Angriff auf Telekom-Router: Kein Grund, überrascht zu tun

BreitbandNetzwerke

Der Telekommunikationskonzern und seine Kunden sind offenbar noch einmal mit einem blauen Auge davongekommen: Die Software der Angreifer war offenbar nicht viel besser programmiert, als die Software der Router. Unerwartet kommt der Angriff jedoch nicht.

Aufschrei! Widerliche Kriminelle haben es gewagt, einige durch eine Fehlkonfiguration in einem Protokoll anfällige Router von Telekom-Kunden anzugreifen. Dadurch hatten die am Sonntagnachmittag und -abend, sowie teilweise auch noch am Montagvormittag, keinen Internetzugang und konnten zum Teil auch nicht fernsehen.

Einige komplett Verzweifelte sollen sogar nach einem Buch gegriffen habe. Wieder andere, komplett von der Außenwelt Abgeschnittene, sollen sogar mit Familienangehörigen gesprochen habe. Vielfach entwickelte sich aus der Frage “Wer sind Sie eigentlich und warum kommen Sie nach Feierabend immer hier her?” ein “interessantes Gespräch” – wie jetzt, da wieder alles funktioniert, irgendwo in irgendeinem sozialen Medium zu lesen ist.

Frau verzweifelt vor Computer (Bild: shutterstock/ Syda Productions)

Doch Spaß beiseite.

Der Angriff auf die Telekom-Router war zwar groß – laut Telekom waren etwa 900.000 Kunden betroffen – aber offenbar nicht sehr professionell durchgeführt. Ein Telekom-Sprechererklärte heute Morgen gegenüber Inforadio RBB: “Die Schadsoftware war schlecht programmiert, sie hat nicht funktioniert und hat nicht das getan, was sie hätte tun sollen. Ansonsten wären die Folgen des Angriffs noch viel schlimmer gewesen.”

Das hindert weder das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch diverse Politiker sich empört zu Wort zu melden – von Bundesinnenminister Thomas de Maizière, der ja irgendwie noch mit dem Thema zu tun hat aber nichts dazu sagte, bis zu Niedersachsens Innenminister Boris Pistorius. Der zeigte sich laut FAZ am Dienstag “sehr besorgt” und gab zu bedenken, dass, wenn die Telekom Opfer eines solchen Angriffs werden könne, nun jedem klar werden müsse, wie “aktuell und alltäglich die Gefahr ist”. Zudem nutzt er die Gelegenheit zu fordern, dass die Deutschen bei der Sicherheit der IT-Infrastruktur nun “eindeutig nachlegen” müssten.

Allerdings ist die Aufregung völlig verfehlt, weil nicht die Telekom Ziel und Opfer des Angriffs war, sondern die Router. Wie der Telekom-Sprecher richtig erklärte, ging es den Angreifern eigentlich nicht darum ein großes Chaos auszulösen, sondern darum, aus ihrer Sicht einfach irgendwelche Router mit Schadsoftware zu infizieren, um sie dann zu einem späteren Zeitpunkt für andere Angriffe oder Zwecke auszunutzen.

Router Speedport W 724V (Bild: Deutsche Telekom)
Auch nicht schlechter programmiert als andere Router: Ein Speedport-Router der Telekom (Bild: Deutsche Telekom)

Eine Sicherheitslücke, die sie ausnutzen konnten, fanden sie eben – man kann fast sagen zufällig – in einigen Routern der von der Telekom unter dem Namen Speedport vertriebenen Bauart. Das ist kein großes Verdienst der Angreifer, sondern schlichtweg Schlamperei oder Versäumnis des Router-Herstellers – was zutrifft, hängt vom exakt ausgenutzten Fehler ab – und der Telekom, die sich nicht ausreichend um Updates und Qualitätsmanagement gekümmert hat.

Update 20. November 2016, 10 Uhr 38: Inzwischen liegt eine Analyse von Security-Experten vor. Demnach wurde für den Angriff ein Fehler ausgenutzt, der 20 Tage zuvor in einer Schwachstellendatenbank veröffentlicht wurde. Die Telekom und mehrere andere Provider haben es also schlichtweg versäumt zu überprüfen, ob die an ihre Kunden ausgelieferten Router dafür auch anfällig sind.

Damit steht sie aber nicht alleine da. Auch O2 und Vodafone mussten schon Sicherheitslücken in den von ihnen ausgelieferten Routern ausbessern. Sie hatten eben nur Glück, dass die zuerst von seriösen Experten entdeckt wurden, die sie meldeten, nicht von Personen, die sie für ihre kriminellen Zwecke ausnutzten.

Aber auch die generelle Überraschung, wie so etwas nur möglich sein konnte, ist völlig verfehlt. Ersten warnen Experten schon seit Jahren vor den vielfältigen Möglichkeiten, die sich Angreifern bei Routern in Heimnetzwerken bieten. Zweitens gibt es mehr als genug Beispiele dafür, dass dies nicht Unkenrufe abgehobener Theoretiker sind, sondern dass die Lücken in der Praxis vielfach bestehen und oft vergleichsweise leicht ausgenutzt werden können.

