Die Security-Spezialisten schneiden den Datenverkehr an den Test-Routern mit, die die Telekom selbst betreibt, protokollieren die Aufrufe aus dem Netz, analysieren den Code, den zigtausende Computer aus dem ganzen Internet im Minutentakt an die Netzwerkgeräte senden – und haben kurz nach 18 Uhr am Sonntagabend Klarheit: „Das ist der Angriff eines Botnetzes – und wir stehen mitten im Dauerfeuer.“
Um die Angriffe mitschneiden zu können, betreiben IT-Sicherheitsdienstleister, aber auch die Kommunikationskonzerne selbst speziell präparierte Computersysteme, die sie – gegen Angriffe ungeschützt, aber mit Analyseprogrammen gespickt – mit dem Internet verbinden, von ihrer eigenen Infrastruktur aber strikt abkoppeln. „Honeypot“, Honigtopf heißen sie, weil sie auf Hacker und ihre Schadprogramm wie leichte Beute wirken, daher kontinuierlich angegriffen werden und den Sicherheitsanalysten dabei einen genauen Blick darauf ermöglichen, welche Attacken im Netz gerade gefahren werden – und auf welche Schwachstellen sie abzielen.
Die Attacke, das wird beim Studium des mitgeschnittenen Netzwerkverkehrs und der übermittelten Befehlsketten klar, greift genau da an, wo „Kenzo2017“ Anfang November die Schwachstelle der irischen Router gefunden hat. Die Hacker versuchen, über das Fernwartungsmodul der Router ins Betriebssystem der Geräte zu gelangen.
Unverletzbar – und doch betroffen
Die Bonner Experten wissen um die Schwachstelle, haben sie schon kurz nach Bekanntwerden ausgewertet, und an Testgeräten geprüft, ob die Router im Netz genauso anfällig sind, wie jene Geräteserie in Irland. Und sie haben befunden, dass die eigene Technik nicht anfällig sei. Soweit die Theorie. Warum also fallen die Router an diesem Sonntag trotzdem zu Hunderttausenden aus? In Bonn macht sich nach Stunden der Suche Ratlosigkeit breit.
Was sich abzeichnet ist, dass es ausschließlich Geräte eines Herstellers sind, von dem die Telekom einen Teil ihrer Router fertigen lässt. Besonders häufig sind Kunden betroffen mit den Modellen W 921 v, W 922 v, aber auch Modelle der W 700er-Serie schalten sich ab, Modelle der 500er-Serie – allesamt vom taiwanischen Zulieferer Arcadyan. Aber was haben sie gemeinsam, dass sie unter dem Dauerfeuer der Angriffe aus dem Netz ausfallen. Und bei mehr als 20 Millionen anderen Telekom-Kunden die Geräte ohne Störung weiter funktionieren.
Auch tief in der Nacht wird das Bild nur graduell klarer. Egal an welchem ihrer Router die Telekom-Spezialisten den Angriffsversuch nachzuvollziehen versuchen, zeigt es sich zwar, dass es der Schadsoftware nicht gelingt, sich auf den Routern einzunisten – soweit also scheint der Schutz er Technik zu funktionieren. Aber warum zum Teufel, bekommen die Kisten wenige Minuten nach dem Einschalten und dem Anschluss ans Telekom-Netz so etwas wie einen digitalen Schluckauf, bekommen Aussetzer, kommen beim Datenverkehr nicht mehr mit … und schalten sich nach rund einer halben Stunde in vielen Fällen einfach ab.
Das Gute im Schlechten
Tschersich und seine Truppe suchen fieberhaft nach Erklärungsansätzen und kommen nicht recht voran. Einzig, dass sich offenbar auf keinem der Testsysteme wirklich ein Schadprogramm einnisten kann, verschafft dem Sicherheitsstab eine Spur von Erleichterung. Selbst im größten Sturm, so ihre Erkenntnis, könnte es immer noch ein gutes Stück schlimmer kommen. Kommt es aber derzeit zum Glück offenbar nicht.
Trotzdem herrscht am frühen Montagmorgen weiter Rätselraten. Die Telekom-Sicherheit gleicht die Erkenntnisse mit den Experten beim Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) ab. Auch dort – nahezu in Sichtweite von der Telekom-Konzernzentrale an der Friedrich-Ebert-Allee – rätseln die Experten, warum genau die Router streiken. Und auch beim BSI haben „Honeypots“ den Cybersturm aus dem Netz bemerkt und ausgewertet.