Knapp eine Million gehackte Router, massive Störungen bei Internet, VoIP und Fernsehen, Rätselraten bei Sicherheitsexperten und Politikern – und die Urheber der jüngsten großen Cyber-Attacke auf die Deutsche Telekom: unbekannt. Professionelle Angriffe führen in der vernetzten Welt immer öfter zu erheblichen Beeinträchtigungen der technischen, wirtschaftlichen und administrativen Leistungsfähigkeit und stören empfindlich die gesellschaftlichen Lebensgrundlagen. Nach Einschätzung von Bundeskanzlerin Angela Merkel (CDU) gehören Cyber-Angriffe „heute zum Alltag, und wir müssen lernen, damit umzugehen“. Allerdings müsste dazu die digitale Infrastruktur deutlich besser abgesichert werden, betonen IT-Experten.
„Dieses Mal haben wir noch Glück gehabt – der Angriff hat nicht richtig funktioniert“, sagt Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI). Ersten Analysen zufolge versuchte Schadcode eine seit Monatsanfang bekannte Schwachstelle im Fernwartungsprotokoll „TR-069“ auszunutzen und über den dafür verwendeten „Port 7547“ in die Router einzudringen. TR-069 erlaubt dem Provider, unbemerkt und ohne Zustimmung des Nutzers automatische Aktualisierungen einzuspielen. Ziel des Angriffs sollte sein, die Router zu kapern und mit einem „Botnetz“ zu verbinden, bei dem viele Geräte ferngesteuert zusammengeschlossen und für bestimmte Aktionen missbraucht werden.
Die Telekom konterte den Angriff mit Patches und Software-Updates, schloss Port 7547 und riet betroffenen Kunden, den „Speedport“-Router kurz vom Netz zu nehmen. Nach einer Neusynchronisation und abermaligen Anmeldung funktionierte der Router in der Regel wieder. Das Telekommunikationsunternehmen hatte wohl deshalb Glück, weil die Hacker schlampig programmiert hatten und anstatt die Router zu zombifizieren diese zum Absturz brachten: Der Schadcode konnte zwar durch eine Sicherheitslücke im Router eingeschleust werden, die Software war jedoch unfähig, sich in das Dateisystem zu schreiben und so einen Neustart zu überstehen.
Allgemeine Cyber-Bedrohungslage
Diese Cyber-Attacke unterstreicht die Ausführungen zur Bedrohungslage im kürzlich vorgelegten Jahresbericht des BSI über die IT-Sicherheit in Deutschland 2016. Danach bieten die zunehmende Digitalisierung und Vernetzung Hackern fast täglich neue Angriffsflächen und weitreichende Möglichkeiten, Informationen auszuspähen, Geschäfts- und Verwaltungsprozesse zu sabotieren oder sich anderweitig auf Kosten Dritter kriminell zu bereichern. Vor diesem Hintergrund wird die Cyber-Attacke nach Ansicht der Telekom kein Einzelfall bleiben. Das Bonner Unternehmen rechnet vielmehr mit weiteren – auch erfolgreichen – Angriffen.
Während die Organisierte Kriminalität digital aufrüstet und Attacken immer vielfältiger werden, scheint das Bewusstsein für die potenziellen Gefahren in Staat, Wirtschaft, Gesellschaft und Politik noch nicht groß genug zu sein, dass die Absicherung digitaler Infrastrukturen höher priorisiert wird. Erst im Februar konnte deshalb ein Erpressungstrojaner die IT-Systeme des Lukaskrankenhauses in Neuss lahm legen. Andere Krankenhäuser sollen ebenfalls betroffen gewesen sein, hielten dies aber geheim. Ähnliche Erpressungstrojaner trafen auch die Verwaltungen der westfälischen Stadt Rheine sowie der bayerischen Kommune Dettelbach. Selbst der Deutsche Bundestag war nicht gegen Cyber-Attacken gefeit: Im Mai 2015 konnten sich Hacker so weitreichenden Zugang verschaffen, dass gar die Bundestags-IT ausgetauscht werden musste.
