Der „Telekom-Hack“ – Wie Botnets Ihr Unternehmen gefährden

Nach den Attacken auf Telekom-Router wird öffentlich wieder viel über "Hackerangriffe" gesprochen. Dabei ist das eigentliche Problem schon seit Jahren bekannt: Botnets.

Verfasser: York Albrecht
Datum: 14. Dezember 2016
Lesedauer: 5 Minuten

Spätestens seit dem versuchten Hack-Angriff, von dem besonders die Deutsche Telekom und ihre Kunden betroffen waren, wurde die öffentliche Debatte über Cybersecurity erneut befeuert. Für die Frankfurter Allgemeine Zeitung bedeutet der versuchte Hack eine „digitale Katastrophe von apokalyptischen Dimensionen“, an der man nur knapp vorbeigeschrammt sei, Spiegel Online schreibt dramatisch „damit ist die Gefahr aber noch nicht vorbei“. Es scheint, als müssten erst knapp eine Million deutscher Nutzer betroffen sein, damit die Gefahr durch Botnets von deutschen Medien thematisiert wird.

Noch einmal in aller Kurzform: Was ist passiert?

Das, was in der Berichterstattung gemeinhin „Telekom-Hack“ genannt wird, war kein Hack auf die Netze der Telekom. Vielmehr war es der Versuch, verwundbare Speedport und Zyxel Router, die Kunden von der Telekom oft zur Verfügung gestellt werden, unter Kontrolle zu bringen. Dadurch sind auch gewerbliche Nutzer der betroffenen Geräte gefährdet. Das Ziel der Angreifer: die Geräte mit der Mirai-Malware infizieren, um sie für Botnet-Attacken zu nutzen. Denn Mirai steckt hinter einigen der größten DDoS-Attacken der Geschichte. Erst im Oktober legte die Malware Twitter oder Netflix lahm.

„Eigentlich ist Mirai spezialisiert auf IoT-Devices,“ erklärt F-Secure Sicherheitsberater Rüdiger Trost. „Und weil IoT-Devices und Router oftmals die gleichen Sicherheitslücken haben, lohnt es sich für die Angreifer, Mirai anzupassen, um Router angreifen zu können.“  Beispielsweise werden IoT-Geräte wie Webcams von den Herstellern nur durch schwache Standardpasswörter geschützt – das Gleiche gilt für Router. Die Malware versucht mit Bruce Force-Attacken diese Standardpasswörter der Geräte zu knacken, probiert dabei beispielsweise Kombinationen wie „password“ oder „123456“ aus. Und erschreckend oft gelingt es Mirai, die Geräte zu knacken. Einmal unter Kontrolle, wird jedes Gerät zu einem von zehntausenden Bots, denen Mirai Befehle zusenden kann – ein Botnet entsteht.

Diese können dazu verwendet werden, auf den infizierten Geräten weiteren Schadcode zu installieren, verheerende DDoS-Attacken durchzuführen oder weitere Geräte zu infizieren, sodass das Botnet immer größer wird. Schätzungsweise fünf Millionen verschiedene Devices  sollen beim Angriff auf die Telekom-Router beteiligt gewesen sein.

Das Perfide an Bots wie Mirai: sie befallen bevorzugt IoT-Geräte, die schlechter geschützt sind als traditionelle PCs. Smartphones, Laptops oder Webcams können Teil eines Botnets sein, ohne dass Nutzer davon beeinträchtigt werden würden oder sogar etwas bemerken. Das macht Botnetze deutlich schwerer zu bekämpfen, wenn beispielsweise IoT-Devices keine fähige Antivirus-Software ausführen können.

„Wie bei jeder neuen Technologie ist es das Verhalten der Käufer“, sagt Rüdiger Trost. Denn dass Standardpasswörter geändert werden müssen, ist wahrlich keine Neuigkeit. „Sicherheitsforscher und sogar Hacker reden schon seit Jahren über die Sicherheitslücken von IoT-Devices. Jetzt gehen die Probleme los und sie werden höchstwahrscheinlich erstmal schlimmer als besser werden.“

Doch für Nutzer gibt es genügend Möglichkeiten herauszufinden, ob die eigenen Geräte betroffen sind. Viele davon sind einfach, benötigen kein detailliertes technisches Wissen und sind deshalb fast jedem Käufer von IoT-Technik zumutbar, der es Kriminellen nicht allzu leicht machen will, für Attacken missbraucht zu werden.

