Deutsche Märkte öffnen in 5 Stunden 32 Minuten
  • Nikkei 225

    28.794,14
    -304,10 (-1,05%)
     
  • Dow Jones 30

    35.490,69
    -266,19 (-0,74%)
     
  • BTC-EUR

    50.648,56
    -2.201,92 (-4,17%)
     
  • CMC Crypto 200

    1.403,73
    -70,60 (-4,79%)
     
  • Nasdaq Compositive

    15.235,84
    +0,12 (+0,00%)
     
  • S&P 500

    4.551,68
    -23,11 (-0,51%)
     

Protokoll des Mega-Angriffs auf die Deutsche Telekom

Der Hackerangriff auf Router von Telekomkunden hat für große Unsicherheit gesorgt: Wo lag der Fehler? Warum hat die Abwehr so lange gedauert? Und warum sind die Ausfälle bei der Telekom gar nicht das größte Problem?

Es ist Anfang November, als ein unbekannter IT-Sicherheitsspezialist und vermutlicher Japan-Fan unter dem Pseudonym „Kenzo2017“ eine nur für technische Experten verständliche Warnung in einem Online-Blog veröffentlicht: Demnach sei es Hackern möglich, bestimmte Router des irischen Internet-Anbieters EIR mithilfe übers Internet verschickter Steuerbefehle aus der Ferne umzuprogrammieren.

Auf diese Weise könnten die Angreifer die Geräte, mit deren Hilfe Privatleute und Unternehmen online gehen, fernsteuern und – wie eine Art digitale Zombies – für groß angelegte Attacken auf andere benutzen. Kurz darauf veröffentlicht der Router-Hersteller, das taiwanische Unternehmen Zyxel, ein Update, um die Lücke zu stopfen. Sonst aber blieb die Warnung weitgehend unbeachtet.

Bis sie am vergangenen Sonntag plötzlich immense Brisanz bekommt.

Es ist kurz nach drei Uhr am Nachmittag als den Mitarbeitern im Netz-Monitoring-Center der Deutschen Telekom in Bonn beim Blick auf die wandhohen Kontrollschirme Sonderbares auffällt. Ohne erkennbaren Grund sind merklich weniger Kunden an den Telefonie-Servern des Kommunikationsriesen angemeldet. Auch die Netzlast ist erkennbar niedriger als für einen Sonntagnachmittag sonst üblich, weil weniger Menschen über das Netzwerk des Konzerns telefonieren.

Ein erster schneller Check der bundesweiten Wetterlage zeigt: Strahlendes Spätherbstwetter, das die Deutschen zu Zehntausenden und flächendeckend zu außerplanmäßigen Sonntagsspaziergängen veranlassen könnte, so ein erster Erklärungsversuch. Was also ist los, da draußen im Netz? Die Suche nach der Ursache beginnt – und für Thomas Tschersich, den Programmleiter für Interne Security & Cyber Defense bei der Telekom sowie Hunderte weitere Technik- und Sicherheitsexperten im Konzern die vermutlich stressigsten 72 Stunden, der vergangenen Jahre.

Netz-Alarm um halb Vier

Es ist kurz nach halb Vier, als im Handy des 46-jährigen Sicherheitschefs die erste E-Mail eingeht, dass sich im Netz IRGENDETWAS Ungewöhnliches tut. Da weiß noch niemand WAS genau passiert, aber DASS etwas nicht stimmt, wird immer klarer. Binnen kurzer Zeit sind es rund 900.000 Telekom-Kunden, deren Telefon-, Internet- und Multimediaanschlüsse ganz oder teilweise streiken.

Eine halbe Stunde später hat Tschersich die Kollegen aus Bonn persönlich am Apparat. „Da war klar, dass wir – wie das bei uns heißt – eine ‚Störung großer Wirkweite‘ im Netz haben“, sagt der Sicherheitsmanager.

