Router-Hack Protokoll des Mega-Angriffs auf die Deutsche Telekom

Der große Hackerangriff auf Router von Telekomkunden hat für große Unsicherheit gesorgt: Wo lag der Fehler? Warum hat die Abwehr so lange gedauert? Und warum sind die Ausfälle bei der Telekom gar nicht das größte Problem?

Das Protokoll des Hacker-Angriffs auf die Deutsche Telekom Quelle: REUTERS

Es ist Anfang November, als ein unbekannter IT-Sicherheitsspezialist unter dem Pseudonym „Kenzo2017“ eine nur für technische Experten verständliche Warnung in einem Online-Blog veröffentlicht: Demnach sei es Hackern möglich, bestimmte Router des irischen Internet-Anbieters EIR mithilfe übers Internet verschickter Steuerbefehle aus der Ferne umzuprogrammieren.

Auf diese Weise könnten die Angreifer die Geräte, mit deren Hilfe Privatleute und Unternehmen online gehen, fernsteuern und – wie eine Art digitale Zombies – für groß angelegte Attacken auf andere benutzen. Kurz darauf veröffentlicht der Router-Hersteller, das taiwanische Unternehmen Zyxel, ein Update, um die Lücke zu stopfen. Sonst aber blieb die Warnung weitgehend unbeachtet.

Bis sie am vergangenen Sonntag plötzlich immense Brisanz bekommt.

Es ist kurz nach drei Uhr am Nachmittag als den Mitarbeitern im Netz-Monitoring-Center der Deutschen Telekom in Bonn beim Blick auf die wandhohen Kontrollschirme Sonderbares auffällt. Ohne erkennbaren Grund sind merklich weniger Kunden an den Telefonie-Servern des Kommunikationsriesen angemeldet. Auch die Netzlast ist erkennbar niedriger als für einen Sonntagnachmittag sonst üblich, weil weniger Menschen über das Netzwerk des Konzerns telefonieren.

Ein erster schneller Check der bundesweiten Wetterlage zeigt: Strahlendes Spätherbstwetter, das die Deutschen zu Zehntausenden und flächendeckend zu außerplanmäßigen Sonntagsspaziergängen veranlassen könnte, so ein erster Erklärungsversuch. Was also ist los, da draußen im Netz? Die Suche nach der Ursache beginnt – und für Thomas Tschersich, den Programmleiter für Interne Security & Cyber Defense bei der Telekom sowie Hunderte weitere Technik- und Sicherheitsexperten im Konzern die vermutlich stressigsten 72 Stunden, der vergangenen Jahre.

Netz-Alarm um halb Vier

Es ist kurz nach halb Vier, als im Handy des 46-jährigen Sicherheitschefs die erste E-Mail eingeht, dass sich im Netz IRGENDETWAS Ungewöhnliches tut. Da weiß noch niemand WAS genau passiert, aber DASS etwas nicht stimmt, wird immer klarer. Binnen kurzer Zeit sind es rund 900.000 Telekom-Kunden, deren Telefon-, Internet- und Multimediaanschlüsse ganz oder teilweise streiken.

Eine halbe Stunde später hat Tschersich die Kollegen aus Bonn persönlich am Apparat. „Da war klar, dass wir – wie das bei uns heißt – eine ‚Störung großer Wirkweite‘ im Netz haben“, sagt der Sicherheitsmanager.

Für solche Fälle haben Kommunikationskonzerne wie die Telekom aber auch ihre Wettbewerber ausgeklügelte Notfallpläne parat. Fachleute stehen in Rufbereitschaft, wenn es irgendwo klemmt und das diensthabende Personal die Störungen nicht in den Griff bekommt. Aber es ist Sonntagnachmittag. Da braucht es länger als während der Arbeitszeit an Wochentagen, bis die Kräfte verfügbar sind. Doch der Kreis der Experten wächst rasch an. Sie schalten sich zusammen, diskutieren, woran es liegen könnte, dass so viele Kunden, so plötzlich keinen stabilen Netzzugang mehr bekommen?

