zur Navigation springen

Wirtschaft

10. Dezember 2016 | 00:19 Uhr

Weltweite Attacke auf Router : Telekom-Hack: Was passiert ist und was der Angriff bedeutet

vom

Die Telekom wurde Ziel einer weltweiten Router-Attacke. shz.de mit Fragen und Antworten.

Bonn | Die Deutsche Telekom ist bei der jüngsten Attacke auf ihre „Speedport“-Router offenbar mit einem blauen Auge davon gekommen. Nach ersten Analysen ist der eingeschleuste Schadcode mit dem bekannten Schädling Mirai verwandt, berichten IT-Sicherheitsexperten des Unternehmens Kaspersky Lab am Dienstag. Im Laufe des Dienstags will die Telekom die Störungen weitgehend ausräumen. shz.de mit Fragen und Antworten zum aktuellen Fall.

Wie lief der Angriff ab?

Durch den Angriff sollte ein Botnetz hergestellt werden. „Dieses Mal haben wir noch Glück gehabt - der Angriff hat nicht richtig funktioniert“, sagte Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik der Zeitung „Die Welt“. Das BSI ging davon aus, dass ausgewählte Fernverwaltungsports von DSL-Routern von dem Angriff betroffen waren.

Seit Sonntagnachmittag waren rund 900.000 Router des Unternehmens betroffen und teilweise komplett ausgefallen. Die angegriffenen Geräte sollten durch den Angriff mit Schadsoftware infiziert werden. Diese Angriffe seien auch in dem vom BSI geschützten Regierungsnetz registriert worden, in dem sie aber auf Grund funktionierender Schutzmaßnahmen folgenlos blieben.

Wie konnten Router infiziert werden?

Wie Stefan Ortloff von Kaspersky darlegt, wurde der Schadcode durch eine Sicherheitslücke im Router eingeschleust. Doch die Software sei offenbar nicht in der Lage gewesen, sich selbst in das Dateisystem zu schreiben. Deshalb habe sie einen Neustart nicht überlebt.

Wäre die Schadsoftware besser programmiert gewesen, so wären die Folgen des Angriffs noch viel schlimmer gewesen, sagte ein Telekom-Sprecher im RBB-Inforadio. Im aktuellen Fall hatte in der Regel ein Neustart der Router gereicht, um sie wieder funktionsfähig zu machen.

Was ist ein Botnetz?

Kriminelle kapern mitunter die Computer anderer Nutzer für ihre Zwecke. Ein Netzwerk solcher Rechner wird als Botnetz bezeichnet. Hacker infizieren die Computer mit einem Schadprogramm und können sie dann aus der Ferne steuern. Die eigentlichen Besitzer der Rechner merken oft nichts davon. Botnetze werden zum Beispiel verwendet, um Internetseiten mit massenhaften Anfragen lahmzulegen (DDoS). Betrüger können darüber auch ungewollte E-Mail-Nachrichten (Spam) verschicken oder die Rechner für sogenannte Phishing-Attacken missbrauchen, bei denen es häufig um den Zugang zu Online-Banking-Konten geht. Im aktuellen Fall geht es um die Verwendung der gekaperten Computer zum Errechnen von Bitcoins.

Worum handelt es sich bei der Schadsoftware genau?

Die Schadsoftware Mirai ist Sicherheitsexperten bereits bekannt. Ihre Spezialität ist, sich vorzugsweise in Verbrauchergeräte wie Router oder andere, privat genutzte, vernetzte Elektronik einzuschleusen, um sie kapern und zum Teil eines ferngesteuerten Netzes zu machen.

Zuletzt hatten Kriminelle Mirai-Botnetze mit fast einer halben Million verbundener Geräten im Netz zur Miete angeboten, wie vergangene Woche das Fachportal „heise online“ berichtete. Die zusammengeschalteten Geräte werden von Kriminellen gern für koordinierte Attacken oder zum Versenden von Spam-Nachrichten genutzt.

Wer steckt hinter der Attacke?

Es ist nicht genau bekannt, woher der Angriff kam. „Ich möchte da jetzt nicht spekulieren, wo die Herkunft ist“, sagte Bundesinnenminister Thomas de Maizière (CDU) am Dienstag in Saarbrücken auf die Frage, ob der Angriff aus Russland erfolgt sei. „Möglicherweise ist die Grenzziehung dann von kriminellen Aktivitäten aus einem bestimmten Staat und den staatlichen Aktivitäten auch nicht ganz klar zu ziehen“, fügte er hinzu. „Im Moment steht der genaue Urheber noch nicht fest.“

Sollte der Angriff nur die Telekom treffen?

„Der Angriff zielt wohl nicht spezifisch auf die Telekom, sie scheint allerdings mit Abstand das größte Opfer zu sein“, hieß es in einem Bericht auf heise.de. „Weltweit wird der Port 7547 auf im Netz erreichbaren Endgeräten angegriffen. Dabei soll eine bekannte Schwachstelle im Fernwartungsprotokoll TR-069 ausgenutzt werden.“

Das BSI hatte bereits am Montag von einem weltweiten Cyberangriff gesprochen und forderte schärfere Sicherheitsstandards im Internet der Dinge. „Je vernetzter die Welt ist und je allgemeiner Massenprodukte wie Router weltweit baugleich im Netz eingesetzt werden, desto verwundbarer sind unsere Netz-Infrastrukturen“, sagte er der „Welt“.

Was sind die Folgen des Angriffs?

Das BSI hat höhere Sicherheitsstandards bei vernetzten Geräten verlangt. Für den Cyber-Angriff sei ein Botnetz genutzt worden, das sich nicht nur aus PCs, Notebooks, Smartphones oder Tablets zusammensetzt habe, sondern zu großen Teilen aus mit dem Internet verbundenen Haushaltsgeräten bestehe, erklärte das BSI.

Geräte wie Netzwerkkameras, Drucker oder TV-Empfänger fänden im Zuge des Internets der Dinge (Internet of Things, IoT) immer größere Verbreitung. „Die meisten dieser Geräte sind im Auslieferungszustand unzureichend gegen Cyber-Angriffe geschützt und können somit von Angreifern leicht übernommen und für Straftaten missbraucht werden“, erklärte BSI-Präsident Arne Schönbohm am Dienstag in Bonn.

Was ist wichtig im Umgang mit Routern, um sie vor Hackerattacken zu schützen?

Voreingestellte Zugangsdaten und Passwörter für die Geräte müssen durch den Nutzer geändert werden können, forderte das BSI. Wenn die voreingestellten Passwörter nicht für jedes Gerät individualisiert ausgegeben worden seien, so müsse bei der Inbetriebnahme ein Passwortwechsel erzwungen werden.

Nicht unbedingt benötigte Dienste müssen durch den Benutzer deaktiviert werden können, verlangte das BSI weiter. Außerdem sollte die eingehende und ausgehende Kommunikation des IoT-Geräts nur verschlüsselt erfolgen. Von den Herstellern verlangte das BSI weiterhin, für die verkauften Geräte regelmäßig, schnell und über einen hinreichenden Nutzungszeitraum hinweg Sicherheitsupdates zur Verfügung stellen.

Wie Sie Ihre WLAN-Router am besten vor Hacker-Angriffen schützen können, lesen Sie hier.

zur Startseite

von
erstellt am 29.Nov.2016 | 12:39 Uhr

Gefällt Ihnen dieser Beitrag? Dann teilen Sie ihn bitte in den sozialen Medien - und folgen uns auch auf Twitter und Facebook:

Themen zu diesem Artikel:

Diskutieren Sie mit.

Leserkommentare anzeigen