Rosa Riese mit blauem Auge davon gekommen

Nichts ging mehr für viele Telekom-Kunden am Wochenende: Telefon tot, Internet ebenfalls unterbrochen. Fast eine Million Haushalte waren betroffen. Ursache der bundesweiten Störung waren aber keine Ausfälle der Netzinfrastruktur selbst, vielmehr waren es die von der Telekom bereitgestellten Speedport-DSL-Router der Kunden, die plötzlich ihren Dienst versagten.

Was geschah

Bisher unbekannte Hacker hatten weltweit versucht, eine Sicherheitslücke in DSL-Routern auszunutzen, um Schadsoftware auf den Geräten zu installieren. Der Netzausfall der Telekom war dabei nach Stand der Recherchen gar nicht beabsichtigt sondern vielmehr ein unerwünschter jedoch schwerwiegender Nebeneffekt der Attacke. Eine Schwachstelle im Fernwartungsprotokoll (genannt TR-069/TR-064) erlaubte es Hackern, Zugriff auf bestimmte DSL-Router über das Internet zu nehmen und Funktionen der Fernwartungsschnittstelle aufzurufen. Der vorgesehene Angriff versagte jedoch bei den Speedport-Routern: Die Schwachstelle war dort nach aktuellen Erkenntnissen gar nicht vorhanden; die erhebliche Anzahl von Datenpaketen verursachte jedoch eine Unterbrechung sämtlicher Netzwerkaktivitäten auf den Routern – und damit war der Schaden noch immer erheblich.

Inzwischen hat die Telekom ein Firmwareupdate für die betroffenen Geräte bereitgestellt. In der Regel genügt ein Ausschalten und Wiedereinschalten der Geräte, um das Update einzuspielen. Die Installation ist für die Kunden also kinderleicht, es wird kein Techniker vor Ort benötigt – und das Unternehmen ist mit einem blauen Auge davon gekommen: 72h nach Beginn der Attacke ist nahezu Normalbetrieb eingekehrt.

Glück im Unglück für die Deutsche Telekom: Ein automatisches Update genügt

Es wurden vermeidbare Fehler gemacht: Ein nicht benötigter Fernwartungsport muss geschlossen werden, bevor die Geräte an die Kunden ausgeliefert werden. Glücklicherweise ließ sich das Problem nun nachträglich lösen. Das Katastrophenszenario wäre für die Kunden perfekt gewesen, wenn die Firmware aufgrund eines Fernwartungsangriffs irreversibel verändert worden wäre. Ein solcher als Bricken bezeichneter Updatevorgang führt letztlich zu einer endgültigen Zerstörung der Gerätefunktionen.

Nicht auszudenken, was gewesen wäre, wenn die Router allesamt hätten ausgetauscht werden müssen: Die Produktion der Ersatzgeräte ist zeitaufwändig, der Lagerbestand mit einigen zehntausend Stück (so eine Schätzung aus Insiderkreisen) aber begrenzt. Wochenlange Störungen wären zu erwarten gewesen: ein Alptraum für die Betroffenen.

Eine ähnliche Katastrophe hätte sich ereignet, wenn der Angriff über den Fernwartungszugang das automatische Update persistent unterbunden hätte; dann hätten Techniker vor Ort die Router updaten müssen, wenn die Kunden diesen komplexen Vorgang nicht selbst vornehmen können oder wollen. Bei fast einer Million betroffener Geräte eine logistische Herausforderung, die ebenfalls zu lang anhaltenden Störungen geführt hätte.

Router wertschätzen

Fazit: Glück gehabt, liebe Telekom! Für die Zukunft sollten alle Beteiligten (Hersteller und Netzbetreiber) ihre Lehren ziehen: Der Router ist das leichteste Angriffsziel der privaten Internetnutzer. Es gibt gute Gründe, dass die Softwarequalität dieser Geräte  höchste Priorität erhält. Eine Inbetriebnahme eines Routers, den der Netzbetreiber bereitstellt, darf erst erfolgen, wenn die Software aktualisiert wurde und Sicherheitseinstellungen vorgenommen wurden. Die Routersoftware könnte eine solche verpflichtende Erstkonfiguration vorsehen! Dies mag zu einer höheren Belastung für den Kundensupport führen, es zahlt sich aber sicherheitstechnisch aus. Wenn heute noch Router unverändert in Betrieb genommen werden, die zuvor jahrelang im Regal verstaubten, liegt verantwortungsloses Handeln vor.