Angriffsziele von aufsehenerregenden Cyberangriffen

Viele Ideen, aber keine führt zum Ziel

Ein Ausfall eines regionalen Netzknotens, vielleicht? Liegt nicht vor! Die Störungen tauchen bundesweit auf? Störungsmeldungen aus Ballungsräumen häufen sich, sind dort vielleicht Netzkomponenten eines gemeinsamen Typs verbaut, die eine Störung aufweisen? Auch nicht, die Häufung, so zeigt der Abgleich mit den Nutzerdaten, ergibt sich alleine aus der höheren Bevölkerungsdichte. Wo mehr Menschen leben mit ihren Telefonanschlüssen, da haben – auch bei einer statistischen Gleichverteilung einer Störung – einfach absolut gezählt mehr Menschen einen Netzausfall. In fieberhafter Eile entwickeln die Netztechniker Thesen, was Auslöser der Störung sein können, prüfen die Fakten … und verwerfen sie wieder. Es bleibt ein Rätsel, was passiert ist.

Als die Experten technische Fehler im Netz Stück für Stück ausschließen können, gerät Tschersichs Cybercrime-Truppe in den Fokus. Wenn nicht die Technik klemmt, sind es vielleicht Störungen von außen? Sind Hacker am Werk?

Im Dauerfeuer der Hacker

Die Security-Spezialisten schneiden den Datenverkehr an den Test-Routern mit, die die Telekom selbst betreibt, protokollieren die Aufrufe aus dem Netz, analysieren den Code, den zigtausende Computer aus dem ganzen Internet im Minutentakt an die Netzwerkgeräte senden – und haben kurz nach 18 Uhr am Sonntagabend Klarheit: „Das ist der Angriff eines Botnetzes – und wir stehen mitten im Dauerfeuer.“

Um die Angriffe mitschneiden zu können, betreiben IT-Sicherheitsdienstleister, aber auch die Kommunikationskonzerne selbst speziell präparierte Computersysteme, die sie – gegen Angriffe ungeschützt, aber mit Analyseprogrammen gespickt – mit dem Internet verbinden, von ihrer eigenen Infrastruktur aber strikt abkoppeln. „Honeypot“, Honigtopf heißen sie, weil sie auf Hacker und ihre Schadprogramm wie leichte Beute wirken, daher kontinuierlich angegriffen werden und den Sicherheitsanalysten dabei einen genauen Blick darauf ermöglichen, welche Attacken im Netz gerade gefahren werden – und auf welche Schwachstellen sie abzielen.

Die Attacke, das wird beim Studium des mitgeschnittenen Netzwerkverkehrs und der übermittelten Befehlsketten klar, greift genau da an, wo „Kenzo2017“ Anfang November die Schwachstelle der irischen Router gefunden hat. Die Hacker versuchen, über das Fernwartungsmodul der Router ins Betriebssystem der Geräte zu gelangen.

Unverletzbar – und doch betroffen

Die Bonner Experten wissen um die Schwachstelle, haben sie schon kurz nach Bekanntwerden ausgewertet, und an Testgeräten geprüft, ob die Router im Netz genauso anfällig sind, wie jene Geräteserie in Irland. Und sie haben befunden, dass die eigene Technik nicht anfällig sei. Soweit die Theorie. Warum also fallen die Router an diesem Sonntag trotzdem zu Hunderttausenden aus? In Bonn macht sich nach Stunden der Suche Ratlosigkeit breit.

Die größten Hacker-Angriffe aller Zeiten
Telekom-Router gehackt Quelle: REUTERS
Yahoos Hackerangriff Quelle: dpa
Ashley Madison Quelle: AP
Ebay Quelle: AP
Mega-Hackerangriff auf JPMorganDie US-Großbank JPMorgan meldete im Oktober 2014, sie sei Opfer eines massiven Hackerangriffs geworden. Rund 76 Millionen Haushalte und sieben Millionen Unternehmen seien betroffen, teilte das Geldhaus mit. Demnach wurden Kundendaten wie Namen, Adressen, Telefonnummern und Email-Adressen von den Servern des Kreditinstituts entwendet. Doch gebe es keine Hinweise auf einen Diebstahl von Kontonummern, Geburtsdaten, Passwörtern oder Sozialversicherungsnummern. Zudem liege im Zusammenhang mit dem Leck kein ungewöhnlicher Kundenbetrug vor. In Zusammenarbeit mit der Polizei gehe die Bank dem Fall nach. Ins Visier wurden laut dem Finanzinstitut nur Nutzer der Webseiten Chase.com und JPMorganOnline sowie der Anwendungen ChaseMobile und JPMorgan Mobile genommen. Entdeckt wurde die Cyberattacke Mitte August, sagte die Sprecherin von JPMorgan, Patricia Wexler. Dabei stellte sich heraus, dass die Sicherheitslücken schon seit Juni bestünden. Inzwischen seien die Zugriffswege jedoch identifiziert und geschlossen worden. Gefährdete Konten seien zudem deaktiviert und die Passwörter aller IT-Techniker geändert worden, versicherte Wexler. Ob JPMorgan weiß, wer hinter dem Hackerangriff steckt, wollte sie nicht sagen. Quelle: REUTERS
Angriff auf Apple und Facebook Quelle: dapd
 Twitter Quelle: dpa

