Deutsche Telekom: Telekom-Störung war Folge einer weltweiten Hacker-Attacke

Deutsche Telekom Telekom-Störung war Folge einer weltweiten Hacker-Attacke

Von Frank-Thomas Wenzel 28.11.2016, 16:32

Das Logo der Deutschen Telekom ist in Schwerin (Mecklenburg-Vorpommern) vor dem Gebäude einer Telekom-Niederlassung zu sehen. (Symbolbild) dpa-Zentralbild

Frankfurt - Bei der Telekom waren mehr als 900.000 Anschlüsse von massiven Störungen betroffen. Experten gehen von einem groß angelegten Hacker-Angriff auf bestimmte Typen von Internetroutern aus. Wir erläutern, was das für die Nutzer bedeutet.

Wann und wo ist die Störung aufgetreten?

Erste Beschwerden von Kunden gab es am Sonntagnachmittag. Die Störung beziehe sich nicht auf bestimmte Regionen, sondern trete bundesweit auf, allerdings nur bei bestimmten Typen von Routern, teilte die Telekom mit. Es handelte sich in der Spitze immerhin rund 900000 von rund 20 Millionen Anschlüssen. Die Zahl der Betroffenen habe sich bis Montagnachmittag aber deutlich reduziert, so das Bonner Unternehmen.

Was ist mit den Routern passiert?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) teilte am Montagnachmittag mit, die Störung sei „einem weltweiten Angriff auf ausgewählte Fernverwaltungsports von DSL-Routern“ zuzuordnen. Die Ports werden etwa gebraucht, wenn Nutzer beim Konfigurieren von Routern Hilfe von Experten benötigen, die sich von außen Zugang zu den Geräten erhalten. Hacker haben in der Vergangenheit diese Funktionen schon häufiger für Attacken benutzt, um Router mit Schadsoftware zu infizieren. Zuvor hatte bereits ein Telekom-Sprecher die Möglichkeit eines Hacker-Angriffs angedeutet: Erste Analysen von Sicherheitsexperten würden dies nahelegen. Auch in Nachrichtendienst-Kreisen hieß es, es gebe die Vermutung über eine illlegale Attacke.

Wie muss man die Attacke einordnen?

Es handelt sich ganz neue Qualität von Cyberkriminalität – mit womöglich weitreichenden Folgen. Zeigt es doch, wie verwundbar auch die Infrastruktur der Telekom ist. Regierungssprecher Steffen Seibert erklärte allerdings, die Störung wirke sich nicht auf die Arbeit der Bundesregierung aus. Der Fall zeige aber die Bedeutung der Cybersicherheit. BSI-Präsident Arne Schönbohm betonte, seine Behörde habe zuletzt Anfang November auf die Gefahren durch Hackerangriffe hingewiesen. „In der Cyber-Sicherheitsstrategie wurden bereits geeignete Maßnahmen zum Schutz vor Angriffen auf unsere digitale Infrastruktur beschlossen. Diese müssen nun wirken“, so Schönbohm.

Wurden sensible Daten gestohlen?

Die Telekom betonte: Es gebe keinerlei Hinweise darauf, dass Daten von Kunden gestohlen wurden. Laut Schönbohm wurden Angriffe auch auf das vom BSI geschützte Regierungsnetz registriert. Die Aktivitäten der Hacker seien „aber aufgrund funktionierender Schutzmaßnahmen folgenlos blieben“. Das Nationale Cyber-Abwehrzentrum koordiniere derzeit unter Federführung des BSI die Reaktion der Bundesbehörden.

Was ist bei den Attacken genau technisch passiert?

Die Schadsoftware manipuliert offenbar die Kommunikation zwischen den Routern, die den Internetanschluss herstellen, und dem sogenannten DNS-Dienst der Telekom: Will ein Nutzer eine bestimmte Website aufrufen, leitet der Router die Anfrage an das Domain-Name-System der Telekom weiter. Dieses arbeitet im Prinzip wie eine Telefonauskunft mit einem automatisierten Frage-Antwort-Spiel, bei dem Daten in beide Richtungen fließen. Dabei wird der Name der Website in eine Art Anschlussnummer umgewandelt – genauer formuliert handelt es sich um eine Adresse nach dem Internetstandard (IP-Adresse). Durch die Attacke haben bei dieser Prozedur DNS-Server der Telekom offenbar bestimmte Router-Modelle der Kunden nicht mehr erkannt.

