Deutsche Telekom zum Angriff auf Router: Folgen hätten schlimmer sein können

telekom logo artikelAm Sonntag Nachmittag ging es los, ein Angriff auf die Speedport-Router der Telekom sorgte für zahlreiche Störungen, Nutzer konnten nicht wie gewohnt ihre Internetverbindung nutzen. Schuld daran soll ein Angriff auf Port 7547 – dem Fernwartungsport der Speedport-Router – gewesen sein. Bereits gestern spielte die Telekom neue Software ein, das Ganze greift auch, die Telekom geht davon aus, dass im Laufe des Dienstag wieder alles normal laufe. Bereits seit gestern Nachmittag sei die Zahl der betroffenen Router spürbar zurückgegangen. Telekom-Sprecher Georg von Wagner dazu gegenüber RBB-Inforadio:

„Die Schadsoftware war schlecht programmiert, sie hat nicht funktioniert und hat nicht das getan, was sie hätte tun sollen. Ansonsten wären die Folgen des Angriffs noch viel schlimmer gewesen. Die Zahl der akut betroffenen Router ist von 900.000 dramatisch zurückgegangen, wir gehen davon aus, dass wir heute keine Probleme mehr sehen werden.“

Durchaus große Worte des Sprechers. 900.000 betroffene Kunden durch eine schlecht programmierte Schadsoftware, nicht auszudenken, was los wäre, wenn sich jemand bei der Schadsoftware richtig Mühe gegeben hätte. Aus den Routern sollte wohl ein Botnet entstehen, über 40 Millionen Geräte mit offenem Port 7547 listet die „Internet of Things“-Suchmaschine Shodan.io.

Während sich die Telekom nicht an Spekulationen beteiligen möchte, wer für den Angriff (der global angesetzt wurde) verantwortlich ist. Allerdings möchte man nicht ausschließen, dass es auch künftig solche Angriffe geben wird. Von Wagner erwähnte, dass es keine 100 prozentigen Sicherheit vor Hackerangriffen gibt. Das klingt zwar realistisch, allerdings sollte die Telekom auch dafür sorgen, dass die eigenen Produkte so gut wie möglich abgesichert sind.

Die Deutsche Telekom hat mittlerweile auch eine FAQ für Kunden

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

22 Kommentare

  1. Man liest des öfteren das der Angriff global angesetzt war. Nur liest man nirgends etwas davon wer, wie oder was außerhalb Deutschlands betroffen wurde.
    Von einem Angriff wurde auch zuerst öffentlich vom BSI spekuliert u. nicht von der Telekom selbst. Da sind wohl noch einige offene Fragen zu dem Thema.

  2. Als ob das BSI weiss was es macht!

  3. An der Aussage „Die Schadsoftware war schlecht programmiert, sie hat nicht funktioniert und hat nicht das getan, was sie hätte tun sollen. …“ kann man mal wieder die typische Arroganz und Ignoranz eines Großunternehmens ablesen. Statt das man sich bei den Kunden (immerhin fast 1 Mio.) entschuldigt und zugibt das es eine offenkundige Schwachstelle gibt/gab, und man bemüht ist in Zukunft solche Risiken zu minimieren – auch wenn es keine 100% Sicherheit gibt – nein, man bügelt es einfach ab. Danke Telekom. Nicht!

  4. Globaler Hackerangriff auf 2 Speedportrouter Modelle ?
    Gibts die auch in anderen Ländern ?
    Ich denke bei der Telekom hat jemand Mist gebaut und dachte sich … sagen wir doch es wären Hacker gewesen.

  5. Jetzt mal ganz blöd gefragt, macht es denn überhaupt Sinn, dass jemand ausser die Telekom im Telekomnetz auf diesen Port zugreifen kann!?

  6. Evtl wird da nur etwas runtergespielt und verharmlost, evtl ist das viel mehr gelaufen als der Durchschnitt zu glauben vermag. Schlecht programmiert? Evtl nur ein Testlauf? Oder ist das Ziel bereits erreicht? Nur der rosa Riese weiß es selber noch nicht ?!

  7. Die Aussage „Die Schadsoftware war schlecht programmiert, sie hat nicht funktioniert und hat nicht das getan, was sie hätte tun sollen.“ macht das Ganze eingentlich noch peinlicher – die Telekom kommt nicht mal gegen Dilettanten an.

  8. @Sven Speicher
    zum Fern konfigurieren der Router macht das schon Sinn (was wohl auch nötig ist zur Funktion in gewisser Weiße), eigentlich sorgt man aber dafür das bestehende Bugs gefixt werden wenn es um solche Schnittstellen geht, die Telekom scheint es aber nicht nötig gehabt zu haben – ist ja nichts neues so einen beschissenen (schlecht wäre noch ein zu gutes Wort) Service bei der Telekom zu haben.

  9. @ Namerp: Das ist klar, aber dies sollte ja nur von der Telekom genutzt werden oder? Macht jetzt auf den ersten Blick für mich keinen Sinn warum fremde im Telekomnetz auf diesen Port zugreifen können.

  10. @HS Ich glaube bei Heise war die Rede von Routermodellen der Marken Zyxel und Speedport, die von der Deutschen Telekom und Eircom in Irland eingesetzt werden

  11. Das BSI hat den Durchblick. Genau wie auf Ihrer Website mit Ihrem SelfSign Zertifikat, was nicht vertrauenswürdig ist. 😉
    Angriffe auf Port 7547 sind in unserer Firewall aus aller Welt ersichtlich, da gibt es kein Land was sich hervorhebt und die Versuche laufen nach wie vor weiter.