Was sich abzeichnet ist, dass es ausschließlich Geräte eines Herstellers sind, von dem die Telekom einen Teil ihrer Router fertigen lässt. Besonders häufig sind Kunden betroffen mit den Modellen W 921 v, W 922 v, aber auch Modelle der W 700er-Serie schalten sich ab, Modelle der 500er-Serie – allesamt vom taiwanischen Zulieferer Arcadyan. Aber was haben sie gemeinsam, dass sie unter dem Dauerfeuer der Angriffe aus dem Netz ausfallen. Und bei mehr als 20 Millionen anderen Telekom-Kunden die Geräte ohne Störung weiter funktionieren.

Auch tief in der Nacht wird das Bild nur graduell klarer. Egal an welchem ihrer Router die Telekom-Spezialisten den Angriffsversuch nachzuvollziehen versuchen, zeigt es sich zwar, dass es der Schadsoftware nicht gelingt, sich auf den Routern einzunisten – soweit also scheint der Schutz er Technik zu funktionieren. Aber warum zum Teufel, bekommen die Kisten wenige Minuten nach dem Einschalten und dem Anschluss ans Telekom-Netz so etwas wie einen digitalen Schluckauf, bekommen Aussetzer, kommen beim Datenverkehr nicht mehr mit … und schalten sich nach rund einer halben Stunde in vielen Fällen einfach ab.

Das Gute im Schlechten

Tschersich und seine Truppe suchen fieberhaft nach Erklärungsansätzen und kommen nicht recht voran. Einzig, dass sich offenbar auf keinem der Testsysteme wirklich ein Schadprogramm einnisten kann, verschafft dem Sicherheitsstab eine Spur von Erleichterung. Selbst im größten Sturm, so ihre Erkenntnis, könnte es immer noch ein gutes Stück schlimmer kommen. Kommt es aber derzeit zum Glück offenbar nicht.

Trotzdem herrscht am frühen Montagmorgen weiter Rätselraten. Die Telekom-Sicherheit gleicht die Erkenntnisse mit den Experten beim Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) ab. Auch dort – nahezu in Sichtweite von der Telekom-Konzernzentrale an der Friedrich-Ebert-Allee – rätseln die Experten, warum genau die Router streiken. Und auch beim BSI haben „Honeypots“ den Cybersturm aus dem Netz bemerkt und ausgewertet.

Das ganze Netz ist das Ziel

Immerhin, den Angreifer haben die Fachleute inzwischen identifiziert. Es ist Schadsoftware, die sie dem Mirai-Netzwerk zurechnen. Das erklärt auch die Vehemenz, mit der die Angreifer, die Router attackieren. Schließlich steckte Mirai vor nicht mal einem Monat, Ende Oktober, auch hinter einer der heftigsten Attacken gegen Online-Anbieter, die das Netz bisher überhaupt erlebt hatte: Über Stunden sind die Webangebote von Amazon, Spotify, Twitter oder Netflix und vieler anderer Unternehmen kaum erreichbar. Schwerpunkte der Angriffe sind die Industrieregion im Nordosten der USA und die Hightech-Zentren an der Westküste. Aber auch im Großraum London, in Europa und in Asien kommt es zu Störungen.

Was die Sicherheitsexperten nach der Analyse des Angriffs im Oktober noch mehr in Alarmzustand versetzt, als dessen Vehemenz: Die Attacke nahm ihren Ursprung zu großen Teilen im Internet der Dinge. Jenem explosionsartig wachsenden Segment des Netzes, das nicht aus Computern oder Servern besteht, sondern aus der Flut vernetzter Maschinen – Überwachungskameras, Videokonferenzsysteme, oder eben gekaperte Router.

Und nun ist es wohl Mirai, das exakt die von „Kenzo2017“ beschriebene Schwachstelle im Fernwartungsmodul von Routern weltweit auszunutzen versucht, um weitere Geräte zu infizieren. Weltweit.

