen vom taiwanesischen Zulieferer Arcadyan. Dieser war schon 2011 und 2014 auch bei teltarif.de Thema bei Sicherheitslücken.

Der Angriff geht zurück auf einen weltweiten Versuch der Ausnutzung einer Lücke in der Fernwartungs­schnittstelle TR-069. Die Schwachstelle ist seit 2014 bekannt. Damals wiegelte auch die Telekom ab, ihre Router seien sicher. In gewisser Hinsicht stimmt das auch aus heutiger Sicht noch: Die Angreifer haben ihr Ziel verfehlt. Der Absturz und Ausfall der Router war "lediglich" ein Kollateralschaden. Telekom-Sicherheitschef Thomas Tschersich sagt in einem von der Telekom veröffentlichten Statement: "Was zum Absturz geführt hat, war eine Schwachstelle in dem Gerät, dass es nach 30 Minuten massenhaften Bombardement mit Angriffen zu einem Pufferüberlauf in dem Gerät gekommen ist. Das führte dazu, dass Services und das Gerät ausfielen. Ein Hardware-Reset und ein Neustart führten dazu, dass das Gerät wieder funktionsfähig war". Nach unserer Einschätzung ist dieses Statement nicht falsch und spiegelt auch das Verhalten der Router am Sonntagabend wider, allerdings schätzen wir es auch als unvollständig ein.

Das eigentliche Ziel war der Aufbau eines Bot-Netzes

Eigentlich hätte stillschweigend und unbemerkt von Telekom und Kunden eine Schadsoftware auf den Routern installiert werden sollen.

Nach Expertenangaben laufen diese Versuche auch bei Routern anderer Hersteller auch im Ausland noch. Es könnte also durchaus gelungen sein, an anderer Stelle Router zu infizieren, ohne dass jemand den Vorgang bemerkt hat. Die Infizierung könnte auch noch Wochen oder Monate unentdeckt bleiben, bis jemand diese Router, die sich zu einem Bot-Netzwerk zusammenschließen, aufweckt und ihnen ein Angriffsziel gibt. Ein Denial-of-Service-Angriff (DDOS) wäre die Folge. Einen solchen Angriff hat es erst vor wenigen Wochen gegeben, als ein Bot-Netzwerk Twitter, Spotify, Netflix & Co angriff. Damals nutzten die Täter gekaperte Heimvernetzungs-Geräte.

Wer hinter den Angriffen steckt, ist zumindest offiziell nicht klar. Das Bundeskriminalamt (BKA) hat ein Verfahren wegen Datenveränderung und Computer-Sabotage von Amtswegen eingeleitet. Medien bringen den Angriff in Zusammenhang mit (russischen) Geheimdiensten - andere sprechen davon, dass der Angriff die Handschrift "klassischer" Hacker, nicht aber die eines Geheimdienstes trägt.

Bundesinnenminister Thomas de Maizière sagte gestern vor Journalisten zu dem Vorfall: "Sie können ja sagen, dass es schlimm war, dass 900 000 Router ausgefallen sind. Sie können aber auch sagen: Es ist gut, dass nicht noch Schlimmeres passiert ist."

Router müssen aktuell gehalten werden

Am Ende bleibt für den einzelnen Kunden nur zu hoffen, dass sein Provider und sein Routerhersteller die eigene Software bestmöglich vor Angriffen dieser Art schützt. Der einzelne Kunde hat kaum Chancen, im Vorfeld derartige Angriffe abzufangen. Wichtig ist jedoch in jedem Fall, die Software des eigenen Routers stets aktuell zu halten, damit Sicherheitsupdates eingespielt werden. Bei vielen Routern geht das heutzutage automatisch, sofern die Funktion nicht deaktiviert wurde.

Wie Telekom-Chef Tim Höttges den Angriff erlebte, schildern wir in einer weiteren Meldung.

Teilen (65)

Mehr zum Thema Router