Und der liegt an einer ganz anderen Stelle im System, als es bisher den Anschein hatte. Nein, es gelangt keine Schadsoftware in die Geräte. Nein, sie stürzen nicht ab, weil „schlampig programmierter Hacker-Code“ die Router crashen lässt, wie das BSI-Chef Arne Schönbohm zwischenzeitlich (und offenbar auf Hinweise aus der Telekom hin) öffentlich kommentiert. Im Grunde arbeitet das Fernwartungsmodul in den Router sogar standardkonform.
Wie vorgesehen, nehmen die Geräte nur den – auch vom Mirai-Netz simulierten – Hinweis aus dem Netz zur Kenntnis, dass es offensichtlich so etwas wie ein Softwareupdate gibt. Wie vorgeschrieben beenden sie dann die Kommunikation mit dem Informanten – der im Normalfall der Netzbetreiber wäre, oder eventuell der Hersteller des Geräts, seit Sonntag aber im Minutenabstand irgendein von Mirai gekaperter Rechner oder Router irgendwo auf der Welt ist. Stattdessen kontaktieren die Speedports die Service-Computer der Telekom, von denen sie glauben, dass diese das angekündigte Update ausliefern wollen – und laufen dabei ins Leere. Denn dort liegt ja nichts, weil der Wartungsimpuls ja von Mirai stammt.
Und genau da tut sich offenbar ein winziger, aber folgenschwerer Programmfehler in Hundertausenden Arcadyan-Routern auf. Denn statt die Verbindung zum Wartungsserver wieder zu kappen, wie ein Telefonat aufzulegen, bei dem der Angerufene nicht abhebt, lassen die Geräte die Verbindung zum Telekom-Rechenzentrum aktiv.
Zu viele Telefonhörer am Ohr
Das wiederholt sich, mit jedem neuen Kontaktversuch eines von Mirai gekaperten Systems. Bildlich gesehen klemmt sich der Router einen Telefonhörer nach dem andern unters Ohr. Einmal, zweimal, zehnmal, teils minütlich – bis die Software der Router die Vielzahl der gleichzeitig aufgebauten Verbindungen zum Wartungssystem der Telekom nicht mehr handhaben kann … und den Anschluss ans Telekom-Netz komplett kappt. In Spitzenzeiten bei 900.000 Kunden.
Den Router zwischenzeitlich vom Netz zu trennen und nach kurzer Reset-Pause wieder anzustöpseln, löst das Problem daher auch nur vorübergehend. Denn weil der globale Angriff von Mirai auch am Montag und Dienstag mit unverminderter Vehemenz anhält, wiederholen sich auch die Aussetzer der Geräte immer weiter, bis die Telekom den fehlerhaften Aufbau der parallelen Verbindungen durch eine Reparatur der Router-Software unterbindet.
Diese Branchen sind am häufigsten von Computerkriminalität betroffen
Der Branchenverband Bitkom hat Anfang 2015 in 1074 Unternehmen ab 10 Mitarbeitern danach gefragt, ob das jeweilige Unternehmen innerhalb der letzten zwei Jahre von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen war. Gut die Hälfte der befragten Unternehmen gaben an, tatsächlich Opfer von IT-gestützter Wirtschaftskriminalität geworden zu sein.
Quelle: Bitkom/Statista
Stand: 2015
Im Handel wurden 52 Prozent der befragten Unternehmen in den vergangenen zwei Jahren Opfer von Cyber-Kriminalität.
58 Prozent der befragten Unternehmen in der Medien- und Kulturbranche gaben an, in den letzten zwei Jahren Computerkriminalität erlebt zu haben. Ebenso viele Unternehmen aus der Gesundheitsbranche klagten über IT-Kriminalität.
Das Finanz- und Versicherungswesen ist ein lohnendes Ziel für Hacker, Wirtschaftsspione und Datendiebe: 60 Prozent der befragten Unternehmen konnten von Datendiebstahl oder ähnlichem während der vergangenen zwei Jahre berichten.
Fast zwei Drittel der Unternehmen der Chemie- und Pharmabranche hatten in den vergangenen zwei Jahren mit Datendiebstahl, Wirtschaftsspionage oder Sabotage zu kämpfen.
Auf Platz 1: Der Automobilbau. 68 Prozent der Autobauer klagten über Wirtschaftskriminalität in Form von Datendiebstahl, Wirtschaftsspionage oder Sabotage.
Zwei Monate warten? Geht nicht!
Das Problem: Im Normalfall dauert die Fehlerprüfung eines Software-Updates für systemkritische Geräte – also auch für Router – bei der Telekom zwei bis drei Monate. Die Zeit aber hat unter dem Dauerfeuer aus dem Netz in Bonn niemand. Die Lösung liegt in einer Abkürzung. Statt das komplette Update auf alle denkbaren Fehler zu überprüfen, nehmen sich die Qualitätstester nur den Reparatur-Code für das Wartungsmodul vor und prüfen die Verträglichkeit der neuen Programmzeilen mit Gerät und Netz.
Das verkürzt den Prozess drastisch: Am Montagmorgen, rund zwölf Stunden nach dem Beginn des Angriffs legen die Entwickler von Arcadyan und die Service-Spezialisten der Telekom das Software-Update für die ersten Speedport-Router auf ihre Update-Server. Wenn die sich nach einem Neustart erstmals mit dem Netz der Telekom zu verbinden versuchen, werden sie mit der Wartungssoftware versorgt und aktualisiert.
Alle anderen Signale aus dem Netz an die auch für Updates zuständige Router-Schnittstelle – beispielsweise Informationen über die genaue Uhrzeit, über die sogenannten Zeit-Server im Internet, die dort vernetzten Maschinen synchronisieren – filtern zusätzliche Schutzprogramme aus dem Datenstrom heraus, die Tschersichs Sicherheitsexperten inzwischen im Telekom-Netz aktiviert haben. „Das behindert zwar andere Online-Funktionen“, sagt einer der Spezialisten fast entschuldigend, „aber bis die gestörten Router wieder auf Trab sind, ist das das kleinere Übel.“
Mit jedem zusätzlichen Update, das die Telekom für weitere Routertypen bereit stellt, stabilisiert sich die Lage im Laufe des Montags und speziell am Dienstag weiter, weil es die Speedports so modifiziert, dass auch fortwährendes Dauerfeuer aus dem Mirai-Netz sie nicht mehr in die Knie zwingt. Am Mittwochnachmittag – mehr als drei Tage nachdem den Technikern im Netzkontrollzentrum die ersten Störungen auffielen – haben der Sicherheitschef und seine Spezialisten die Lage weitestgehend im Griff. „Bis auf ein paar zehntausend Router, die wir uns nun noch einzeln vornehmen, ist fast jeder Kunde wieder online.“
Der nächste Angriff wird noch stärker
Sie wissen aber auch: Selbst wenn der Betrieb im eigenen Haus wieder stabilisiert ist – es ist nur die Ruhe vor dem nächsten Sturm aus dem Netz. Denn rund um den Globus hat Mirai in der Zwischenzeit zigtausende neue Maschinen gekapert. Und die Waffe der Angreifer ist noch weit stärker, wenn „Kenzo2017“ oder irgendein anderer Technik-Spezialist die nächste Schwachstelle publizieren.
Es ist höchstens eine Frage der Zeit, bis es soweit ist.