Das ganze Netz ist Hacker-Ziel – nicht die Telekom

Denn selbst wenn der hunderttausendfache Ausfall von Routern bei der Telekom der sichtbarste Effekt der neuen Angriffswelle ist, im Grunde ist sie gar nicht gezielt gegen den Bonner Kommunikationskonzern gerichtet. Und auch nicht gegen die Routertypen, die auch am Montagmorgen noch massenfach in Streik treten.

Bei Millionen von Routern weltweit ist der Angriff nur nicht aufgefallen, weil sie – standardkonform – den Versuch der Kontaktaufnahme der Hacker abgewiesen haben. Bei hunderttausenden Routern rund um den Globus, da sind sich die Experten sicher, war Mirai aber offenbar auch erfolgreich.

„Seit dem Wochenende verzeichnen wir einen drastischen Anstieg von infizierten Geräten rund um den Globus – speziell aus dem brasilianischen Netz der Telefónica-Tochter Movistar, aber auch dem des türkischen Netzbetreibers Türk Telecom sowie von betroffenen Routern britischer und irischer Internet-Nutzer“, sagt etwa Lion Nagenrauft, Cybersecurity-Analyst beim deutschen IT-Sicherheitsdienstleister iT-Cube. Er hat ausgewertet, wo genau die Hacker angesetzt und was sie mit der Attacke bezweckt haben.

Elf Anzeichen, dass Sie gehackt wurden
Software installiert sich selbstständigUngewollte und unerwartete Installationsprozesse, die aus dem Nichts starten, sind ein starkes Anzeichen dafür, dass das System gehackt wurde. In den frühen Tagen der Malware waren die meisten Programme einfache Computerviren, die die
Was zu tun istEs gibt eine Menge kostenlose Programme, die alle installierten Applikationen auflisten und sie verwalten. Ein Windows-Beispiel ist Autoruns, das zudem aufzeigt, welche Software beim Systemstart mit geladen wird. Das ist gerade in Bezug auf Schadprogramme äußerst aussagekräftig - aber auch kompliziert, weil nicht jeder Anwender weiß, welche der Programme notwendig und sinnvoll und welche überflüssig und schädlich sind. Hier hilft eine Suche im Web weiter - oder die Deaktivierung von Software, die sich nicht zuordnen lässt. Wird das Programm doch benötigt, wird Ihnen das System das schon mitteilen… Quelle: AP
Die Maus arbeitet, ohne dass Sie sie benutzenSpringt der Mauszeiger wie wild über den Bildschirm und trifft dabei Auswahlen oder vollführt andere Aktionen, für deren Ausführung im Normalfall geklickt werden müsste, ist der Computer definitiv gehackt worden. Mauszeiger bewegen sich durchaus schon einmal von selbst, wenn es Hardware-Probleme gibt. Klick-Aktionen jedoch sind nur mit menschlichem Handeln zu erklären. Stellen Sie sich das so vor: Der Hacker bricht in einen Computer ein und verhält sich erst einmal ruhig. Nachts dann, wenn der Besitzer mutmaßlich schläft (der Rechner aber noch eingeschaltet ist), wird er aktiv und beginnt, das System auszuspionieren - dabei nutzt er dann auch den Mauszeiger. Quelle: dpa
Was zu tun ist: Wenn Ihr Rechner des Nachts von selbst
Online-Passwörter ändern sich plötzlichWenn eines oder mehrere Ihrer Online-Passwörter sich von einem auf den anderen Moment ändern, ist entweder das gesamte System oder zumindest der betroffene Online-Dienst kompromittiert. Für gewöhnlich hat der Anwender zuvor auf eine authentisch anmutende Phishing-Mail geantwortet, die ihn um die Erneuerung seines Passworts für einen bestimmten Online-Dienst gebeten hat. Dem nachgekommen, wundert sich der Nutzer wenig überraschend, dass sein Passwort nochmals geändert wurde und später, dass in seinem Namen Einkäufe getätigt, beleidigenden Postings abgesetzt, Profile gelöscht oder Verträge abgeschlossen werden. Quelle: dpa
Was zu tun ist: Sobald die Gefahr besteht, dass mit Ihren Daten handfest Schindluder getrieben wird, informieren Sie unverzüglich alle Kontakte über den kompromittierten Account. Danach kontaktieren Sie den betroffenen Online-Dienst und melden die Kompromittierung. Die meisten Services kennen derartige Vorfälle zu Genüge und helfen Ihnen mit einem neuen Passwort, das Konto schnell wieder unter die eigene Kontrolle zu bekommen. Einige Dienste haben diesen Vorgang bereits automatisiert. Wenige bieten sogar einen klickbaren Button
Gefälschte Antivirus-MeldungenFake-Warnmeldungen des Virenscanners gehören zu den sichersten Anzeichen dafür, dass das System kompromittiert wurde. Vielen Anwendern ist nicht bewusst, dass in dem Moment, wo eine derartige Meldung aufkommt, das Unheil bereits geschehen ist. Ein Klick auf

