Der Hackerangriff auf rund 900 000 Router von Telekom-Kunden ist vergleichsweise glimpflich verlaufen. Was hätten die gravierenden Folgen sein können? Und was sollten die Nutzer von Routern jetzt tun? Die wichtigsten Fragen und Antworten.
Was ist passiert?
Stuttgart - Ein Hackerangriff hat seit dem Wochenende rund 900 000 Router von Telekom-Kunden gestört. Betroffen waren oder sind die Router Speedport W 921 V, Speedport W 723 V Typ B und Speedport W 921 Fiber, teilte das Unternehmen auf seiner Internetseite mit. Sie werden von der taiwanesischen Firma Arcadyan produziert. Weil die Router keine Verbindung zum Internet aufnehmen konnten, fielen bei den Kunden Internet, Telefon und der Videodienst Entertain aus. Die Telekom hat in der Zwischenzeit eine Software auf die Router gespielt, die das Problem behebt, heißt es. Wer den Router eine knappe Minute vom Netz trennt und dann wieder verbindet, lädt die Software automatisch in den Router und hat wieder eine Internetverbindung.
Gibt es Schäden nach der Hacker-Attacke?
„Der Angriff war nicht erfolgreich, die Router wurden nicht infiziert“, sagte ein Sprecher. Kundendaten seien bei dem Hackerangriff nicht gestohlen worden. Laut Telekom ist nach dem Software-Update der Router wieder voll funktionstüchtig und nicht gefährdet.
Wie funktioniert ein Router?
Router sind Steuerzentralen für den Internetverkehr. Sie ermöglichen es unter anderem, dass mehrere Geräte gleichzeitig über einen Internetanschluss benutzt werden können, zum Beispiel Laptop, Smartphone, Smart-TV oder die Alarmanlage. Bei der Kommunikation über das Internet sind die so genannten Ports wichtig, über die der Datenverkehr gesteuert wird. Jeder Rechner hat 65 536 Ports. Manche Router bieten auf Port 7547 einen Dienst an, der eine Fernwartung ermöglicht, um zum Beispiel Softwareupdates einzuspielen.
Warum haben die Hackerangriffe nur Telekom-Router betroffen?
Bei den Speedport-Routern der Telekom konnten die Hacker eine Sicherheitslücke auf Port 7547 ausnutzen. Adrian Vollmer, der beim Tübinger Sicherheitsspezialisten SySS auch die Sicherheit von Routern testet, spricht von einem „massiven Sicherheitsmangel“. „Die Telekom hätte die Router so konfigurieren müssen, dass sie nur von den eigenen Servern erreichbar gewesen wären und nicht von der ganzen Welt aus – das hätte nicht passieren dürfen.“ Vollmer kritisiert, dass die Schwachstelle schon seit drei Wochen bekannt war, aber nicht rechtzeitig behoben wurde. Ein Sprecher der Telekom widerspricht: „Das aktuelle Problem war mit dem Fall, der vor ein paar Wochen in Irland bekannt geworden ist, nicht identisch.“
Warum waren die Angreifer offenbar nicht erfolgreich?
Die Angreifer haben wohl versucht, über die Schwachstelle des Routers Schadsoftware einzuschleusen. Offenbar war sie aber nicht raffiniert genug programmiert, und der Schadcode konnte nicht in die Routerdateien eingeschrieben werden. Dadurch wurden die an den Router angeschlossenen Geräte wie Fernseher und Telefon vom Internet getrennt, weshalb der Angriff überhaupt erst auffiel. Bei einer besser programmierten Software hätten die Telekom-Kunden die Attacke nicht bemerkt. Das heißt, die Telekom hat schlichtweg Glück gehabt.
Was hatten die Hacker vor?
Die angegriffenen Router sollten wohl Teil eines Botnetzes werden, heißt es beim deutschen Sicherheitsdienstleister G-Data. Ein Botnetz nutzt gekaperte internetfähige Geräte wie Router, Laptop oder Babyfon, um konzertierte Angriffe zu starten. Beispielsweise werden massenhaft Spam-Mails verschickt oder Webseiten von Online-Warenhäusern lahmgelegt.
Woher kamen die Angreifer?
Das steht nicht fest. Dass der Angriff aus Russland gekommen sein könnte, ist Spekulation. Der Schadcode, der auf die Router aufgespielt werden sollte, ist laut IT-Sicherheitsexperten mit dem bekannten Schädling Mirai verwandt. Zuletzt hatten Kriminelle Mirai-Botnetze mit fast einer halben Million verbundener Geräten im Netz zur Miete angeboten. Internetkriminelle agieren wie in einer Marktwirtschaft – nur verdeckt. So bieten sie auch Geräte, Expertise oder gar den Komplettservice für Internetattacken an.
Was würde passieren, wenn ein Angriff auf einen Router erfolgreich wäre?
Dann können die Angreifer die Sicherheitslücke so ausnutzen, dass sie am Ende den gesamten Router manipulieren können, sagt Tim Berghoff, Sicherheitsexperte bei G-Data. Sie leiten dann zum Beispiel den gesamten Datenverkehr über einen Server, der unter der Kontrolle des Angreifers steht. Dies wiederum ermöglicht es, persönliche Daten in großem Stil zu stehlen, wie Zugangsinformationen für Firmennetzwerke, Login-Daten für soziale Netzwerke, Onlineshops oder E-Mailkonten. Auch der Diebstahl von Kreditkartendaten wird damit möglich. Im schlimmsten Fall können weitere Geräte wie Alarmanlage oder Babyfone von den Hackern gesteuert werden.
Die Router werden meist in Taiwan oder China produziert. Sind sie sicher genug?
Wenn die Provider wie die Deutsche Telekom oder Unitymedia Router einkaufen, dann gehe Preis vor Sicherheit, kritisiert SySS-Geschäftsführer Sebastian Schreiber. „Die Provider sollten dabei das Thema Sicherheit deutlich stärker gewichten. Ich bin davon überzeugt, dass noch etliche andere Router mit anderen Schwachstellen angreifbar sind.“ Unitymedia und Telekom widersprechen. „Wir halten uns bei den Routern klar an die Anforderungen, die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) formuliert wurden und lassen die Geräte regelmäßig testen“, sagt ein Unitymedia-Sprecher. „Wir sehen keinen grundsätzlichen Zusammenhang zwischen Produktionsstandorten und Sicherheitsstandards“, heißt es bei der Telekom.
Wie soll man seinen Router schützen?
Um den eigenen Router besser vor fremden Zugriffen zu schützen, sollten die voreingestellten Passwörter immer geändert werden, rät G-Data. BSI-Experten empfehlen ein komplexes Passwort von mindestens 20 Zeichen. Nutzer sollten ihrem W-LAN einen neuen Namen geben, weil der voreingestellte oft Herstellernamen und Gerätetyp enthält – damit können Angreifer bekanntgewordene Sicherheitslücken ausnützen. Der neue Namen sollte möglichst abstrakt gehalten sein. Wird die Aktualisierung der Firmware, die das Gerät steuert, nicht automatisch durchgeführt, muss der Benutzer aktiv werden. Die entsprechende Installationsdatei kann in der Regeln von der Webseite des Herstellers heruntergeladen werden.