Die 900.000 Telekom-Kunden, die vom Ausfall ihrer Telefon- und Internetverbindung betroffen waren oder sogar noch sind, haben streng genommen Glück gehabt. Eigentlich wollten Unbekannte ihre Router heimlich kapern und zu einem riesigen Botnetz zusammenschalten – also zu einem Verbund aus vernetzten Geräten, die zusammen für massive Angriffe im Internet genutzt werden können. Das hat nur deshalb nicht geklappt, weil die Unbekannten geschlampt haben. Das legen erste Analysen von mehreren IT-Sicherheitsexperten, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Telekom selbst nahe. (* Update am Ende des Artikels)

Stefan Ortloff vom Unternehmen Kaspersky und Johannes B. Ullrich vom Internet Storm Center (ISC) haben in dem Schadcode, der die Router lahmgelegt hatte, Ähnlichkeiten zu Mirai entdeckt. Mirai ist eine Malware, die Zigtausende vernetzte Geräte, wie IP-Kameras und digitale Videorekorder, befallen und einem Botnetz hinzugefügt hat. Dieses Botnetz wurde unter anderem benutzt, um einen gewaltigen DDoS-Angriff auf den DNS-Provider Dyn zu starten und damit mehrere populäre Websites nicht oder nur noch über Umwege erreichbar zu machen. Mittlerweile vermieten Kriminelle das Botnetz offenbar auch. Wer genug Geld hat, kann sich also Angriffe kaufen und so zum Beispiel bestimmte Websites blockieren und Lösegeld von deren Betreibern verlangen.

Der bisher namenlose Schadcode, der nun Router der Marke Speedport infiziert hat, ist von Mirai abgeleitet und um zusätzliche Funktionen erweitert worden, schreibt Ortloff in seinem Blogpost. Wie Mirai nistet er sich nicht dauerhaft im befallenen Gerät ein, sondern nur im Arbeitsspeicher. Deshalb ist er nach einem Neustart des Geräts erst einmal verschwunden. Weil er in der Lage ist, das Internet nach Geräten abzusuchen, die den gleichen Zugangsweg haben, kommt er sehr schnell zurück – mitunter innerhalb von Minuten. In einer E-Mail an ZEIT ONLINE schreibt Ortloff, er gehe davon aus, "dass mit dem Angriff ein neues Botnetz aufgebaut beziehungsweise ein bestehendes erweitert werden sollte".

Der Unterschied zu Mirai besteht letztlich in den verschiedenen Sicherheitslücken, die der neue Schadcode auszunutzen versucht. Im Fall der Telekom-Router bestehen die Lücken im Fernwartungszugang, über den die Telekom die Einstellungen der Geräte ändern kann, EasySupport genannt. Der hat gleich zwei große Sicherheitsprobleme, sagt der Fachjournalist Hanno Böck: "Zum einen kann der Zugang von jedem genutzt werden, nicht nur von der Telekom. Es gibt kein Passwort oder ähnlichen Schutzmechanismus. Das bereits ist ein gravierendes Sicherheitsproblem, Angreifer könnten etwa die Netzwerkeinstellungen der Geräte ändern und Datenverkehr umleiten."

Zum anderen bestehe ein Problem darin, wie das Fernwartungsinterface programmiert wurde. Ein Fehler erlaube es "auf triviale Weise, Befehle auf den Routern auszuführen. Das nutzt die Schadsoftware aus", schrieb Böck. Diesen Fehler hat Anfang November ein Blogger, der unter dem Pseudonym kenzo2017 auftritt, entdeckt.

Nutzer der betroffenen Router hätten sich nur schützen können, indem sie den EasySupport deaktiviert hätten. Das aber untersagt die Deutsche Telekom offenbar in ihren Vertragsbedingungen, wie Screenshots nahelegen, die Kunden auf Twitter veröffentlicht haben.

Der Fernwartungskanal müsste nicht ständig offen sein

Dass der Schadcode die Netzverbindung der von der Telekom vertriebenen Router nur gekappt und damit die Aufmerksamkeit auf sich gezogen hat, liegt offenbar an Programmierfehlern der Täter.

Hanno Böck sagt: "Generell ist ein Interface, das über das Internet direkt erreichbar ist, ein potenzielles Sicherheitsproblem. In der nun betroffenen Fernwartungsschnittstelle wurde bereits vor zwei Jahren eine Sicherheitslücke entdeckt, die unter dem Namen Misfortune Cookie bekannt wurde." Statt den Kanal für die Fernwartung dauerhaft offen zu halten, könnte die Telekom die Router auch so einstellen, dass sie zum Beispiel einmal täglich von sich aus Kontakt zu den Telekom-Servern aufnehmen und nach Updates suchen.

Telekom - "Cyberangriffe gehören heute zum Alltag" Bundeskanzlerin Angela Merkel hat zu den mutmaßlichen Hacker-Angriffen auf das Telekomnetz gesagt, man dürfe sich davon nicht irritieren lassen. Die zuständige Behörde ermittele nun die Herkunft der Angriffe. © Foto: Michael Sohn/dpa