Werbung
Am Montag kam es zu einem großflächigen Ausfall von Internet, Telefonie und IPTV an rund 900.000 Anschlüssen der Deutschen Telekom. Die Gründe für den Ausfall blieben lange im Dunkeln, nach DNS-Problemen spielte die Deutsche Telekom aber ein Firmware-Update für betroffenen Router ein, welches das Problem beseitigen konnte. Dennoch blieb die Frage, was genau zum Ausfall geführt hatte, denn schnell war die Rede von einem Hackerangriff, der eine bereits seit Jahren offene Sicherheitslücke ausgenutzt haben soll. Selbst die Tagesthemen und die Heute-Sendungen beschäftigten sich mit dem Thema, was seine Relevanz noch einmal unterstreichen soll.
Nun konnten zumindest einige Fragen geklärt werden. So handelte es sich wirklich um einen Angriff auf den Fernwartungsport TR-069. Das Ziel war allerdings nicht, die Infrastruktur als solche lahmzulegen, sondern über diesen Fernwartungsport an weitere Geräte im Netz der Kunden zu gelangen. Aufgrund einer fehlerhaften Infektionsroutine ist es dazu aber gar nicht erst gekommen. Das Problem und die Ausfälle sind demnach etwas anders gelagert, als dies zunächst den Eindruck machte.
Geplant war offenbar das Ausnutzen einer Sicherheitslücke, die über TR-069-Anfragen auf Port 7547 dem Betriebssystem des Routers Befehle für den Zeit-Server übergeben sollte. Das sollte wiederum dazu führen, dass Schadcode heruntergeladen werden kann. Kommt es aber zu häufigen TR-069-Anfragen auf Port 7547, verweigern einige Geräte einfach ihren Dienst und schalten die Netzwerkdienste ab. Dies ist mit einigen Speedport-Modellen der Deutschen Telekom geschehen, während andere Router-Modelle die häufigen Anfragen einfach ignorieren. Im Grunde hat es sich also um eine klassischen DDoS-Attacke gehandelt, bei der häufige Anfragen unterschiedlichster Art auf einen Dienst im Netz einwirken. In diesem Fall waren es die TR-069-Anfragen auf Port 7547, die von bestimmten Routern nicht richtig verarbeitet werden und die daraufhin ihren Dienst einstellen.
Weiterhin ist das Netz voll solcher Anfragen, die von anderen und anderweitig infizierten Routern gesendet werden. Die Firmware-Updates der Telekom verhindern nun aber ein Abstürzen der Software. Wichtig aber ist festzuhalten, dass keinerlei Router über TR-069-Anfragen infiziert wurden, sondern eine Infizierung noch gar nicht stattfinden konnte, da die fehlerhafte Infektionsroutine die angegriffene Hardware zum Absturz bringt.
[h2]Deutsche Telekom reagierte nur[/h2]
Auch wenn die Deutsche Telekom nun davon sprechen kann, dass ihre Router nicht durch eine Sicherheitslücke infiziert wurden, gibt es dennoch Versäumnisse auf Seiten des Konzerns. Die Router hätten gar nicht über den Fernwartungsport erreichbar sein dürfen. Es gab bereits Angriffvektoren auf diesem Port, die hätten funktionieren können, doch so weit sind die Angreifer diesmal offenbar nicht gekommen. Wenn der Deutschen Telekom also seit 2014 bekannt gewesen sein sollte, dass es über den Fernwartungsport theoretisch eine Angriffsmöglichkeit gibt, dann hätte man diese Lücke längst schließen können.
Einmal mehr zeigt sich an dieser Stelle auch, dass die freie Routerwahl dem Kunden nicht nur eine Wahl lässt, sondern dieser damit auch entscheidend dazu beitragen kann, dass die eigenen Systeme sicherer sind. Zuletzt veröffentlichte allerdings auch AVM einen Krypto-Schlüssel in seiner Firmware, der so in dieser Form hätte dort nicht vorhanden sein müssen. Auf Seiten von AVM reagierte man aber sehr schnell und war bereits dabei, die Firmware der Geräte auszutauschen. Bei der Deutschen Telekom wurde erst nach Bekanntwerden der Vorfälle reagiert.