Weltweiter Angriff, zufällig entdeckt

Nagenraufts Fazit: „Hätte sie nicht ab Sonntag zum flächendeckenden Ausfall der Telekom-Geräte geführt, wäre die neue globale Angriffswelle womöglich weitgehend unbemerkt geblieben.“

Anders als bei den irischen Routern aber gelingt es den Angreifern zu Tschersichs Erleichterung nicht, auf den Telekom-Geräten Schadprogramme auszuführen. Trotzdem fallen die von Arcadyan für die Telekom produzierten Speedport-Router reihenweise aus.

Nichts scheint zunächst wirklich zu helfen. Als die Telekom den Hackercode entziffert hat und in ihrem Netz den Zugriff auf die Server blockt, von denen aus das Mirai-Botnetz seine Angriffs-Software auf die Router laden will, weichen die Hacker auf andere Server aus, über die sie ihre Software verbreiten. Erst als Tschersich den Datenverkehr mit den Routern radikal beschneidet und im Zusammenspiel mit dem Fernwartungsmodul nur noch Verbindungen zu den Geräten zulässt, die aus dem Netz der Telekom stammen, beginnt sich die Lage zu stabilisieren.

Und dann – irgendwann – kommen die Software-Experten bei der Telekom und Arcadyan endlich auch der Ursache für die Störung der Onlineverbindungen bis hin zum zeitweiligen Ausfall der Router auf die Spur.

Ein Fehler an überraschender Stelle

Und der liegt an einer ganz anderen Stelle im System, als es bisher den Anschein hatte. Nein, es gelangt keine Schadsoftware in die Geräte. Nein, sie stürzen nicht ab, weil „schlampig programmierter Hacker-Code“ die Router crashen lässt, wie das BSI-Chef Arne Schönbohm zwischenzeitlich (und offenbar auf Hinweise aus der Telekom hin) öffentlich kommentiert. Im Grunde arbeitet das Fernwartungsmodul in den Router sogar standardkonform.

Die dümmsten Passwörter der Welt
Simple Zahlen- oder BuchstabenfolgenSicherheitsforscher des Hasso-Plattner-Instituts (HPI) haben 2015 fast 35 Millionen geraubte Identitätsdaten aufgespürt. Wie die Potsdamer Sicherheitsforscher anhand der gesammelten Daten analysierten, stehen bei den Internetnutzern in aller Welt immer noch Zahlenreihen oder Zeichenfolgen auf der Tastatur (z.B. qwerty auf der amerikanischen Tastatur) an der Spitze der Beliebtheitsskala bei Passwörtern. Gern werden auch Vornamen oder andere simple Begriffe verwendet, etwa das Wort
Passwort:
FantasiewörterSie denken sich, kein Mensch weiß was
Das sportliche PasswortSport-Fans müssen sich etwas besseres einfallen lassen, als nur den Namen ihrer Lieblingssportart: Auf Platz acht der meistgeknackten Passwörter landet
Mystische GestaltenAuch Drachen-Fans gibt es einfach zu viele. Das Passwort
Sport, die zweiteAnhänger des Football sind auch nicht besser dran als Baseball-Freunde: Das Passwort

Wie vorgesehen, nehmen die Geräte nur den – auch vom Mirai-Netz simulierten – Hinweis aus dem Netz zur Kenntnis, dass es offensichtlich so etwas wie ein Softwareupdate gibt. Wie vorgeschrieben beenden sie dann die Kommunikation mit dem Informanten – der im Normalfall der Netzbetreiber wäre, oder eventuell der Hersteller des Geräts, seit Sonntag aber im Minutenabstand irgendein von Mirai gekaperter Rechner oder Router irgendwo auf der Welt ist. Stattdessen kontaktieren die Speedports die Service-Computer der Telekom, von denen sie glauben, dass diese das angekündigte Update ausliefern wollen – und laufen dabei ins Leere. Denn dort liegt ja nichts, weil der Wartungsimpuls ja von Mirai stammt.