  1. Das Gerät zurücksetzen
    Router oder IoT-Geräte zurücksetzen ist ein guter Anfang, um die Infektion von Ihrem Gerät zu entfernen. Es löst aber nicht das eigentliche Problem der Verwundbarkeit Ihres Gerätes. Und weil Mirai sich so aggressiv ausdehnt, bleiben Ihnen womöglich nur ein paar Minuten, bis Ihr Gerät wieder infiziert wird.
  1. Standardpasswörter ändern
    Die meisten Nutzer ändern die Passwörter ihrer IoT-Geräte nicht. Das ist ein riesiges Problem. Denn wie oben beschrieben, nutzen Hersteller Standardpasswörter für gleiche Modelle oder Produktlinien. Noch schlimmer: Listen solcher Standardpasswörter sind online verfügbar. Ändern Sie das Passwort ihres Gerätes deshalb immer, wenn es möglich ist.
  1. Kontaktieren der Geräteanbieter/ISPs
    Viele Devices können nicht einfach verändert werden, beispielsweise können Passwörter manchmal nicht von Usern geändert werden. Firmware wird oft mit Sicherheitslücken versandt, die Patches der Anbieter nötig macht. In solchen Fällen müssen die Hersteller übernehmen.Kontaktieren Sie diese also bei Bedarf – vielleicht helfen sie, vielleicht nicht. Die Telekom beispielsweise bemühte sich in der vergangenen Woche sehr, den betroffenen Kunden ihre Services wieder zur Verfügung zu stellen. Wer auch einen Mobilfunkvertrag bei der Telekom hatte, bekam kostenlos einen Tagespass, um alle Internet-Anwendungen über das mobile Netz abwickeln zu können. Immerhin ein Anfang. Als Mirai im Oktober den Internetanbieter Dyn lahmlegte, rief ein chinesischer Webcam-Hersteller einige seiner Produkte zurück, da die Nutzer selbst Passwörter nicht ändern konnten. Im schlimmsten Falle könnten Nutzer aber dazu gezwungen sein, infizierte Geräte wegzuwerfen.

Nach den Attacken mehrt nun sich der Ruf nach einer stärkeren Zusammenarbeit zwischen Wirtschaft, Wissenschaft und Politik. Die sonst eher wirtschaftsliberale FAZ fordert bemerkenswerterweise, die Politik müsse notfalls „auch gegen kurzfristige Wünsche aus der Wirtschaft arbeiten“ und klare Haftungsregeln etablieren, die Unternehmen dazu zwingen, nur noch Geräte auf aktuellem Stand der Technik auszuliefern.

Auch Bundeskanzlerin Merkel sprach sich für eine engere Kooperation zwischen Industrie und Gesetzgeber aus. Die Politik sei auf die Sachkompetenz der Industrie angewiesen. Regierung und Parlamentarier hätten nicht immer das letzte technische Wissen. Einsicht ist der erste Weg zur Besserung, heißt es doch so schön.

Zumindest einige Regelungen zur Cybersecurity gibt es bereits. 2015 trat das IT-Sicherheitsgesetz zum Schutz Kritischer Infrastrukturen in Kraft, das unter anderem Telekommunikationsunternehmen dazu verpflichtet, Kunden zu warnen, falls ihr Anschluss beispielsweise als Teil eines Botnets für Angriffe genutzt wird. Außerdem müssen sie Kunden Hinweise zur Beseitigung der Störung geben. Im Mai 2016 trat zudem im Zuge der weltweit gehäuften Sicherheitsvorfälle die so genannte KRITIS-Verordnung in Kraft, welche die Betreiber so genannter „Kritischer Infrastrukturen“ – beispielsweise Telekommunikation, aber auch Betreiber von Kernkraftwerken – noch genauer unter Aufsicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) stellt.

Delikat dabei allerdings: „Die Pflicht zur Einhaltung von IT-Sicherheitsstandards (Stand der Technik), zu denen Betreiber Kritischer Infrastrukturen mit dem IT-Sicherheitsgesetz verpflichtet werden, besteht erst zwei Jahre nach Inkrafttreten der Verordnung“, schreibt das BSI in seinen FAQ zum IT-Sicherheitsgesetz. Und weiter: „Konsequenterweise drohen auch erst dann Bußgelder, wenn der Pflicht nicht nachgekommen wird.“ Für Betreiber Kritischer Infrastrukturen wie der Telekom heißt das: Bei Vorfällen besteht zwar eine Meldepflicht, aber erst ab 2018 drohen Sanktionen, wenn gegen die definierten Sicherheitsstandards verstoßen wird. Das gibt der Telekom zwar die Zeit, sich weiter zu modernisieren – ob das jedoch schnell und effektiv mit der explosionsartigen Evolution von Botnets und anderen Bedrohungen einhergeht, bleibt angesichts der aktuellen Vorgänge fraglich.


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s