Router-Hack Protokoll des Mega-Angriffs auf die Deutsche Telekom

Seite 2/4

Im Dauerfeuer der Hacker

Die Security-Spezialisten schneiden den Datenverkehr an den Test-Routern mit, die die Telekom selbst betreibt, protokollieren die Aufrufe aus dem Netz, analysieren den Code, den zigtausende Computer aus dem ganzen Internet im Minutentakt an die Netzwerkgeräte senden – und haben kurz nach 18 Uhr am Sonntagabend Klarheit: „Das ist der Angriff eines Botnetzes – und wir stehen mitten im Dauerfeuer.“

Um die Angriffe mitschneiden zu können, betreiben IT-Sicherheitsdienstleister, aber auch die Kommunikationskonzerne selbst speziell präparierte Computersysteme, die sie – gegen Angriffe ungeschützt, aber mit Analyseprogrammen gespickt – mit dem Internet verbinden, von ihrer eigenen Infrastruktur aber strikt abkoppeln. „Honeypot“, Honigtopf heißen sie, weil sie auf Hacker und ihre Schadprogramm wie leichte Beute wirken, daher kontinuierlich angegriffen werden und den Sicherheitsanalysten dabei einen genauen Blick darauf ermöglichen, welche Attacken im Netz gerade gefahren werden – und auf welche Schwachstellen sie abzielen.

Die Attacke, das wird beim Studium des mitgeschnittenen Netzwerkverkehrs und der übermittelten Befehlsketten klar, greift genau da an, wo „Kenzo2017“ Anfang November die Schwachstelle der irischen Router gefunden hat. Die Hacker versuchen, über das Fernwartungsmodul der Router ins Betriebssystem der Geräte zu gelangen.

Unverletzbar – und doch betroffen

Die Bonner Experten wissen um die Schwachstelle, haben sie schon kurz nach Bekanntwerden ausgewertet, und an Testgeräten geprüft, ob die Router im Netz genauso anfällig sind, wie jene Geräteserie in Irland. Und sie haben befunden, dass die eigene Technik nicht anfällig sei. Soweit die Theorie. Warum also fallen die Router an diesem Sonntag trotzdem zu Hunderttausenden aus? In Bonn macht sich nach Stunden der Suche Ratlosigkeit breit.

Die größten Hacker-Angriffe aller Zeiten
Telekom-Router gehackt Quelle: REUTERS
Yahoos Hackerangriff Quelle: dpa
Ashley Madison Quelle: AP
Ebay Quelle: AP
Mega-Hackerangriff auf JPMorganDie US-Großbank JPMorgan meldete im Oktober 2014, sie sei Opfer eines massiven Hackerangriffs geworden. Rund 76 Millionen Haushalte und sieben Millionen Unternehmen seien betroffen, teilte das Geldhaus mit. Demnach wurden Kundendaten wie Namen, Adressen, Telefonnummern und Email-Adressen von den Servern des Kreditinstituts entwendet. Doch gebe es keine Hinweise auf einen Diebstahl von Kontonummern, Geburtsdaten, Passwörtern oder Sozialversicherungsnummern. Zudem liege im Zusammenhang mit dem Leck kein ungewöhnlicher Kundenbetrug vor. In Zusammenarbeit mit der Polizei gehe die Bank dem Fall nach. Ins Visier wurden laut dem Finanzinstitut nur Nutzer der Webseiten Chase.com und JPMorganOnline sowie der Anwendungen ChaseMobile und JPMorgan Mobile genommen. Entdeckt wurde die Cyberattacke Mitte August, sagte die Sprecherin von JPMorgan, Patricia Wexler. Dabei stellte sich heraus, dass die Sicherheitslücken schon seit Juni bestünden. Inzwischen seien die Zugriffswege jedoch identifiziert und geschlossen worden. Gefährdete Konten seien zudem deaktiviert und die Passwörter aller IT-Techniker geändert worden, versicherte Wexler. Ob JPMorgan weiß, wer hinter dem Hackerangriff steckt, wollte sie nicht sagen. Quelle: REUTERS
Angriff auf Apple und Facebook Quelle: dapd
 Twitter Quelle: dpa

Was sich abzeichnet ist, dass es ausschließlich Geräte eines Herstellers sind, von dem die Telekom einen Teil ihrer Router fertigen lässt. Besonders häufig sind Kunden betroffen mit den Modellen W 921 v, W 922 v, aber auch Modelle der W 700er-Serie schalten sich ab, Modelle der 500er-Serie – allesamt vom taiwanischen Zulieferer Arcadyan. Aber was haben sie gemeinsam, dass sie unter dem Dauerfeuer der Angriffe aus dem Netz ausfallen. Und bei mehr als 20 Millionen anderen Telekom-Kunden die Geräte ohne Störung weiter funktionieren.

Auch tief in der Nacht wird das Bild nur graduell klarer. Egal an welchem ihrer Router die Telekom-Spezialisten den Angriffsversuch nachzuvollziehen versuchen, zeigt es sich zwar, dass es der Schadsoftware nicht gelingt, sich auf den Routern einzunisten – soweit also scheint der Schutz er Technik zu funktionieren. Aber warum zum Teufel, bekommen die Kisten wenige Minuten nach dem Einschalten und dem Anschluss ans Telekom-Netz so etwas wie einen digitalen Schluckauf, bekommen Aussetzer, kommen beim Datenverkehr nicht mehr mit … und schalten sich nach rund einer halben Stunde in vielen Fällen einfach ab.

Das Gute im Schlechten

Tschersich und seine Truppe suchen fieberhaft nach Erklärungsansätzen und kommen nicht recht voran. Einzig, dass sich offenbar auf keinem der Testsysteme wirklich ein Schadprogramm einnisten kann, verschafft dem Sicherheitsstab eine Spur von Erleichterung. Selbst im größten Sturm, so ihre Erkenntnis, könnte es immer noch ein gutes Stück schlimmer kommen. Kommt es aber derzeit zum Glück offenbar nicht.

Trotzdem herrscht am frühen Montagmorgen weiter Rätselraten. Die Telekom-Sicherheit gleicht die Erkenntnisse mit den Experten beim Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) ab. Auch dort – nahezu in Sichtweite von der Telekom-Konzernzentrale an der Friedrich-Ebert-Allee – rätseln die Experten, warum genau die Router streiken. Und auch beim BSI haben „Honeypots“ den Cybersturm aus dem Netz bemerkt und ausgewertet.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%