Urheber steht noch nicht fest Experten: Angriff auf Telekom-Router glimpflich verlaufen
Berlin (dpa) - Die Deutsche Telekom und ihre Kunden sind bei der jüngsten Attacke auf die „Speedport“-Router offenbar mit einem blauen Auge davongekommen.
„Sie können ja sagen, dass es schlimm war, dass 900 000 Router ausgefallen sind. Sie können aber auch sagen: Es ist gut, dass nicht noch Schlimmeres passiert ist“, betonte Bundesinnenminister Thomas de Maizière. Die Geräte der Telekom waren laut Bundesamt für Sicherheit in der Informationstechnik (BSI) durch einen weltweit angelegten Hackerangriff lahmgelegt worden.
Wer hinter der Attacke stand und welchen Zweck die Angreifer verfolgten, ist weiterhin nicht abschließend geklärt. Das BSI werde als zuständige Behörde alles daran setzen herauszubekommen, woher die Angriffe kamen, sagte Bundeskanzlerin Angela Merkel (CDU). „Das ist naturgemäß nicht einfach.“ Solche Cyber-Angriffe gehörten jedoch heute zum Alltag. „Wir müssen lernen, damit umzugehen.“
De Maizière wollte zu den möglichen Angreifern keine Spekulationen anstellen. „Im Moment steht der genaue Urheber noch nicht fest“, sagte de Maizière. Viele Experten gehen allerdings davon aus, dass es bei solchen Attacken in der Regel unmöglich ist, mit letzter Gewissheit eine Spur zu verfolgen, die eindeutig zum Angreifer führt.
Klar scheint nach Meinung von Experten dagegen, dass die Attacke durch Stümperei der Angreifer nicht noch mehr Schaden angerichtet hat. Wäre die Schadsoftware besser programmiert worden, wären die Folgen des Angriffs noch viel schlimmer gewesen, sagte ein Telekom-Sprecher im RBB-Inforadio am Dienstag. Im aktuellen Fall hatte in der Regel ein Neustart der Router gereicht, um sie wieder funktionsfähig zu machen.
Nach ersten Analysen ist der eingeschleuste Schadcode mit dem bekannten Botnet-Code Mirai verwandt, berichtete die IT-Sicherheitsfirma Kaspersky Lab. Ziel sei wahrscheinlich gewesen, die Router mit einem Botnetz zu verbinden, das Online-Kriminelle gewöhnlich für ihre Zwecke, etwa Erpressung, Spam-Versand oder gezielte Angriffe auf andere Rechner missbrauchen.
Wie Stefan Ortloff von Kaspersky erklärte, wurde der Schadcode durch eine Sicherheitslücke im Router eingeschleust. Doch die Software sei offenbar nicht in der Lage gewesen, sich selbst in das Dateisystem zu schreiben. Deshalb habe sie einen Neustart nicht überlebt.
Andernfalls wäre der Angriff völlig unbemerkt geblieben, sagte Ammar Alkassar, IT-Sicherheitsexperte bei Rohde & Schwarz Cybersecurity. Gewöhnlich würden solche Botnetze aufgebaut und dann erst einmal schlafen gelegt. Nach einer Weile würden sie dann je nach Intention für politische oder schlicht kriminelle Zwecke genutzt.
Niedersachsens Innenminister Boris Pistorius (SPD) zeigte sich am Dienstag „sehr besorgt“. Wenn die Telekom Opfer eines solchen Angriffs werden könne, müsse „jedem klar werden, wie aktuell und alltäglich die Gefahr ist“. Bei der Sicherheit der IT-Infrastruktur müssten die Deutschen „eindeutig nachlegen“, sagte er.
Das BSI forderte schärfere Sicherheitsstandards im Internet der Dinge. „Je vernetzter die Welt ist und je allgemeiner Massenprodukte wie Router weltweit baugleich im Netz eingesetzt werden, desto verwundbarer sind unsere Netz-Infrastrukturen“, sagte BSI-Präsident Arne Schönbohm der „Welt“. Schönbohm plädierte auch für Sicherheits-Gütesiegel vor allem für DSL-Router asiatischer Anbieter wie Arcadyan - die Firma gilt als Hersteller der betroffenen „Speedport“-Router der Telekom. Auch eine Verpflichtung der Hersteller, zeitnah und regelmäßig Sicherheitsupdates aufzuspielen, könne die Sicherheit stärken.
Noch immer sei das Bewusstsein für die potenziellen Gefahren nicht groß genug, sagte Alkassar. Das führe dazu, dass die Sicherheit nicht hoch genug priorisiert werde. Alkassar plädierte für klarere Verantwortlichkeiten und Haftungsregeln.
Die Schadsoftware Mirai ist Sicherheitsexperten bereits bekannt. Ihre Spezialität ist, sich vorzugsweise in Verbrauchergeräte wie Router oder andere, privat genutzte vernetzte Elektronik einzuschleusen, um sie kapern und zum Teil eines ferngesteuerten Netzes zu machen. Zuletzt hatten Kriminelle Mirai-Botnetze mit fast einer halben Million verbundener Geräten im Netz zur Miete angeboten, wie vergangene Woche das Fachportal „heise online“ berichtete.
Grundsätzlich seien Angriffe gegen bestimmte Router-Modelle nichts Neues, sagte Tim Berghoff von G Data. Bereits 2014 habe es einen Angriff auf die Router von Heimanwendern gegeben, der dazu führte, dass ohne Wissen des Inhabers Premium-Telefonnummern gewählt wurden und damit hohe Kosten für den Anschlussinhaber verursachten.