Für solche Fälle haben Kommunikationskonzerne wie die Telekom aber auch ihre Wettbewerber ausgeklügelte Notfallpläne parat. Fachleute stehen in Rufbereitschaft, wenn es irgendwo klemmt und das diensthabende Personal die Störungen nicht in den Griff bekommt. Aber es ist Sonntagnachmittag. Da braucht es länger als während der Arbeitszeit an Wochentagen, bis die Kräfte verfügbar sind. Doch der Kreis der Experten wächst rasch an. Sie schalten sich zusammen, diskutieren, woran es liegen könnte, dass so viele Kunden, so plötzlich keinen stabilen Netzzugang mehr bekommen?

Viele Ideen, aber keine führt zum Ziel

Ein Ausfall eines regionalen Netzknotens, vielleicht? Liegt nicht vor! Die Störungen tauchen bundesweit auf? Störungsmeldungen aus Ballungsräumen häufen sich, sind dort vielleicht Netzkomponenten eines gemeinsamen Typs verbaut, die eine Störung aufweisen? Auch nicht, die Häufung, so zeigt der Abgleich mit den Nutzerdaten, ergibt sich alleine aus der höheren Bevölkerungsdichte. Wo mehr Menschen leben mit ihren Telefonanschlüssen, da haben – auch bei einer statistischen Gleichverteilung einer Störung – einfach absolut gezählt mehr Menschen einen Netzausfall. In fieberhafter Eile entwickeln die Netztechniker Thesen, was Auslöser der Störung sein können, prüfen die Fakten … und verwerfen sie wieder. Es bleibt ein Rätsel, was passiert ist.

Als die Experten technische Fehler im Netz Stück für Stück ausschließen können, gerät Tschersichs Cybercrime-Truppe in den Fokus. Wenn nicht die Technik klemmt, sind es vielleicht Störungen von außen? Sind Hacker am Werk?


Im Dauerfeuer der Hacker

Die Security-Spezialisten schneiden den Datenverkehr an den Test-Routern mit, die die Telekom selbst betreibt, protokollieren die Aufrufe aus dem Netz, analysieren den Code, den zigtausende Computer aus dem ganzen Internet im Minutentakt an die Netzwerkgeräte senden – und haben kurz nach 18 Uhr am Sonntagabend Klarheit: „Das ist der Angriff eines Botnetzes – und wir stehen mitten im Dauerfeuer.“

Um die Angriffe mitscheiden zu können, betreiben IT-Sicherheitsdienstleister, aber auch die Kommunikationskonzerne selbst speziell präparierte Computersysteme, die sie – gegen Angriffe ungeschützt, aber mit Analyseprogrammen gespickt – mit dem Internet verbinden, von ihrer eigenen Infrastruktur aber strikt abkoppeln. „Honeypot“, Honigtopf heißen sie, weil sie auf Hacker und ihre Schadprogramm wie leichte Beute wirken, daher kontinuierlich angegriffen werden und den Sicherheitsanalysten dabei einen genauen Blick darauf ermöglichen, welche Attacken im Netz gerade gefahren werden – und auf welche Schwachstellen sie abzielen.

Die Attacke, das wird beim Studium des mitgeschnittenen Netzwerkverkehrs und der übermittelten Befehlsketten klar, greift genau da an, wo „Kenzo2017“ Anfang November die Schwachstelle der irischen Router gefunden hat. Die Hacker versuchen, über das Fernwartungsmodul der Router ins Betriebssystem der Geräte zu gelangen.

Unverletzbar – und doch betroffen

Die Bonner Experten wissen um die Schwachstelle, haben sie schon kurz nach Bekanntwerden ausgewertet, und an Testgeräten geprüft, ob die Router im Netz genauso anfällig sind, wie jene Geräteserie in Irland. Und sie haben befunden, dass die eigene Technik nicht anfällig sei. Soweit die Theorie. Warum also fallen die Router an diesem Sonntag trotzdem zu Hunderttausenden aus? In Bonn macht sich nach Stunden der Suche Ratlosigkeit breit.

Was sich abzeichnet ist, dass es ausschließlich Geräte eines Herstellers sind, von dem die Telekom einen Teil ihrer Router fertigen lässt. Besonders häufig sind Kunden betroffen mit den Modellen W 921 v, W 922 v, aber auch Modelle der W 700er-Serie schalten sich ab, Modelle der 500er-Serie – allesamt vom taiwanischen Zulieferer Arcadyan. Aber was haben sie gemeinsam, dass sie unter dem Dauerfeuer der Angriffe aus dem Netz ausfallen. Und bei mehr als 20 Millionen anderen Telekom-Kunden die Geräte ohne Störung weiter funktionieren.

