Anfang November hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht zur Lage der IT-Sicherheit in Deutschland davor gewarnt, dass sich Hacker zum Angriff auf kritische Infrastrukturen rüsten. Es wurden "geeignete Massnahmen zum Schutz vor Angriffen auf unsere digitale Infrastruktur" beschlossen, wie es heisst. Doch wieder einmal war die Cyberkriminalität schneller als die IT-Industrie. In diesem Fall war das Opfer kein geringerer als die Deutsche Telekom. Seit Sonntag dauern die DSL-Störungen an. 900.000 Kunden sind von einem grossangelegten Hackerangriff auf bestimmte Router der Telekom betroffen. Es sind drei Modelle: Speedport W 921V, Speedport W 723V Typ B und Speedport W 921 Fiber, wie die Telekom meldet.
Nach allem, was man derzeit weiss, konnte die Schadsoftware zwar nicht in die Netzwerke der Opfer eindringen und deren Computer infizieren. Viele Router jedoch können keine Verbindung mehr zum Internet herstellen. Daher funktionieren auch keine IP-Telefone und kein Internet-Fernsehen im DSL-Netz der Telekom. Der Carrier hat mittlerweile Updates ausgerollt, um Sicherheitslücken in den Routern der Kunden zu schliessen und die Verbindungen wieder herzustellen.
Experten zufolge haben die Hacker schlampig programmiert, denn ihre Schadsoftware stürzte ab, was auch der Grund für den Ausfall der Router sein soll. Hätte der Angriff aber geklappt, hätten die Kriminellen die Kontrolle über rund eine Million DSL-Router der Telekom übernommen und sie zum Teil eines riesigen Botnetzes wiederum für Cyberangriffe machen können. Die Kunden hätten womöglich keine Ahnung davon gehabt, dass Hacker die Kontrolle über ihre Router übernehmen.
Schlimmer noch: Wäre der Angriff geglückt, wären Hacker in der Lage gewesen, persönliche Daten wie etwa Kreditkarteninformationen oder Login-Daten zu Internetdiensten abzugreifen oder ohne Wissen des Opfers Verbindungen zu teuren Premium-Telefonnummern aufzubauen. Die Kosten für solche Telefonverbindungen tauchen dann in der Telefonrechnung auf. Nach Einschätzung von Sicherheitsexperten von G Data ist der jetzt bekannt gewordene Angriff aber nur die Spitze des Eisbergs. "Mit Angriffen auf Router und IoT-Geräte wird zukünftig verstärkt zu rechnen sein", sagt Tim Berghoff, Security Evangelist bei G Data.
BSI-Chef Arne Schönbohm spricht von einem Cyberangriff der organisierten Kriminalität auf ausgewählte Fernverwaltungsports von DSL-Routern. Die Hacker hatten es konkret auf den Port 7547 abgesehen. Dieser Port wird eigentlich vom Carrier für Fernwartungen der Router genutzt. Der Taiwanische Router-Hersteller für die Telekom, Arcadyan, soll ein Standardpasswort verwendet haben. über spezielle Suchmaschinen ist es Experten zufolge ein Leichtes, solche Standard-Passwörter für offene Ports herauszufinden.
Laut Spiegel-Online soll ein Telekom-Kunde bereits 2014 in einem Telekom-Forum den Carrier auf die Sicherheitslücke aufmerksam gemacht und gebeten haben, die Schwachstelle zu beseitigen. Passiert ist aber offensichtlich nichts.
Bildquelle: Deutsche Telekom
