Die Meldung hat schnell die Runde gemacht. Knapp eine Million Menschen waren ohne Internet, und das nicht wegen einer Störung, sondern wegen eines „gezielten Angriffs von außen“. Das teilte ein Telekom-Sprecher am Montag auch gegenüber WIRED mit. „Wir beobachten das gleiche Fehlerbild bei Routern des gleichen Typs. Unsere Forensiker sind an der Sache dran, ich kenne die Art des Angriffs nicht“, so die Erklärung. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) setzte dann am Abend noch einen drauf: Nicht nur die Deutschen seien betroffen, sondern da laufe gerade nicht weniger als ein „weltweiter Angriff“ ab.
Experten vermuten mittlerweile, dass die Router der Telekom tatsächlich nicht die einzigen Opfer sind – hinter dem Angriff steckt demnach eine Malware, die massenhaft Geräte infiziert hat. Ihr Code hat große Ähnlichkeiten zu einem alten Bekannten: dem Schadprogramm Mirai. Mirai befällt Linux-Systeme und schaltet die infizierten Geräte mit anderen zu einem sogenannten Botnet zusammen. Ziele sind einfache Router sowie Internet-of-Things-Devices. Als Teil eines Netzwerks werden diese für großangelegte Überlastungsangriffe auf Server missbraucht, sogenannte DDoS-Attacken. So ein Angriff hat im Oktober weite Teile des Internets an der US-Ostküste unerreichbar gemacht.
Wenn ein einfaches Stück Malware schon solchen Schaden anrichten kann, dann ist das sehr wohl ein Problem
Im aktuellen Fall gelangte Mirai wahrscheinlich über eine Sicherheitslücke der Wartungsprotolle TR-069 und TR-064 auf die Router der Telekom-Kunden. Die IT-Sicherheitsfirma BadCyber hatte schon Anfang des Monats von einer Malware-Infektion über TR-064 berichtet. Die Forscher des Unternehmens schrieben: „Es sieht so aus, als habe jemand entschieden, die Lücke zur Waffe zu machen und einen Internet-Wurm auf Grundlage von Mirai-Code zu erschaffen.“
Die Malware sitzt im Arbeitsspeicher der Router. Das gute alte Stecker-ziehen- und-wieder-einstecken sollte also funktionieren, um wieder online zu kommen. Jeder Neustart löscht den Arbeitsspeicher. Dennoch ist es eine unzulässige Verharmlosung, wenn es bei der Telekom heißt, der Angriff sei schlecht programmiert gewesen und kein Problem.
Die Bedrohung durch Mirai ist schon länger bekannt und Experten kritisieren die Unsicherheit des Internet of Things schon seit Jahren. Wenn ein einfaches Stück Malware solchen Schaden anrichten kann, weil die Firmware einzelner Router einfach offen steht, dann ist das sehr wohl ein Problem. Noch dazu eine Malware, die nur als Vorstufe für größere Angriffe gedacht ist. Nein, dieser Zwischenfall passt vielmehr in eine ganze Reihe von Hacker-Angriffen, die zeigen, wie wehrlos Unternehmen und Institutionen noch immer gegen Angriffe aus dem Netz sind.
Auch die politische Komponente sollte jetzt eine Rolle spielen: Wer steckt hinter der Malware? Gibt es vielleicht eine Agenda? Die Sache ist jedenfalls nicht ausgestanden, die Sicherheitslücke von TR-069 und TR-064 ist noch nicht gestopft und die Suchseite für das Internet of Things, Shodan, zeigt nach wie vor fünf Millionen offene Ports auf Grundlage des fehlerhaften Protokolls.
Der IT-Sicherheitsexperten Johannes Dahse von der Ruhr-Universität Bochum rät Telekom-Kunden deswegen bei tageschau.de zu drastischen Maßnahmen: „Bis die genaue Erklärung bekannt ist und die Router eine sichere Firmware haben, würde ich keine Mails verschicken oder Online-Banking betreiben.“
+++ Mehr von WIRED regelmäßig ins Postfach? Hier für den Newsletter anmelden +++