  12. Ich weiß schon warum ich gehen diesen ganzen Fernwartungsmist bin den ich nicht steuern kann.
    Ich weiß auch nicht warum Gott und die Welt auf meine Geräte zugreifen muss.
    Es würde doch reichen wenn ich in bestimmten Fällen die Zustimmung für kurze Zeit erteilen kann.

  13. Bei der Telekom betrifft es einige Speedports, die ausschließlich von Arcadyan stammen:
    W921V, W921 Fiber, W723V Typ B
    https://www.telekom.de/hilfe/hilfe-bei-stoerungen/anschluss-ausfall

    Das mit den Zyxel wird hier erwähnt:
    https://badcyber.com/new-mirai-attack-vector-bot-exploits-a-recently-discovered-router-vulnerability/

    Es werden leider nirgends handfeste Infos geliefert, meist nur Meldungskopien. Hier habe ich die meisten brauchbaren Infos gefunden:
    http://computerrepairplymouthmn.com/2016/11/28/900000-routers-knocked-offline-in-germany-amid-rumors-of-cyber-attack/

  14. @Manfred: Ja, inzwischen trudeln ja ein paar Infos dazu ein. Den Schadcode als schlecht programmiert zu bezeichnen, obwohl er 900000 Router platt machte, rettet die Telekom aber auch nicht, obwohl sie das ja langsam wieder in den Griff bekommen (bleibt zu hoffen). Und die Router-Hersteller jetzt als Schuldige auszumachen ist auch ein Armutzeugnis des Rosa Riesen. Bleibt nur noch die Frage was die Sicherheitsspezialisten bei der Firma so treiben, wenn sie das nicht bemerken oder nicht schon im voraus unterbunden haben. Sicher ist jetzt nur noch das die Telekom auch nicht der sicherste Verein ist.

  15. Die Angriffe laufen anscheinend gegen alle möglichen Router, nur ist es bei den Telekom Geräten schief gelaufen, wäre es jetzt nicht wichtiger zu schauen wo der Angriff erfolgreich war?

  16. Deliberation says:

    @HS: so pauschal kann man hier die Telekom nicht verurteilen. NIcht ohne Grund gibt es die Initiative gegen den Routerzwang. Dabei geht es nicht nur darum, sich den Lieblingsrouter seiner Wahl hinzustellen. Es geht auch darum, dass viele Provider den Router nicht aktuell halten, man selbst aber keine Updates auf dem gestellten Gerät einspielen kann. Hier geht es also um ein grundsätzliches Problem und kein isoliertes Phänomen bei der Telekom.

  17. @Deliberation: Ne, ist nicht pauschal sondern speziell an die Telekom gerichtet für den aktuellen Fall. Die selbst reden ja von Glück gehabt, dass der Code schlecht programmiert war u. so das Botnetz nicht zur Geltung kam. Man stelle sich vor der Code wäre gut programmiert gewesen. 900000+ (sind ja nicht wenig) Router bzw. Leute dahinter hätten ganz schön blöd geschaut. Wenn man das Problem immer erst erkennt wenn es zu spät ist, ist niemandem geholfen. Aber du hast Recht. Bis es die anderen ISP erwischt ist nur eine Frage der Zeit. Ein Lösung dafür habe ich leider nicht, außer der Empfehlung das die vorhandenen Experten da mal in Zukunft besser aufpassen.

  18. Alle Hersteller oder Vertriebe (Telekom z.B.) von Routern mit der seit zwei Jahren bekannten Lücke haben einfach nur tierisch Schwein, dass der Schädling offenbar nicht so funktioniert hat, wie er sollte.
    Was wäre das für eine Blamage und Schädigung des Rufes gewesen, hätten die Angriffe funktioniert? Da kannst du schon von grober Fahrlässigkeit reden und über Schadenersatzklage nachdenken, wenn das funktioniert hätte.

  19. MonteCaterno says:

    Meiner Meinung nach sind bspw. auch CISCO Modems von Unitymedia stark betroffen. Seit mehreren Wochen gibt es immer wieder kurzzeitige Abbrüche und Lags. Per Pingplotter habe ich das dokumentiert und an UM geshcickt. Auf einen aufgemachten Servicefall wird überhaupt nicht reagiert und bei allestoerungen.de häufen sich auch die erbosten meldungen von UM-Kunden.
    1&1 scheint (als Nutzer von Telekom-Infrastruktur) auch betroffen. Da scheinen momentan einige Dinge zu laufen, die offensichtlich unterm Teppich gehalten werden sollen.
    Letztlich zeigt das doch nur sehr schön, wie verwundbar eine moderne Industrienation ist, wenn die heilige Kuh „Internet“ attackiert wird. Und da reden alle groß von IoT und Industrie 4.0, während sie noch nicht mal die grundlegende Infrastruktur dafür sicher und zuverlässig hinbekommen. Lächerlich…. und bedenklich!

  20. @Sven Speicher
    Es geht bei solchen Angriffen darum, die Kontrolle über das gerät zu erlangen.
    Im Vordergrund funktioniert alles wie gewohnt, im Hintergrund wird die „freie“ Rechenleistung dazu genutzt die Geräte zu vernetzen und so etwas wie einen Supercomputer zu „bauen“… nur halt auf Tausende, bzw. Millionen Standorte verteilt.
    Mit der Rechenleistung lässt sich dann schon eine Menge Unfug treiben 😀

  21. Vor allem Punkt 4.1 ist zu beachten: „Access to any action that allows configuration changes to the CPE MUST be password protected.“

  22. @ Daniel ja schon klar, aber es wäre doch alles mit einer simplen Firewall Regel gesichert oder? Also nur so das nur die Telekom Konfigurationsserver auf diesen Port zugreifen können und fertig. Oder denke ich zu einfach?