Hunderttausende Kunden der Telekom haben stundenlang, teilweise tagelang keinen Zugang zum Netz. Die Telekom selbst spricht von geschätzt 900.000 Fällen. Die Router der Kunden können keine Verbindung mehr zum Telekom-Netz herstellen. Kein Internet. Kein Telefon. Teilweise auch kein Fernsehen. EIn Hack war die Ursache – und das sollte uns zu denken geben.

Offensichtlich wurden die 900.000 Router Opfer eines riesigen Hackangriffs. Davon geht zumindest das BSI aus, das Bundesamt für Sicherheit in der Informationstechnik. Was genau steckt dahinter, wie geht es weiter, welche Auswirkungen hat die zunehmende Vernetzung?

os_router

Die Einschätzung beim BSI lautet: Hier ordnet man den massenweisen Ausfallen einem „weltweiten Angriff auf ausgewählte Fernverwaltungsports von DSL-Routern zu“. Konkret: Die Router der meisten Telekom-Kunden werden von der Telekom gestellt, es sind in der Regel Router der Marke „Speedport“.

Eine Hausmarke der Telekom. Die Geräte werden von der Telekom konfektioniert und auch konfiguriert, selbst dann noch, wenn sie beim Kunden stehen. Der Provider wartet sie aus der Ferne. Das BSI sagt nun, die Hacker hätten genau dieses Einfallstor genutzt. Die Hacker wollten den Routern der Kunden Schad-Software unterjubeln, zum Beispiel, um ein Botnetz zu installieren (ein Verbund von fernsteuerbaren Rechnern).

Die Hacker sind gezielt vorgegangen, es steckt ein klug ausgetüfteltes Konzept dahinter. Aber es wurden offensichtlich nicht nur Systeme der Telekom angegriffen, sondern auch das vom BSI geschützte Regierungsnetz. Hier konnten die Angriffe aber aufgrund funktionierender Schutzmaßnahmen abgewehrt werden, worauf das BSI – nicht zu unrecht – stolz ist. Das bedeutet im Umkehrschluss allerdings auch, dass die Schutzmaßnahmen bei der Telekom ebenso offensichtlich nicht gut genug geschützt waren, sonst wären die Angriffe ja nicht erfolgreich gewesen.

BSI-Gebauedeeingang

Eine Panne hat Schlimmeres verhindert

Ich gehe davon aus, dass das Lahmlegen der Router eine Panne war. Die Hacker wollten vielmehr Kontrolle über möglichst viele Router bekommen, die sie dann zeitgleich und aus der Ferne gesteuert einsetzen können, zum Beispiel für DDoS-Attacken, also massenhafte Angriffe auf einzelne Server.

Also Entwarnung, weil es nicht gelungen ist? Im Gegenteil: Alarmstufe rot, weil denen so viel gelungen ist. Was für ein Coup, auf einen Schlag und dann offenbar auch noch mit technischer Hilfe der Telekom rund 900.000 Router zu infizieren. Aus dieser Panne werden die Hacker lernen und beim nächsten Mal noch besser sein. Für alle, die solche Systeme schützen müssen, bedeutet das: Sie müssen doppelt und drei Mal so viel Aufwand betreiben, um solche Angriffe abzuwehren.

Dass so viele Router innerhalb kürzester Zeit manipuliert werden können, ist eine Folge der Monokultur. Wenn ein Betreiber von der Größe der Telekom bei Millionen Kunden Geräte desselben Herstellers hinstellt, die auch noch alle mehr oder weniger gleich konfiguriert sind – und diese Geräte auch noch zentral wartet und pflegt, kann das im schlimmsten Fall zu einem Massenproblem werden.

Und genau das ist ja offensichtlich passiert: Weil die Telekom sozusagen den Haustürschlüssel zu Millionen Geräten hat und in die Router der Kunden spazieren kann, konnte sich das Schadprogramm derart schnell und wirkungsvoll verbreiten.

Monokultur ist gefährlich

Ein Albtraum für die Techniker der Telekom. Wäre die Gerätelandschaft bunter und vielfältiger und würden die Kunden ihre Geräte selbst warten, wäre das nicht passiert. Ein deutliches Signal: Monokultur ist gefährlich, weil Sicherheitsprobleme gleich unzählige Systeme betrifft.

Betroffene Kunden konnten weder online gehen, noch telefonieren, sofern sie „Voice over IP“ (VoIP) nutzen. Teilweise nicht mal fernsehen. Das zeigt auch, wie sensibel unsere Systeme sind. Da heute immer mehr miteinander vernetzt ist, bedeutet der stundenlange Ausfall des Onlinezugangs teilweise, dass wir blind, taub und stumm sind.

it kabel

Wir können vielleicht das Garagentor nicht öffnen, die Heizung nicht kontrollieren, oder wir sehen nicht, was die Webcam zu zeigen hat. Gleichzeitig werden wir immer angreifbarer, da immer mehr Geräte vernetzt sind. Einen Router aus- und wieder einschalten und ggf. mit neuer Software versorgen, das kriegen die meisten von uns noch hin.

Aber Internet-of-Things-Geräte (IoT) kontrollieren oder warten, das ist für die meisten eine unlösbare Herausforderung. Hacker haben immer mehr Möglichkeiten zu manipulieren.