Router im Visier

Malware schneidet 900.000 Deutsche vom Internet ab

(Bild: APA/AFP/dpa/OLIVER BERG)

Sicherheits-GAU bei der Deutschen Telekom: Weil Angreifer versuchten, Hunderttausende Router in ein Botnet einzugliedern, haben 900.000 Kunden seit Sonntag kein Internet mehr. Wie sich herausstellte, drang ein neuer Strang der Mirai-Schadsoftware über eine Lücke im Fernwartungsprotokoll in die Router ein. Nur weil die Malware "schlecht programmiert" war, konnte größerer Schaden abgewendet werden, heißt es von der Deutschen Telekom.

Beim Botnet Mirai handelt es sich um ein gewaltiges Netzwerk aus mindestens einer halben Million vernetzten Geräten. WLAN-Kameras, "smarte" Unterhaltungselektronik und alle möglichen weiteren schlecht gesicherten Akteure des "Internet of Things" sind Teil des Netzwerks und führen auf Befehl verheerende DDoS-Attacken auf Ziel-Websites aus. Dabei wird ein Server mit Anfragen bombardiert, bis er unter der Last zusammenbricht.

Die Mirai-Malware ist hoch infektiös, sucht dauernd nach neuen infizierbaren Geräten. Erst kürzlich zeigte ein Sicherheitsforscher, dass eine schlecht gesicherte WLAN-Kamera binnen weniger Minuten Teil eines Botnets wird, wenn sie mit dem Internet verbunden wird. Doch nun weiten die Mirai-Hintermänner ihre Aktivitäten laut dem Technikmagazin "PC World" offenbar auf Router aus.

Behörde warnt vor weltweiter Router-Attacke
Wie "Heise" berichtet, warnt das deutsche Bundesamt für Sicherheit in der IT (BSI) explizit vor einem weltweiten Großangriff auf Router, die über einen bestimmten Port ferngewartet werden. Die deutsche Telekom sei das größte Opfer, die Attacke betreffe aber schlecht gesicherte Router auf der ganzen Welt.

Die Malware soll auch versucht haben, ins Netz der deutschen Regierung einzudringen - allerdings ohne Erfolg. Besonders pikant: Dem Bericht zufolge ist die Sicherheitslücke, die sich die Angreifer zunutze gemacht haben, seit 2014 bekannt.

Glück im Unglück: Seitens der deutschen Telekom heißt es, die verwendete Malware sei schlecht programmiert gewesen und hätte unter Umständen noch weit größeren Schaden anrichten können. Mittlerweile will die Telekom die Internet-Ausfälle bei den Hunderttausenden betroffenen Kunden eingedämmt haben, ein Update für die verwendeten Router der Marke Speedport soll sie künftig gegen die Angriffe schützen. Den Netzwerk-Port, über den die Malware in die Router eindringen sollte, hat die Telekom gesperrt.

"Router-Monokultur" birgt gewisse Risiken
Die Probleme in Deutschland zeigen, welche Gefahr die großflächige Verwendung eines einzigen Router-Modells birgt. Aus wirtschaftlicher Perspektive mag es sinnvoll sein, den Wartungsaufwand und die Kosten durch die Nutzung bestimmter Modelle zu minimieren und diese im Idealfall noch fernzuwarten, ohne einen Techniker schicken zu müssen.

Gelingt es Angreifern aber, über eine womöglich durch die Fernwartungsmöglichkeit erst verursachte Sicherheitslücke in die Geräte einzudringen, hat dies in einer "Router-Monokultur" weit schlimmere Folgen als bei Providern, bei denen Kunden ihre Router selbst wählen.