Hacker in London festgenommen

Ende November vergangenen Jahres fielen nach Hacker-Versuchen durch Unbekannte Hunderttausende Router der Telekom aus. Die Angreifer hatten versucht, ein Schadprogramm auf den Geräten zu installieren, mit denen sie diese fernsteuern und für weitere Angriffe hätten nutzen können.

Nach Informationen des Handelsblatts aus informierten Kreisen wurde nun der mutmaßliche Täter am Mittwoch in London festgenommen. Dabei soll es sich um einen 29-jährigen Briten handeln. Die zuständige Staatsanwaltschaft in Köln will wohl am Donnerstagmorgen Details dazu bekannt geben.

Den Angriff des wohl britischen Hackers bemerkte die Telekom am Sonntag, den 27. November, um 15.30 Uhr. Auf der fast zwei Stockwerke hohen Wand voller Bildschirme im Kontrollzentrum des Konzerns zeigten sich erste Anzeichen, dass etwas nicht stimmte. Auffällig wenige Kunden waren im Netz registriert. Schnell wurde es schlimmer, am Nachmittag waren rund 900.000 Router von Telekom-Kunden ganz oder teilweise ausgefallen.

Kunden beschwerten sich in den Sozialen Netzwerken, während in Bonn fieberhaft nach dem Grund für die Probleme gesucht wurde. Am frühen Abend war dann klar: Die Router werden angegriffen. Einer oder mehrere Hacker versuchten, eine bekannte Schwachstelle in den Geräten zu nutzen, um aus ihnen Bots zu machen: fernsteuerbare Programme. Die Hacker wollten sie so vermutlich für Attacken auf andere Systeme nutzen.

Der Angriff war nicht speziell auf die Telekom gemünzt, sondern auf einzelne Router-Typen weltweit. In Großbritannien sollen ebenfalls rund 100.000 Kunden von verschiedenen Anbietern betroffen gewesen sein. Der Ausfall der Telekom-Router war nur ein Kollateralschaden, eigentlich hätten weder Konzern noch Kunden davon etwas mitbekommen sollen.

Weil die Geräte der Bonner jedoch andere Einstellungen hatten, versuchte die Schadware vergeblich, sich wiederholt auf den Routern auszubreiten. Unter der Last schalteten sich die Geräte nach kurzer Zeit aus. Das war auch der Grund, weswegen es in einigen Fällen zunächst half, die Router vom Netz zu trennen, bevor sie wieder attackiert wurden. Der Angreifer hatte für die schnelle Verbreitung seines Schadcodes das Botnetz names Mirai genutzt.

Telekom-Chef Timotheus Höttges erklärte am darauffolgenden Mittwoch bei einem Vortrag auf einer IT-Sicherheitskonferenz, man habe noch am Sonntag begonnen, ein Software-Update zu entwickeln. Zwölf Stunden später war es fertig.

Dass die Staatsanwaltschaft den mutmaßlichen Täter überhaupt erst identifizieren und nun wohl auch festnehmen konnte, ist bei Cyberangriffen sehr selten. Oftmals verstecken sich die Hacker hinter einem weitverzweigten Netz, das über Länder läuft, bei denen deutsche Behörden nur schwer oder gar keine Auskünfte bekommen.

Update:

Das Bundeskriminalamt und die Staatsanwaltschaft Köln bestätigten den Fall. Am Mittwoch sei ein 29 Jahre alter Brite an einem Londoner Flughafen von Einsatzkräften der britischen National Crime Agency festgenommen worden, erklärten sie am Donnerstag. Die Festnahme erfolgte aufgrund eines von der Staatsanwaltschaft erwirkten europäischen Haftbefehls. Dem Briten werde versuchte Computersabotage in einem besonders schweren Fall vorgeworfen.. Thomas Kremer, Vorstand für Recht und Compliance bei der Telekom, erklärte: „Wir begrüßen den internationalen Fahndungserfolg sehr und haben die Strafverfolgungsbehörden mit unseren Experten unterstützt. Wir werden auch zivilrechtliche Schritte gegen den mutmaßlichen Täter prüfen. Das Beispiel zeigt, dass das Recht auch im Cyberraum durchgesetzt werden kann. Die Festnahme ist ein großer Erfolg gegen die internationale Cyberkriminalität, die zunehmend auf so genannte Bot-Netze für ihre großangelegten Angriffe setzt.“