Schwachstelle ausgenutzt „Spiderman“ legte Telekom-Router lahm - Prozess beginnt

Köln (dpa) - Er legte massenweise Internet- und Telefonanschlüsse von Telekom-Kunden lahm: Rund acht Monate nach einem groß angelegten Cyber-Angriff auf Router der Deutschen Telekom beginnt am Freitag in Köln der Prozess gegen den mutmaßlichen Hacker.

Foto: dpa

Der 29-Jährige ist nach Angaben eines Landgerichts-Sprechers wegen versuchter gewerbsmäßiger Computersabotage angeklagt.

Der Mann soll Ende November vergangenen Jahres „Speedport“-Router über eine Schwachstelle angegriffen haben, um die Kontrolle über sie zu erlangen. Ziel sei es gewesen, sie zum Teil eines sogenannten Botnets zu machen.

Solche Netzwerke aus für ihre Nutzer unbemerkt zusammengeschalteten Computern oder anderen Elektronik-Geräten können zum Beispiel Spam-Mail verschicken. Das sei zwar nicht gelungen. Jedoch führte die Attacke dazu, dass bei rund 1,25 Millionen Telekom-Kundenanschlüssen die Router ausfielen. Dadurch sei dem Unternehmen ein Schaden von mehr als zwei Millionen Euro entstanden.

Die Ermittler seien dem Angeklagten vor allem durch Datenanalysen der Telekom und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) auf die Schliche gekommen, sagte der Gerichtssprecher. Durch technische Auswertungen konnten die Domains der Command- und Controlserver ermittelt werden. Der Hacker hatte sich unter den Namen „Peter Parker“ und „Spiderman“ registriert. „Diese Daten ließen sich auf E-Mail-Adressen zurückführen, die letztlich dem Angeklagten zugeordnet werden konnten.“

Die Behörden schrieben den Briten, der zuletzt seinen Wohnsitz auf Zypern hatte, international zur Fahndung aus. Am 22. Februar wurde er in London festgenommen und einen Monat später im Zuge des vereinfachten Auslieferungsverfahrens nach Deutschland überstellt - seitdem sitzt er hier in Untersuchungshaft. Nach Erkenntnissen der Ermittler hatte er bei dem Router-Angriff keine Mittäter. Bei den Vernehmungen habe der Mann, der nicht vorbestraft sei, sich „weitgehend geständig“ geäußert.

Seine Programmierkenntnisse hat sich der gebürtige Londoner offenbar überwiegend selbst beigebracht - er habe sich seit seiner Kindheit mit Computern beschäftigt, aber keine entsprechende Ausbildung absolviert, sagte der Gerichtssprecher. Der Mann habe für verschiedene Auftraggeber freiberuflich im IT-Bereich gearbeitet.

Für den Prozess hat das Kölner Landgericht zwei Verhandlungstage angesetzt. Der Strafrahmen für versuchte gewerbsmäßige Computersabotage liegt nach Angaben des Sprechers bei einer Freiheitsstrafe zwischen sechs Monaten und zehn Jahren. Ein Urteil könnte am 28. Juli gesprochen werden.

Die Attacke hatte damals auch die Politik aufgeschreckt, die eine engere Zusammenarbeit mit Unternehmen einforderte. Vereinzelt gab es auch Spekulationen, es könne sich um einen politisch motivierten Angriff von Hackern mit russischer Herkunft handeln. Telekom-Chef Timotheus Höttges plädierte für eine „Nato für das Internet“ und erklärte, dass der Angriff schlimmere Folgen hätte haben können: „Wir haben noch Glück im Unglück.“ Die Schadsoftware hatte einen einfachen Neustart der Geräte nicht überlebt.

Bei der Attacke wurde eine Schwachstelle in den Routern der Telekom ausgenutzt. Die Geräte, die zum Beispiel einen Haushalt mit dem Internet verbinden, haben Software-Schnittstellen, über die sie der Netzbetreiber zur Wartung ansprechen kann. Eine davon, der „Port 7547“, wurde als Einfalltor für die Schadsoftware genutzt. Der Port hätte eigentlich nur auf Anfragen aus dem Computersystem des Netzbetreibers reagieren dürfen. Er öffnete sich aber auch für den Angriff. Der Versuch, auf den Routern weitere Software zu installieren, scheiterte jedoch.

Wäre die Attacke komplett geglückt, hätte sie laut Experten die weitgehende Kontrolle über die Router gebracht. So hätte man als Angreifer WLAN-Passwörter auslesen und ändern können oder theoretisch auch die Geräte für eigene Internet-Telefonate nutzen. Durch eine Änderung der Verbindungs-Einstellungen hätte man - wenn auch mit erheblichem Aufwand - die Nutzer auf gefälschte Websites lotsen und ihnen dort Einwahl-Daten wie Passwörter oder eventuell Kreditkarten-Informationen abknöpfen können.