Woher kommen die Hacker?

Darüber gab es zunächst keine Auskunft. In Internetforen kursierten am Montag allerlei Mutmaßungen. Besonders beliebt war die Spekulation, dass russische Hacker sich illegalen Zugang zur Telekom-Infrastruktur verschafft, Router und/oder Telekom-DNS-Server manipuliert haben könnten. Eine Hackergruppe mit Verbindungen zum russischen Geheimdienst wird unter anderem für Attacken gegen die demokratische Partei in den USA verantwortlich gemacht.

Was hat die Attacke bei den Kunden ausgelöst?

Ein Telekom-Sprecher sage am Montag, es gebe Einschränkungen und sehr starke Schwankungen in der Qualität – gemeint sind damit die Übertragungsgeschwindigkeiten. Bei vielen Kunden gehe aber auch gar nichts mehr. Die Störung betrifft neben Internetzugängen auch Telefonie und das Online-Fernsehen der Telekom. Denn beides läuft bei den betroffenen Anschlüssen ebenfalls über die Internettechnik.

Was hat die Telekom unternommen?

Experten der Telekom und der Router-Hersteller haben in der Nacht von Sonntag auf Montag an der Behebung des Problems gearbeitet. Am Montagmorgen wurde ein Software-Update eingespielt, das die Fehler beheben soll. Das Unternehmen riet den Betroffenen, den Router vom Netz zu nehmen mehrere Minuten zu warten, um dann den Router neu zu starten –auch wenn diese Prozedur am Sonntag zunächst erfolglos war. Danach könne sich der Router wieder bei der Telekom anmelden.

Sind solche Angriffe gänzlich vermeidbar?

Offensichtlich wurden gezielt Router mit Sicherheitslücken ausgesucht. Prinzipiell gilt, dass keine Software zu hundert Prozent sicher ist, auch die von Servern und Routern nicht. Denn die oft äußerst komplexen Programme können nicht vollständig frei von Fehlern und Sicherheitslücken sein. Deshalb ist sowohl die Fähigkeit zu Hackerangriffen als auch deren Abwehr ist letztlich eine Frage des Aufwandes, also auch des Geldes. Sicherheitsexperten bemängeln immer wieder einen generellen Trend zu einer Art Flickschusterei: Wird irgendwo ein Fehler gefunden, wird mit kleinen Softwareschnipseln (Patches) schnelle Abhilfe geschaffen – obwohl es besser wäre, Programme komplett neu zu schreiben.

Gab es schon früher Angriffe auf Router?

Eine ganze Reihe von Attacken ist publik geworden – allerdings nicht bei der Telekom und nicht in dieser Größenordnung. So musste die Firma AVM vor zwei Jahren einräumen, dass Hacker die Kontrolle ihre Fritzbox-Router übernehmen konnten. Experten fanden damals heraus, dass sich Nutzer beim Aufrufen einer manipulierten Website die Schadsoftware einfangen. Auch hier wurde Abhilfe mittels eines Updates geschaffen.

Wie groß ist aktuell der Schaden?

Das lässt sich schwer ermessen, zumal zunächst nicht bekannt war, wie stark Unternehmen von der Störung betroffen waren. Zum Glück ereignete sich der Vorfall am arbeitsfreien Sonntag. Bei den Servern handelt es sich um sogenannte Speedport-Geräte, die vor allem von Privatleuten genutzt werden. Bei extrem kritischen IT-Infrastrukturen, wie denen von Banken oder Energieunternehmen, werden andere Geräte eingesetzt. Da Ausfälle von wenigen Minuten schon Millionenschäden verursachen, gelten viel höhere Sicherheitsstandards. Zudem werden für sensible Daten redundante Netzwerke betrieben. Es gibt dann drei oder vier parallele und voneinander unabhängige Kommunikationssysteme. Fällt ein Netz aus, wird automatisch auf ein anderes umgeschaltet.