Und genau da tut sich offenbar ein winziger, aber folgenschwerer Programmfehler in Hundertausenden Arcadyan-Routern auf. Denn statt die Verbindung zum Wartungsserver wieder zu kappen, wie ein Telefonat aufzulegen, bei dem der Angerufene nicht abhebt, lassen die Geräte die Verbindung zum Telekom-Rechenzentrum aktiv.

Zu viele Telefonhörer am Ohr

Das wiederholt sich, mit jedem neuen Kontaktversuch eines von Mirai gekaperten Systems. Bildlich gesehen klemmt sich der Router einen Telefonhörer nach dem andern unters Ohr. Einmal, zweimal, zehnmal, teils minütlich – bis die Software der Router die Vielzahl der gleichzeitig aufgebauten Verbindungen zum Wartungssystem der Telekom nicht mehr handhaben kann … und den Anschluss ans Telekom-Netz komplett kappt. In Spitzenzeiten bei 900.000 Kunden.

Den Router zwischenzeitlich vom Netz zu trennen und nach kurzer Reset-Pause wieder anzustöpseln, löst das Problem daher auch nur vorübergehend. Denn weil der globale Angriff von Mirai auch am Montag und Dienstag mit unverminderter Vehemenz anhält, wiederholen sich auch die Aussetzer der Geräte immer weiter, bis die Telekom den fehlerhaften Aufbau der parallelen Verbindungen durch eine Reparatur der Router-Software unterbindet.

Diese Branchen sind am häufigsten von Computerkriminalität betroffen

Zwei Monate warten? Geht nicht!

Das Problem: Im Normalfall dauert die Fehlerprüfung eines Software-Updates für systemkritische Geräte – also auch für Router – bei der Telekom zwei bis drei Monate. Die Zeit aber hat unter dem Dauerfeuer aus dem Netz in Bonn niemand. Die Lösung liegt in einer Abkürzung. Statt das komplette Update auf alle denkbaren Fehler zu überprüfen, nehmen sich die Qualitätstester nur den Reparatur-Code für das Wartungsmodul vor und prüfen die Verträglichkeit der neuen Programmzeilen mit Gerät und Netz.

Das verkürzt den Prozess drastisch: Am Montagmorgen, rund zwölf Stunden nach dem Beginn des Angriffs legen die Entwickler von Arcadyan und die Service-Spezialisten der Telekom das Software-Update für die ersten Speedport-Router auf ihre Update-Server. Wenn die sich nach einem Neustart erstmals mit dem Netz der Telekom zu verbinden versuchen, werden sie mit der Wartungssoftware versorgt und aktualisiert.

Alle anderen Signale aus dem Netz an die auch für Updates zuständige Router-Schnittstelle – beispielsweise Informationen über die genaue Uhrzeit, über die sogenannten Zeit-Server im Internet, die dort vernetzten Maschinen synchronisieren – filtern zusätzliche Schutzprogramme aus dem Datenstrom heraus, die Tschersichs Sicherheitsexperten inzwischen im Telekom-Netz aktiviert haben. „Das behindert zwar andere Online-Funktionen“, sagt einer der Spezialisten fast entschuldigend, „aber bis die gestörten Router wieder auf Trab sind, ist das das kleinere Übel.“

Mit jedem zusätzlichen Update, das die Telekom für weitere Routertypen bereit stellt, stabilisiert sich die Lage im Laufe des Montags und speziell am Dienstag weiter, weil es die Speedports so modifiziert, dass auch fortwährendes Dauerfeuer aus dem Mirai-Netz sie nicht mehr in die Knie zwingt. Am Mittwochnachmittag – mehr als drei Tage nachdem den Technikern im Netzkontrollzentrum die ersten Störungen auffielen – haben der Sicherheitschef und seine Spezialisten die Lage weitestgehend im Griff. „Bis auf ein paar zehntausend Router, die wir uns nun noch einzeln vornehmen, ist fast jeder Kunde wieder online.“

Wie die digitale Parallelwelt funktioniert
Tor-Browser
Die Zwiebel mit ihren vielen Schalen: Die Abkürzung TOR steht für: The Onion Router – das Zwiebel-Netzwerk. Die kostenlose Open-Source-Software, einst vom US-Militär entwickelt, dient dazu, die eigene IP-Adresse zu verschleiern, indem sie Anfragen nicht direkt an die Zieladresse im Netz schickt, sondern über eine Kette von Proxyservern leitet. Jeder Proxy kennt nur seinen Vorgänger und Nachfolger, aber keiner kennt den ursprünglichen Absender der Anfrage und gleichzeitig den Empfänger. Das sieht in der Praxis dann so aus. 
Seitenadressen bestehen im anonymen Web aus einer zufällig gewählten, und ständig wechselnden Kombination von Zahlen und Buchstaben. Das erschwert das surfen. Deswegen bieten einige Seiten wie „The Hidden Wikki“, Orientierungshilfe. DeepDotWeb ist auch über das freie Internet zugänglich. Hier finden sich Foren, Fragen und Übersichten rund um das Thema Deepweb/Darknet. 
Tor ist nicht nur zum surfen auf nicht frei zugänglichen Websites nützlich. Auch ganz
Grams ist die gängigste Suchmaschine für Drogenmärkte im Darknet. Zwar ist der Drogenmarkt im Internet gegenüber dem Straßenhandel (mit einem geschätzten Umsatz von 320 Milliarden Dollar pro Jahr weltweit) noch klein, aber bereits hart umkämpft. Die Betreiber leben gut von der Verkaufsprovision, die sie für jeden Deal erhalten, der auf ihrer Seite geschlossen wird. Laut FBI sollen beim damals 29-jährigen Marktführer Dread Pirate Roberts von der Seite Silkroad, Bitcoins im Wert von 150 Millionen Dollar sichergestellt worden sein. Im Oktober 2013 wurde der US-Amerikaner Ross Ulbricht, der angebliche Silk-Road-Betreiber, ausfindig gemacht und vom FBI verhaftet. Der heute 32-Jährige wurde zu lebenslanger Haft ohne Bewährung verurteilt. 
Aufgrund der steigenden Konkurrenz haben sich Nachfolger wie Alphabay oder Nucleus vom anarchischen Neunzigerjahre-Look verabschiedet und orientieren sich nun an der Optik des legalen Onlinehandels. Da Vertrauen auf anonymen Marktplätzen ein knappes Gut ist, reagieren die Kunden stärker auf die üblichen Onlinereize wie einprägsame Logos, erkennbare Marken, hochauflösende Produktfotos und Marktstandards wie Kundenprofil, Konto-Übersicht und ausführliche Angebotslisten. Drogen sind auf fast jedem Marktplatz der größte Posten, daneben lassen sich hier jedoch auch Waffen, Hacker, Identitäten, Kreditkarten und andere Dinge erwerben. In den dunkelsten Ecken, die allerdings auch im Darknet nicht ohne weiteres zugänglich sind, finden sich sogar Menschenhandel, Kinderpornographie und Live-Vergewaltigungen. 
Ob gehackte Paypal, Amazon oder Ebay-Konten, eine neue Kreditkarte oder die Dienste eines Hackers, der mit Hilfe einer DDoS-Attacke (Distributed Denial of Service) eine Seite lahmlegen soll. Im Darknet werden Angriffe bzw. Daten jeglicher Art angeboten. Für nur ein Pfund, könnte man hier eine russische Kreditkarte mit hohem Verfügungsrahmen erwerben. Auch persönliche Daten wie Namen, Geburtsdaten, Adressen, EMails und alle erdenklichen Zugänge einer bestimmten Person werden hier für wenige Dollar angeboten. Zur Zeit vor der US-Wahl besonders beliebt: personenbezogene Daten, aufgelistet nach Bundesstaaten in Amerika.

Der nächste Angriff wird noch stärker

Sie wissen aber auch: Selbst wenn der Betrieb im eigenen Haus wieder stabilisiert ist – es ist nur die Ruhe vor dem nächsten Sturm aus dem Netz. Denn rund um den Globus hat Mirai in der Zwischenzeit zigtausende neue Maschinen gekapert. Und die Waffe der Angreifer ist noch weit stärker, wenn „Kenzo2017“ oder irgendein anderer Technik-Spezialist die nächste Schwachstelle publizieren.

Es ist höchstens eine Frage der Zeit, bis es soweit ist.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%