O2 DSL-Router (Bild: Telefónica)
Hatte auch schon Sicherheitslücken: O2 DSL-Router (Bild: Telefónica)

Dazu kommt, dass die Firmware von DSL-Routern von vielen Nutzern gar nicht oder nur selten aktualisiert wird und andererseits viele Hersteller Patches für bekannte Sicherheitslücken erst nach langer Zeit oder bei älteren Geräten auch gar nicht mehr entwickeln. AVM hat hier nach leidvollen Erfahrungen im vergangenen Jahr gründlich nachgebessert. Die meisten anderen arbeiten diesbezüglich nach dem Prinzip Hoffnung: “Hoffen wir mal, das es uns nicht trifft.”

Wer nicht hören will …

Schon 2014 hatte zum Beispiel der IT-Security-Anbieter Avast nach einer umfangreichen Untersuchung gewarnt, dass Router von Heimnetzwerken immer stärker ins Visier von Angreifern rücken. Avast war damit beileibe nicht der erste Mahner, aber einer, der sich auf eine große Datenbasis stützen konnte.

Router (Bild: Shutterstock/Georgii Shipin
Mein Router – das unbekannte Wesen (Bild: Shutterstock/Georgii Shipin)

Doch die Warnungen verhallten weitgehend ungehört. Noch 2014 wurde zum Beispiel eine Schwachstelle in Routern von Linksys entdeckt, im Februar 2015 eine Sicherheitslücke in Routern von Netgear.

Im Mai 2015 tauchte dann ein neues Exploit-Kit auf, dass es Angreifern durch Schwachstellen in gleich 55 Router-Modellen ermöglichte, die Einträge für DNS-Server zu ändern und den Datenverkehr umzuleiten. Der vom Sicherheitsexperte Kafeine entdeckte Schadcode erlaubte es, Router von Asus, Belkin, D-Link, Edimax, Linksys, Netgear, Trendnet und Zyxel anzugreifen. Im selben Monat wurde zudem ein Fehler in der von zahlreichen Herstellern für Millionen von Geräten lizenzierten Komponente NetUSB aufgedeckt. Der Fehler ließ sich zwar vor allem aus dem lokalen Netzwerk heraus ausnutzen, wie damals Sicherheitsexperte Stefan Viehbock vom SEC Consult Vulnerability Lab erklärte, ließ die Schwachstelle in einigen Router-Konfigurationen aber auch Angriffe aus der Ferne zu.

Reaktion der Branche? Weitgehend Fehlanzeige!

Reaktion der Kriminellen? Testläufe.

Im Oktober 2015 wies Panda Security darauf hin, dass zwei spanische IT-Sicherheitsorganisationen – so eine Art Pendants zu BSI und DsiN – auf eine Zunahme der Anzahl der Cyberangriffe auf private Router gewarnt haben. Wer die Branchennachrichten auch nur ein bisschen verfolgt hat, den kann es also nicht überrascht haben, dass es irgendwann “gekracht” hat.

Die Schuld ganz auf Hersteller und Provider abzuwälzen, wäre aber zu einfach. Zwar machen es die, zum Beispiel im Januar TP-Link, den Nutzern nur allzu oft allzu leicht, selbst grundlegende Sicherheitsmaßnahmen zu ignorieren, aber den Anwendern scheint das auch größtenteils nichts auszumachen. Denn die angebotenen Maßnahmen setzen sie nur selten um. Wie zum Beispiel ESET in einer Untersuchung im Oktober dieses Jahres noch festgestellt hat, sorgen unsichere Passwörter und Schwachstellen in der Software dafür, dass mindestens 15 Prozent aller Router für Angriffe anfällig sind.

Schwache Passwörter und generische Benutzernamen wie admin machen Netzwerkdienste und Router unsicher. Auch sind häufig Dienste wie Telnet aktiviert, obwohl diese nicht gebraucht werden und einen weiteren Angriffsvektor bieten. (Bild: ESET)
Schwache Passwörter und generische Benutzernamen wie ‘admin’ machen Netzwerkdienste und Router unsicher. Auch sind häufig Dienste wie Telnet aktiviert, obwohl diese nicht gebraucht werden und einen weiteren Angriffsvektor bieten. (Bild: ESET)

Damit liegt die Telekom sogar unter dem Durchschnitt: Schließlich waren bei ihr von rund 20 Millionen nur knapp eine Million betroffen – nicht einmal fünf Prozent. Doch noch einmal Spaß beiseite: Schön ist das natürlich nicht. Überraschend aber auch nicht.

Wenn sich die Angreifer jetzt “ausgerechnet” die Speedport-Router ausgesucht haben, so liegt das wahrscheinlich in erster Linie daran, dass sie erstens die Möglichkeit hatten, da eine Lücke auszunutzen und zweitens glaubten, aufgrund der passablen Breitbandinfrastruktur in Deutschland sich mit infizierten Routern eine gute Ausgangsbasis für künftigen Aktivitäten zu verschaffen. Mit einem Angriff auf die Telekom oder auf Deutschland dürfte das dagegen nichts zu tun haben. Gar nichts. Aber es klingt halt so schön gruselig …

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen