Deutsche Telekom BSI bestätigt Hacker-Angiff auf Router

Kein Internet, kein Telefon, kein TV: Das BSI bestätigt, dass es eine Hacker-Attacke auf rund 900.000 Telekom-Router gegeben hat. Mehr als die Hälfte von ihnen ist laut Unternehmen inzwischen wieder am Netz.

  • Teilen per:
  • Teilen per:
Telefon- und Netzwerkkabel in einem Telekom-Router. Quelle: dpa

Das Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt, dass es sich bei der Störung von rund 900.000 Internet-Routern der Deutschen Telekom um einen Hackerangriff gehandelt hat. Das BSI „ordnet diesen Ausfall einem weltweiten Angriff auf DSL-Routern zu. Dieser erfolgte, um die angegriffenen Geräte mit Schadsoftware zu infizieren.“ Neben den Geräten der Telekom seien auch das vom BSI geschützte Regierungsnetz angegriffen worden. Diese Angriffe blieben aber folgenlos.

Bei der Telekom dagegen kam es seit Sonntagnachmittag zu massiven Störungen. Inzwischen allerdings ist mehr als die Hälfte der betroffenen Router wieder am Netz. Das sagte ein Sprecher der Telekom unserer Redaktion. Schon am Morgen hatte die Telekom gemeldet: „Wir haben Hinweise darauf, dass wir möglicherweise Opfer eines Hacker-Angriffs geworden sind.“ Konkret spreche sowohl die Begrenzung auf einzelne Gerätetypen als auch die regionale Verteilung der Ausfälle für die Hypothese, „dass wir möglicherweise Opfer eines Hacker-Angriffs geworden sind“.

Router dienen der Einwahl ins Netz der Telekom und ermöglichen damit Telefonie, den Internetzugang und auch den Online-Fernsehempfang.

Vom Freud und Leid der T-Aktionäre
Anfang 1995 und 18. November 1996 Quelle: dpa
28. Juni 1999 Quelle: dpa
06. März 2000 Quelle: Screenshot
17. April 2000 Quelle: dpa/dpaweb
19. Juni 2000 Quelle: dpa
31. Juli 2000 Quelle: dpa
21. Februar 2001 Quelle: dpa

Aktuell sucht der Bonner Konzern noch nach der genauen Ursache der Störung. „Es gibt kein klares Fehlerbild: Manche erleben zeitweise Einschränkungen oder sehr starke Schwankungen in der Qualität, es gibt aber auch Kunden bei denen derzeit gar nichts geht“, so das Unternehmen auf seiner Support-Seite. Aufgrund des Fehlerbildes sei nicht auszuschließen, „dass auf Router der genannten Typen gezielt Einfluss von außen genommen wurde, so dass sie sich nicht mehr im Netz anmelden können.“

Fest steht mittlerweile, dass nur die Geräte eines der Hersteller betroffen sind, die die von der Telekom unter dem Namen Speedport vertriebenen Router bauen. Konkret handelt es sich nach Informationen aus dem Netzbetreiberumfeld um vom taiwanischen Hersteller Arcadyan für die Telekom produzierte Speedport-Modelle ab dem Typ W721. Nach der WirtschaftsWoche vorliegenden Störungsmeldungen sollen zudem mindestens auch Geräte der Modellreihen W921 und W922 betroffen sein.

Ein Sprecher der Telekom wollte sich auf Anfrage nicht auf einzelne Gerätetypen festlegen. Zumindest für den Speedport W921V stellt das Unternehmen auf seiner Support-Seite aber bereits ein Software-Update bereit, nach dessen Installation die Einwahl ins Netz wieder funktionieren solle. Das Unternehmen rät betroffenen Kunden, den Router vom Netz zu trennen, eine Zeit lang zu warten und dann wieder einzuschalten.

Nach dem Software-Update im Telekom-Netz könnten sich viele Router nach dem Neustart wieder einwählen. Das spricht dafür, dass der Arbeitsspeicher der Geräte befallen ist. Werden die betroffenen Router lang genug vom Netz abgeklemmt, sodass sie sich zurücksetzen können, tritt der Fehler nach Neustart und -synchronisation nicht mehr auf. Teils, berichten Speedport-Nutzer, müssten sie allerdings mehrere Neustarts durchführen, bis die Verbindung wieder stabil sei.

Software-Update soll Telekom-Router wieder online bringen

Als Schwachstelle und Angriffsziel für Hacker identifizierte das BSI ausgewählte Fernverwaltungsports in den Routern. Im Fall der Speedports ist das das sogenannte "Easy-Support-Modul", eine Software, mit deren Hilfe die Telekom, die Geräte aus der Ferne konfigurieren kann. Der Zugriff erfolge über eine "TR69" genannte Software-Schnittstelle, in der Sicherheitsexperten in der Vergangenheit schon Schwachstellen gefunden hatten, wie heise.de meldet. Nach Angaben aus der Netzwerkszene seien die betroffenen Router nach unberechtigten Zugriffen auf das TR69-Modul instabil geworden, beziehungsweise hätten sich in der Kommunikation mit dem Telekom-Netz ungewöhnlich verhalten.

Die eigene Infrastruktur sei nicht gestört, sondern die Identifizierung der Router bei der Einwahl, sagte der Sprecher. Das deutet darauf hin, dass der Selbstschutz des IT-Netzes der Telekom funktioniert hat und die manipulierten Router deswegen nicht mehr ins Netz kommen. Parallel zum Update der Router aktualisiere das Unternehmen aber auch Software in den Netzzugängen, um die Einwahl wieder zu stabilisieren, heißt es beim Bonner Kommunikationsriesen.

Vereinzelte Störungen gibt es in den Netzen von Telekommunikationsanbieter häufig. So können etwa bei Bauarbeiten Kabel beschädigt werden und damit im ungünstigen Fall auch ganze Regionen von der Versorgung trennen. Massive Ausfälle sind hingegen eher selten. Die Bestätigung einer Hacker-Attacke von außen, verleiht solcherlei Ausfällen nun eine ganz neue Dimension.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%