Auch tief in der Nacht wird das Bild nur graduell klarer. Egal an welchem ihrer Router die Telekom-Spezialisten den Angriffsversuch nachzuvollziehen versuchen, zeigt es sich zwar, dass es der Schadsoftware nicht gelingt, sich auf den Routern einzunisten – soweit also scheint der Schutz er Technik zu funktionieren. Aber warum zum Teufel, bekommen die Kisten wenige Minuten nach dem Einschalten und dem Anschluss ans Telekom-Netz so etwas wie einen digitalen Schluckauf, bekommen Aussetzer, kommen beim Datenverkehr nicht mehr mit … und schalten sich nach rund einer halben Stunde in vielen Fällen einfach ab.

Das Gute im Schlechten

Tschersich und seine Truppe suchen fieberhaft nach Erklärungsansätzen und kommen nicht recht voran. Einzig, dass sich offenbar auf keinem der Testsysteme wirklich ein Schadprogramm einnisten kann, verschafft dem Sicherheitsstab eine Spur von Erleichterung. Selbst im größten Sturm, so ihre Erkenntnis, könnte es immer noch ein gutes Stück schlimmer kommen. Kommt es aber derzeit zum Glück offenbar nicht.

Trotzdem herrscht am frühen Montagmorgen weiter Rätselraten. Die Telekom-Sicherheit gleicht die Erkenntnisse mit den Experten beim Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) ab. Auch dort – nahezu in Sichtweite von der Telekom-Konzernzentrale an der Friedrich-Ebert-Allee – rätseln die Experten, warum genau die Router streiken. Und auch beim BSI haben „Honeypots“ den Cybersturm aus dem Netz bemerkt und ausgewertet.


Das ganze Netz ist das Ziel

Immerhin, den Angreifer haben die Fachleute inzwischen identifiziert. Es ist Schadsoftware, die sie dem Mirai-Netzwerk zurechnen. Das erklärt auch die Vehemenz, mit der die Angreifer, die Router attackieren. Schließlich steckte Mirai vor nicht mal einem Monat, Ende Oktober, auch hinter einer der heftigsten Attacken gegen Online-Anbieter, die das Netz bisher überhaupt erlebt hatte: Über Stunden sind die Webangebote von Amazon, Spotify, Twitter oder Netflix und vieler anderer Unternehmen kaum erreichbar. Schwerpunkte der Angriffe sind die Industrieregion im Nordosten der USA und die Hightech-Zentren an der Westküste. Aber auch im Großraum London, in Europa und in Asien kommt es zu Störungen.

Was die Sicherheitsexperten nach der Analyse des Angriffs im Oktober noch mehr in Alarmzustand versetzt, als dessen Vehemenz: Die Attacke nahm ihren Ursprung zu großen Teilen im Internet der Dinge. Jenem explosionsartig wachsenden Segment des Netzes, das nicht aus Computern oder Servern besteht, sondern aus der Flut vernetzter Maschinen – Überwachungskameras, Videokonferenzsysteme, oder eben gekaperte Router.

Und nun ist es wohl Mirai, das exakt die von „Kenzo2017“ beschriebene Schwachstelle im Fernwartungsmodul von Routern weltweit auszunutzen versucht, um weitere Geräte zu infizieren. Weltweit.

Das ganze Netz ist Hacker-Ziel – nicht die Telekom

Denn selbst wenn der hunderttausendfache Ausfall von Routern bei der Telekom der sichtbarste Effekt der neuen Angriffswelle ist, im Grunde ist sie gar nicht gezielt gegen den Bonner Kommunikationskonzern gerichtet. Und auch nicht gegen die Routertypen, die auch am Montagmorgen noch massenfach in Streik treten.

Bei Millionen von Routern weltweit ist der Angriff nur nicht aufgefallen, weil sie – standardkonform – den Versuch der Kontaktaufnahme der Hacker abgewiesen haben. Bei hunderttausenden Routern rund um den Globus, da sind sich die Experten sicher, war Mirai aber offenbar auch erfolgreich.