Passwortklau, Account-Missbrauch und Identitätsdiebstahl erreichen überdies in immer kürzeren Abständen neue Dimensionen, die Reihe der alleine in den letzten fünf Jahren gehackten weltweit agierenden Unternehmen ist beachtlich: Mai 2011 Sony (102 Mio. gestohlene Nutzerdaten), Februar 2012 YouPorn (1,3 Mio.), März 2012 Last.fm (43 Mio.), 2012 Dropbox (69 Mio.), LinkedIn (177 Mio.) und VK.com (171 Mio.), März 2013 Evernote (50 Mio.), 2013 Tumblr (65 Mio.), Oktober 2013 Adobe (152 Mio.), 2014 Yahoo (500 Mio.), Februar 2014 eBay (145 Mio.), 2015 Anthem (80 Mio.) und Juli 2015 Ashley Madison (36 Mio.).
Politik auf Sachkompetenz angewiesen
Aufgewühlt durch die jüngste Cyber-Attacke zeigt sich Niedersachsens Innenminister Boris Pistorius (SPD) „sehr besorgt“: Könne die Telekom Opfer eines solchen Angriffs werden, so müsse „jedem klar werden, wie aktuell und alltäglich die Gefahr ist“. Nordrhein-Westfalens Innenminister Ralf Jäger (ebenfalls SPD) fordert eine engere Zusammenarbeit von Bund und Ländern um zu verhindern, dass Hacker an Kritische Infrastrukturen gelangen wie etwa die Stromversorgung oder das Netz der Geldautomaten.
Bundeskanzlerin Merkel räumt ein, Regierung und Parlamentarier hätten nicht immer das letzte technische Wissen. „Und wenn sie nicht genau verstehen, was stattfindet, ist es natürlich auch nicht einfach, Gesetze zu machen.“ Deshalb müssten Politik und Wirtschaft in Cyber-Fragen eng zusammenarbeiten. Die von Bundesinnenminister Thomas de Maizière (CDU) erst am 9. November vorgelegte „Cyber-Sicherheitsstrategie“ sei dazu „ein erster Schritt“. Für den netzpolitischen Sprecher der Bundestagsfraktion von Bündnis 90/DIE GRÜNEN, Konstantin von Notz, zeigt der Vorfall jedoch, wie schlecht es insgesamt um den Schutz digitaler Infrastrukturen in Deutschland bestellt sei. Die Bundesregierung trage daran eine Mitschuld, denn sie habe „das Thema über Jahre nicht ernst genommen“: „Die einzig von ihr vorgelegte Maßnahme, das IT-Sicherheitsgesetz, geht an den Herausforderungen eines effektiven Schutzes digitaler Infrastrukturen vorbei“, erläutert der Abgeordnete. „Auch die jüngsten Vorhaben der Regierung, beispielsweise die Schaffung einer neuen Behörde zur Umgehung von Kryptographie, führen zu weniger statt zu mehr IT-Sicherheit“, warnt von Notz.
Das BSI fordert indessen als Konsequenz schärfere Sicherheitsstandards im Internet der Dinge. „Je vernetzter die Welt ist und je allgemeiner Massenprodukte wie Router weltweit baugleich im Netz eingesetzt werden, desto verwundbarer sind unsere Netz-Infrastrukturen“, erklärt Schönbohm. Verstärkt sollten Sicherheits-Gütesiegel eingesetzt und Hersteller verpflichtet werden, zeitnah und regelmäßig Sicherheitsupdates aufzuspielen. Die netzorientierte Piratenpartei wiederum wendet sich gegen eine Verengung der Diskussion auf Sicherheitsaspekte und betont die Bedeutung und Schutzwürdigkeit sowohl der Informations- und Kommunikationstechnik als auch des virtuellen Raumes und der bürgerlichen Freiheitsrechte. Die Crux sei, ein angemessenes Schutzniveau der Datennetze zu gewährleisten und zugleich die Potenziale der IuK-Technik smart und liberal zu nutzen.
Olaf Konstantin Krueger
Leserinnen und Leser dieses Beitrags interessierten sich auch für diese blick-Artikel:
Rosenheim erhält Digitales Gründerzentrum: „Stellwerk 18“ ist „Meilenstein für die Region“
Sicherheit beim Cloud Computing: Frustfrei in die Datenwolke
