SWR-Interview zum Hack der Telekom-Router

Die Sicherheitsexperten von aramido wurden letzte Woche vom SWR zum Hack der Telekom Speedport-Router interviewt.

Was war vorgefallen?

Am 27.11.2016, sonntagabends, hat bei mehreren Kunden der Deutschen Telekom das Internet und andere über das Internet Protocol (IP) laufende Dienste wie Telefon (VoIP) und Fernsehen (IPTV) plötzlich nicht mehr funktioniert. Als Grund für die Störung wurde zunächst ein Angriff auf den zur Fernwartung (von der Telekom EasySupport genannt) verwendeten Port 7547 verantwortlich gemacht. Auf diesem Port konnte ein Dienst mit dem Protokoll TR-069 erreicht werden, der eine Sicherheits­lücke hatte. Später stellte sich jedoch heraus, dass die Geräte gar nicht für diese spezielle Sicherheitslücke anfällig und damit auch nicht das Ziel des Angriffs waren. Der eingesetzte Schadcode sollte gehackte Geräte zu einem Botnetz zusammen­zu­schließen, um sie anschließend aus der Ferne steuern und für weitere Angriffe nutzen zu können.

Die Telekom-Router hatten allerdings eine andere Schwach­stelle: Eine hohe Anzahl von Anfragen auf dem besagten Port führten zu einem Dienstversagen des Routers, wodurch über 900.000 Telekom-Kunden vom Internet zwangs­getrennt wurden. Das eigentliche Ziel des Angriffs waren Router des Herstellers Zyxel, die unter anderem vom irischen Tele­kommu­nikations­unter­nehmen Eir eingesetzt werden. Diese wurden auch erfolgreich infiziert und haben im Anschluss ihrerseits weitere Geräte im Internet angegriffen. Darunter befanden sich auch die Telekom-Router.

Hätte der Vorfall verhindert werden können?

Dem Angriff wurde von allen Medien große Aufmerksamkeit geschenkt. Doch dass dieser überhaupt aufgefallen ist, liegt nur an der Tatsache, dass er ungeplante Aus­wirkungen hatte, nämlich dem Ausfall der Telekom-Router. Nach dem Vorfall sind sich Sicherheitsexperten einig, dass es nicht dazu hätte kommen müssen. So hätte der Fernwartungs­port nicht aus dem kompletten Internet erreichbar sein dürfen. Außerdem sind mangelnde Updates und Wartung bei Router-Firmware ein generelles Problem. Es ist bemerkenswert, dass sich bereits vor zwei Jahren ein Kunde im Support-Forum Telekom Hilft beim Unternehmen gemeldet hatte, um vor potentiellen Sicherheits­lücken im Fernwartungs­protokoll TR-069 zu warnen. Die Antwort des Telekom­mitarbeiters von Januar 2014 auf diesen Hinweis klingt im Nachhinein gewagt: „Sie können davon ausgehen, dass EasySupport sicher ist.“

Telekomhilft zu TR-069

Welche Schlüsse können gezogen werden?

Der SWR4-Reporter Thorsten Helber hatte Andreas Sperber und Armin Harbrecht von aramido nach dem Vorfall interviewt, um zu erfahren, wie man sich effektiv vor IT-Sicherheitsrisiken schützen kann. Das folgende Interview ist ein Ausschnitt des Beitrags, der am 1.12.2016 im SWR-Radio gesendet.