„Seit dem Wochenende verzeichnen wir einen drastischen Anstieg von infizierten Geräten rund um den Globus – speziell aus dem brasilianischen Netz der Telefónica-Tochter Movistar, aber auch dem des türkischen Netzbetreibers Türk Telecom sowie von betroffenen Routern britischer und irischer Internet-Nutzer“, sagt etwa Lion Nagenrauft, Cybersecurity-Analyst beim deutschen IT-Sicherheitsdienstleister iT-Cube. Er hat ausgewertet, wo genau die Hacker angesetzt und was sie mit der Attacke bezweckt haben.

Weltweiter Angriff, zufällig entdeckt

Nagenraufts Fazit: „Hätte sie nicht ab Sonntag zum flächendeckenden Ausfall der Telekom-Geräte geführt, wäre die neue globale Angriffswelle womöglich weitgehend unbemerkt geblieben.“

Anders als bei den irischen Routern aber gelingt es den Angreifern zu Tschersichs Erleichterung nicht, auf den Telekom-Geräten Schadprogramme auszuführen. Trotzdem fallen die von Arcadyan für die Telekom produzierten Speedport-Router reihenweise aus.

Nichts scheint zunächst wirklich zu helfen. Als die Telekom den Hackercode entziffert hat und in ihrem Netz den Zugriff auf die Server blockt, von denen aus das Mirai-Botnetz seine Angriffs-Software auf die Router laden will, weichen die Hacker auf andere Server aus, über die sie ihre Software verbreiten. Erst als Tschersich den Datenverkehr mit den Routern radikal beschneidet und im Zusammenspiel mit dem Fernwartungsmodul nur noch Verbindungen zu den Geräten zulässt, die aus dem Netz der Telekom stammen, beginnt sich die Lage zu stabilisieren.

Und dann – irgendwann – kommen die Software-Experten bei der Telekom und Arcadyan endlich auch der Ursache für die Störung der Onlineverbindungen bis hin zum zeitweiligen Ausfall der Router auf die Spur.


Ein Fehler an überraschender Stelle

Und der liegt an einer ganz anderen Stelle im System, als es bisher den Anschein hatte. Nein, es gelangt keine Schadsoftware in die Geräte. Nein, sie stürzen nicht ab, weil „schlampig programmierter Hacker-Code“ die Router crashen lässt, wie das BSI-Chef Arne Schönbohm zwischenzeitlich (und offenbar auf Hinweise aus der Telekom hin) öffentlich kommentiert. Im Grunde arbeitet das Fernwartungsmodul in den Router sogar standardkonform.

Wie vorgesehen, nehmen die Geräte nur den – auch vom Mirai-Netz simulierten – Hinweis aus dem Netz zur Kenntnis, dass es offensichtlich so etwas wie ein Softwareupdate gibt. Wie vorgeschrieben beenden sie dann die Kommunikation mit dem Informanten – der im Normalfall der Netzbetreiber wäre, oder eventuell der Hersteller des Geräts, seit Sonntag aber im Minutenabstand irgendein von Mirai gekaperter Rechner oder Router irgendwo auf der Welt ist. Stattdessen kontaktieren die Speedports die Service-Computer der Telekom, von denen sie glauben, dass diese das angekündigte Update ausliefern wollen – und laufen dabei ins Leere. Denn dort liegt ja nichts, weil der Wartungsimpuls ja von Mirai stammt.

Und genau da tut sich offenbar ein winziger, aber folgenschwerer Programmfehler in Hundertausenden Arcadyan-Routern auf. Denn statt die Verbindung zum Wartungsserver wieder zu kappen, wie ein Telefonat aufzulegen, bei dem der Angerufene nicht abhebt, lassen die Geräte die Verbindung zum Telekom-Rechenzentrum aktiv.

