Die Deutsche Telekom will die Probleme mit ihren Routern im Laufe des Dienstags vollständig beheben. "Die Zahl der akut betroffenen Router ist von 900.000 dramatisch zurückgegangen, wir gehen davon aus, dass wir heute keine Probleme mehr sehen werden", sagte Telekom-Sprecher Georg von Wagner am Dienstag im RBB-Inforadio. Ein am Montag vom Unternehmen ausgeliefertes Firmware-Update habe funktioniert, die Zahl der gestörten Router sei bereits am Nachmittag spürbar zurückgegangen.

Fehlerhaft

"Die Schadsoftware war schlecht programmiert, sie hat nicht funktioniert und hat nicht das getan, was sie hätte tun sollen. Ansonsten wären die Folgen des Angriffs noch viel schlimmer gewesen."

Auf wen der Hackerangriff auf die Telekom-Router zurückgeht, sei noch nicht bekannt. "Wer dafür verantwortlich ist, wissen wir nicht", sagte von Wagner. Seit Sonntagmittag kam es nach Angaben der Telekom bei rund 900.000 ihrer mehr als 20 Millionen Festnetzkunden zu Ausfällen oder starken Schwankungen in der Qualität der Verbindungen für Internet, Telefonie und Fernsehen.

Auch wenn die Angelegenheit nun glimpflich verlaufen ist, muss sich die Deutsche Telekom doch unerfreuliche Fragen gefallen lassen. So nutzten die Angreifer eine Lücke im Fernwartungsprotokoll TR-069, wie das SANS-Institut ausführt. Ein sehr ähnliches Problem war bereits 2014 aufgetaucht, damals versicherte die Telekom noch, dass man die Sicherheit der eigenen Netze im Griff habe. Der jetzt eingesetzte Exploit ist seit Anfang November bekannt.

Motivsuche

Unterdessen kann über die Motive der Angreifer nur spekuliert werden. Dabei scheint es durchaus möglich, dass die aktuelle Störung nur ein Versehen war, und es viel mehr um den Aufbau eines Botnetzes für künftige Distributed-Denial-of-Service-Angriffe ging. Unter dem Namen Mirai hatte unlängst ein solches aus Geräten des Internets der Dinge zusammengesetztes Botnet für einige Aufregung gesorgt.

Betroffenen Nutzern wird empfohlen, für rund 30 Sekunden auszuschalten und dann erst wieder an den Strom zu hängen. Infolge werde das neue Update dann eingespielt, wenn dieser Vorgang nicht ohnehin bereits automatisch vorgenommen wurde.

Österreich betroffen

Allerdings gilt dieser Ratschlag nur für die Kunden der Deutschen Telekom, da es nur dort ein aktuelles Update gibt. Es ist aber zu befürchten, dass die Angriffe weit über deren Netz hinausgehen. Immerhin kommt TR-069 auch bei anderen Anbietern zum Einsatz. So verweist das SANS Institut etwa darauf, dass der TR-069-Traffic auch in Österreich in den letzten Stunden deutlich zugenommen hat. Insgesamt ließen sich in Österreich 53.000 Geräte auf dem für TR-069 genutzten Port über das Internet erreichen.

Otmar Lendl von Cert.at warnt allerdings gegenüber dem STANDARD vor voreiligen Schlüssen. Derzeit habe man noch keine Berichte über gröbere Vorfälle, die auf ähnliche Infektionen wie in Deutschland hinweisen. Aktuell stehe man in Kontakt mit den Providern, um diese auf die potentielle Bedrohung hinzuweisen, und weitere Informationen zu sammeln. Die bisherige Erfahrung zeige aber, dass TR-069 in Österreich von den Providern meist über eigene, private Netzwerke abgewickelt wird, die nicht aus dem Internet zu erreichen sind. (Reuters/apo, 29.11.2016)