Internet-Ausfall bei Telekom: Es hätte schlimmer kommen können

Was passierte eigentlich bei der Attacke auf die Router?

Die Angreifer haben eine Schwachstelle in den Routern der Telekom für ihre Attacke ausgenutzt. Die Geräte, die zum Beispiel einen Haushalt mit dem Internet verbinden, haben Software-Schnittstellen, über die sie der Netzbetreiber zur Wartung ansprechen kann. Eine davon, der "Port 7547", wurde bei dem Angriff als Einfalltor für die Schadsoftware genutzt. Der Port hätte eigentlich nur auf Anfragen aus dem Computersystem des Netzbetreibers reagieren dürfen. Er öffnete sich aber auch für die Angreifer. Ihr Versuch, auf den Routern weitere Software zu installieren, scheiterte jedoch - wohl auch aufgrund eigener Fehler.

Was wollten die Angreifer im Router?

Nach bisherigen Erkenntnissen ging es darum, die Router zum Teil eines sogenannten Botnets zu machen. So werden Netze aus zum Teil Millionen Computern und anderen vernetzten Geräten genannt, deren Rechenleistung gekapert und ohne das Wissen der Besitzer von den Angreifern für ihre Zwecke missbraucht wird. Das könnte zum Beispiel der Versand von Spam-E-Mails sein oder Attacken auf weitere Computer. Damit zielte die Attacke wohl nicht auf Kundeninformationen wie Inhalte von Kommunikation. Die Telekom betont ihrerseits, sie habe keinerlei Hinweise darauf, dass Kundendaten betroffen gewesen seien.

Wer waren die Täter?

Wer hinter der Attacke steckt, ist nicht klar. Vereinzelt gibt es Spekulationen, dass es sich möglicherweise um einen politisch motivierten Angriff russischer Herkunft handeln könnte. Klare Indizien dafür gibt es nicht. Bundeskanzlerin Angela Merkel (CDU) betonte, dass sich das BSI als zuständige Behörde intensiv auf Spurensuche setzen werde. Viele IT-Sicherheitsexperten gehen aber davon aus, dass es in der Regel kaum möglich ist, bei solchen Attacken einen Angreifer eindeutig zu identifizieren.

Was können Angreifer anrichten, wenn sie erst einmal im Router sind?

Nach Warnung des Sicherheitsdienstleisters G Data können Angreifer nach erfolgreichem Eindringen mit dem Gerät fast alles machen. So könnten die Angreifer WLAN-Passwörter auslesen und ändern. Theoretisch können die Geräte auch für eigene Internet-Telefonate genutzt werden. Durch eine Änderung der Verbindungs-Einstellungen könnten sie - mit erheblichem Aufwand - aber auch die Nutzer auf gefälschte Websites lotsen und ihnen dort Einwahl-Daten wie Passwörter oder eventuell Kreditkarten-Informationen abknöpfen.

Wie sicher sind die übermittelten Daten?

Der Datenverkehr wird immer mehr standardmäßig mit sogenannter Ende-zu-Ende-Verschlüsselung geschützt. Damit sind die Informationen im Klartext nur auf dem Computer oder Smartphone des Nutzers und dem Zielpunkt sichtbar - also zum Beispiel dem Gerät eines Gesprächspartners oder dem Server eines Online-Händlers bzw. einer Bank. Wird diese Verschlüsselung ordnungsgemäß umgesetzt, können die Informationen unterwegs nicht abgegriffen werden, auch nicht im Router. Zugleich könnten die Angreifer mit zusätzlichen Anstrengungen aber auch unter Umständen einige ungeschützte Telefonate abhören, warnen Branchenexperten.

Wie kann man solche Angriffe verhindern?

Experten fordern inzwischen auch für Heimelektronik zunehmend spezielle Gütesiegel oder generelle Verpflichtungen für Hersteller und Anbieter, ihre Geräte auf einem bestimmten Sicherheitsstandard zu halten. Die Hersteller müssten Sicherheitseinstellungen bereits beim Design ihrer Geräte maßgeblich mitberücksichtigen, sagt etwa Thorsten Urbanski von G Data. Bei vielen Geräten würden vielfach Standard-Passwörter gesetzt, die von den Nutzern dann nicht geändert werden. Angreifer hätten damit ein leichtes Spiel.