Zu viele Telefonhörer am Ohr

Das wiederholt sich, mit jedem neuen Kontaktversuch eines von Mirai gekaperten Systems. Bildlich gesehen klemmt sich der Router einen Telefonhörer nach dem andern unters Ohr. Einmal, zweimal, zehnmal, teils minütlich – bis die Software der Router die Vielzahl der gleichzeitig aufgebauten Verbindungen zum Wartungssystem der Telekom nicht mehr handhaben kann … und den Anschluss ans Telekom-Netz komplett kappt. In Spitzenzeiten bei 900.000 Kunden.

Den Router zwischenzeitlich vom Netz zu trennen und nach kurzer Reset-Pause wieder anzustöpseln, löst das Problem daher auch nur vorübergehend. Denn weil der globale Angriff von Mirai auch am Montag und Dienstag mit unverminderter Vehemenz anhält, wiederholen sich auch die Aussetzer der Geräte immer weiter, bis die Telekom den fehlerhaften Aufbau der parallelen Verbindungen durch eine Reparatur der Router-Software unterbindet.

Zwei Monate warten? Geht nicht!

Das Problem: Im Normalfall dauert die Fehlerprüfung eines Software-Updates für systemkritische Geräte – also auch für Router – bei der Telekom zwei bis drei Monate. Die Zeit aber hat unter dem Dauerfeuer aus dem Netz in Bonn niemand. Die Lösung liegt in einer Abkürzung. Statt das komplette Update auf alle denkbaren Fehler zu überprüfen, nehmen sich die Qualitätstester nur den Reparatur-Code für das Wartungsmodul vor und prüfen die Verträglichkeit der neuen Programmzeilen mit Gerät und Netz.

Das verkürzt den Prozess drastisch: Am Montagmorgen, rund zwölf Stunden nach dem Beginn des Angriffs legen die Entwickler von Arcadyan und die Service-Spezialisten der Telekom das Software-Update für die ersten Speedport-Router auf ihre Update-Server. Wenn die sich nach einem Neustart erstmals mit dem Netz der Telekom zu verbinden versuchen, werden sie mit der Wartungssoftware versorgt und aktualisiert.

Alle anderen Signale aus dem Netz an die auch für Updates zuständige Router-Schnittstelle – beispielsweise Informationen über die genaue Uhrzeit, über die sogenannten Zeit-Server im Internet, die dort vernetzten Maschinen synchronisieren – filtern zusätzliche Schutzprogramme aus dem Datenstrom heraus, die Tschersichs Sicherheitsexperten inzwischen im Telekom-Netz aktiviert haben. „Das behindert zwar andere Online-Funktionen“, sagt einer der Spezialisten fast entschuldigend, „aber bis die gestörten Router wieder auf Trapp sind, ist das das kleinere Übel.“

Mit jedem zusätzlichen Update, das die Telekom für weitere Routertypen bereit stellt, stabilisiert sich die Lage im Laufe des Montags und speziell am Dienstag weiter, weil es die Speedports so modifiziert, dass auch fortwährendes Dauerfeuer aus dem Mirai-Netz sie nicht mehr in die Knie zwingt. Am Mittwochnachmittag – mehr als drei Tage nachdem den Technikern im Netzkontrollzentrum die ersten Störungen auffielen – haben der Sicherheitschef und seine Spezialisten die Lage weitestgehend im Griff. „Bis auf ein paar zehntausend Router, die wir uns nun noch einzeln vornehmen, ist fast jeder Kunde wieder online.“

Der nächste Angriff wird noch stärker

Sie wissen aber auch: Selbst wenn der Betrieb im eigenen Haus wieder stabilisiert ist – es ist nur die Ruhe vor dem nächsten Sturm aus dem Netz. Denn rund um den Globus hat Mirai in der Zwischenzeit zigtausende neue Maschinen gekapert. Und die Waffe der Angreifer ist noch weit stärker, wenn „Kenzo2017“ oder irgendein anderer Technik-Spezialist die nächste Schwachstelle publizieren.

Es ist höchstens eine Frage der Zeit, bis es soweit ist.

KONTEXT

Angriffsziele von aufsehenerregenden Cyberangriffen

Energie-Infrastruktur

Im Dezember 2015 fiel für mehr als 80.000 Menschen in der Ukraine der Strom aus. Zwei große Stromversorger erklärten, die Ursache sein ein Hacker-Angriff gewesen. Es wäre der erste bestätigte erfolgreiche Cyberangriff auf das Energienetz. Ukrainische Behörden und internationale Sicherheitsexperten vermuten eine Attacke aus Russland.