Helber: Es ist wohl der Alptraum jedes Unternehmers: sämtliche Geschäftsdaten plötzlich weg, verschlüsselt, ausgespäht oder böswillig verändert. In solchen und ähnlichen Fällen werden die IT-Spezialisten der Karlsruher Firma aramido gerufen. Meistens allerdings erst, wenn schon etwas passiert ist. So wie beispielsweise der Angriff auf eine Unternehmenswebseite, erinnert sich einer der Geschäftsführer Andreas Sperber.
Sperber: Es gab eine Webseite, die wurde offensichtlich mit Schadsoftware infiziert, die wiederum andere Rechner infiziert hat. Es hat tatsächlich gereicht diese Webseite aufzurufen. Es war ein sogenannter Drive-by-Download. Man konnte sich dann darüber infizieren.
Helber: Besonders kritisch daran: über Monate hinweg blieb der Hackerangriff erst einmal unbemerkt. Die Schadsoftware konnte sich ungestört verbreiten. Im Fall der angegriffenen Telekom-Router ist es daher positiv zu sehen, dass die Sicherheitslücke nun aufgeflogen ist, erklärt Armin Harbrecht.
Harbrecht: Wir können eben froh sein, dass die Autoren dieser Schadsoftware das so schlecht gemacht haben. Sonst wären jetzt vielleicht 900.000 Router infiziert, ohne dass es jemand gemerkt hätte. Ziel eines Hackers ist es eigentlich unbemerkt zu bleiben, weil er nun dann die Sicherheitslücke weiterhin ausnutzen kann.
Helber: Die beiden IT Spezialisten arbeiten als so genannte White Hat-Hacker. Also die guten Hacker, sinnbildlich mit den weißen Hüten — White Hat. Im Gegensatz zu den Black Hat-Hackern setzen sie ihr Wissen nur zum Schutz von IT-Systemen ein, suchen Schwachstellen und machen darauf aufmerksam. Manchmal ist es Unwissenheit, oft führen aber auch Kostendruck und Bequemlichkeit zu Sicherheitsrisiken.
Harbrecht: Ein ganz gutes Beispiel dazu sind mit dem Internet verbundene Überwachungskameras, die es bei Aldi zu kaufen gab. Die hatten einfach ein Standard-Passwort voreingestellt. Das macht es für den Hersteller günstiger und ist für den Nutzer dann erst einmal bequem. Dass das eben auch ausgenutzt werden kann, ist klar.
Helber: Das allgemeine Bewusstsein für IT Sicherheit nehme zwar zu meinen die Experten, oft herrsche aber ein zu sorgloser Umgang und die Haltung „wer interessiert sich schon für meine persönlichen Daten“. Dabei zeigt gerade der aktuelle Fall der Telekom Router mal wieder:“
Harbrecht: Die Hacker hatten kein Interesse die privaten Urlaubsfotos von den Leuten zu hacken, sondern eben die Masse der Router, die dann wiederum für neue Angriffe verwendet werden können. Das war das Interesse.
Helber: „Und was kann man tun, um sich und eben auch andere zu schützen? Für Andreas Sperber gibt es zwei entscheidende Punkte.
Sperber: „Dass man die Standardkennwörter beispielsweise abändert, auf eigene, sichere Passwörter — entsprechend auch lang und mit komplexen Zeichen. Und das zweite Wichtige ist, dass man für Updates seiner Geräte sorgt. Genauso wie man ein Auto eigentlich auch in die Werkstatt zur Wartung bringt, muss man sich darum kümmern, dass seine Geräte auch gewartet werden.
Helber: Das gilt für jeden zu Hause, aber natürlich ganz besonders für den Schutz von Unternehmen.
Sperber: Ein ehemaliger FBI Direktor hat einmal gesagt, dass es zwei Arten von Firmen gibt: Firmen, die bereits gehackt wurden, und Firmen die es noch werden.
SWR-Logo

Was ist zu tun?

Aus dem Hack der Telekom Router kann man verschiedenen Lehren ziehen.

  1. Die Telekom muss ich fragen lassen, warum sie bekannte Sicherheits­lücken so lange nicht behoben hat.
  2. Die Aufhebung des Routerzwangs war eine richtige Entscheidung. Kunden können jetzt aus einer größeren Auswahl an Routern wählen und sind nicht gezwungen, einen möglicher­weise unsicheren Router Ihres Providers zu benutzen.
  3. Hersteller von Routern und anderen Internet of Things (IoT)-Geräten müssen einen Weg finden, ihre Geräte sofort nach Bekanntwerden einer Sicherheits­lücke zu patchen.
  4. Es kann davon ausgegangen werden, dass solche Angriffe täglich im Internet ablaufen und erfolgreich sind. Als Konsequenz steigt die Gefahr für DDoS-Angriffe durch massive Botnetze weiter an, wie Beispiele der jüngsten Vergangenheit zeigen.
  5. Wenn man sich selbst schützen will, darf man nicht blind einem Anbieter vertrauen. Sicherheit entsteht nach dem Zwiebel­schalen­prinzip aus der Kombination mehrerer Schutzschichten.

Wie können Sie Internet of Things-Geräte in Ihrem Unter­nehmen sicherer machen? Ein IoT-Penetrationstest verrät Ihnen, wo Sie angreifbar sind.

Armin Harbrecht

Am 09.12.2016 in der Kategorie Netzwerksicherheit veröffentlicht.