Krankenhäuser

Im Februar 2016 legt ein Erpressungstrojaner die IT-Systeme des Lukaskrankenhauses in Neuss lahm. Es ist die gleiche Software, die oft auch Verbraucher trifft: Sie verschlüsselt den Inhalt eines Rechners und vom Nutzer wird eine Zahlung für die Entschlüsselung verlangt. Auch andere Krankenhäuser sollen betroffen gewesen sein, hätten dies aber geheim gehalten.

Rathäuser

Ähnliche Erpressungstrojaner trafen im Februar auch die Verwaltungen der westfälischen Stadt Rheine und der bayerischen Kommune Dettelbach. Experten erklären, Behörden gerieten bei den breiten Angriffen eher zufällig ins Visier.

Öffentlicher Nahverkehr

In San Francisco konnte man am vergangenen Wochenende kostenlos mit öffentlichen Verkehrsmitteln fahren, weil die rund 2000 Ticket-Automaten von Erpressungs-Software befallen wurden. Laut einem Medienbericht verlangten die Angreifer 73 000 Dollar für die Entsperrung.

Bundestag

Im Mai 2015 fallen verdächtige Aktivitäten im Computernetz des Parlaments auf. Die Angreifer konnten sich so weitreichenden Zugang verschaffen, das die Bundestags-IT ausgetauscht werden. Als Urheber wird die Hacker-Gruppe APT28 vermutet, der Verbindungen zu russischen Geheimdiensten nachgesagt werden.

US-Demokraten

Die selbe Hacker-Gruppe soll nach Angaben amerikanischer Experten auch den Parteivorstand der Demokraten in den USA und die E-Mails von Hillary Clintons Wahlkampf-Stabschef John Podesta gehackt haben. Nach der Attacke im März wurden die E-Mails wirksam in der Schlussphase des Präsidentschaftswahlkampfs im Oktober 2016 veröffentlicht.

Doping-Kontrolleure

APT28 könnte auch hinter dem Hack der Weltdopingagentur WADA stecken. Die Angreifer veröffentlichen im September 2016 Unterlagen zu Ausnahmegenehmigungen zur Einnahme von Medikamenten, mit einem Fokus auf US-Sportler.

Sony Pictures

Ein Angriff, hinter dem Hacker aus Nordkorea vermutet wurden, legte im November für Wochen das gesamte Computernetz des Filmstudios lahm. Zudem wurden E-Mails aus mehreren Jahren erbeutet. Es war das erste Mal, dass ein Unternehmen durch eine Hackerattacke zu Papier und Fax zurückgeworfen wurde. Die Veröffentlichung vertraulicher Nachrichten sorgte für unangenehme Momente für mehrere Hollywood-Player.

Yahoo

Bei dem bisher größten bekanntgewordenen Datendiebstahl verschaffen sich Angreifer Zugang zu Informationen von mindestens einer Milliarde Nutzer des Internet-Konzerns. Es gehe um Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter. Der Angriff aus dem Jahr 2014 wurde erst im vergangenen September bekannt.

Target

Ein Hack der Kassensysteme des US-Supermarkt-Betreibers Target macht Kreditkarten-Daten von 110 Millionen Kunden zur Beute. Die Angreifer konnten sich einige Zeit unbemerkt im Netz bewegen. Die Verkäufe von Target sackten nach der Bekanntgabe des Zwischenfalls im Dezember 2013 ab, weil Kunden die Läden mieden.

Ashley Madison

Eine Hacker-Gruppe stahl im Juli 2015 Daten von rund 37 Millionen Kunden des Dating-Portals. Da Ashley Madison den Nutzern besondere Vertraulichkeit beim Fremdgehen versprach, erschütterten die Enthüllungen das Leben vieler Kunden.

Wir möchten einen sicheren und ansprechenden Ort für Nutzer schaffen, an dem sie sich über ihre Interessen und Hobbys austauschen können. Zur Verbesserung der Community-Erfahrung deaktivieren wir vorübergehend das Kommentieren von Artikeln.