Menü

Magenta Security Kongress: Software-Update gegen Telekom-Großstörung im Eiltempo, kein Router gekapert

Die Telekom ist bei dem Hackerangriff auf Telekom-DSL-Router mit einem blauen Auge davon gekommen, erklärt das Unternehmen auf seinem Security-Kongress in Frankfurt. Bis alle Router ein Update bekommen, kann es zwei Tage dauern.

Von
vorlesen Drucken Kommentare lesen 94 Beiträge
Magenta Security Kongress: Software-Update gegen Telekom-Großstörung im Eiltempo, kein Router gekapert

Schlechtes Timing - die Attacke kam ausgerechnet vor dem Kongress, auf dem sich die Telekom als Marktführer in Sachen IT-Sicherheit präsentieren wollte. (Telekom-Manager Dirk Backofen bei der Eröffnung des Magenta Security Kongress)

(Bild: Torsten Kleinz / heise online)

Nach dem Großangriff auf DSL-Router, der 900.000 Telekom-Kunden teilweise ganz vom Netz abgeschnitten hat, zieht der Konzern eine vorsichtig optimistische Bilanz. "Auf keinem Router ist die Schadsoftware installiert worden", betonte Telekom-Manager Dirk Backofen bei der Eröffnung des Magenta Security Kongresses in Frankfurt.

Das Unternehmen entschuldigte sich ausdrücklich für die Ausfälle bei den Betroffenen. Backofen warnte gleichzeitig davor, dass Router anderer Provider infiziert sein könnten.

Hackerangriff auf Telekom-Router

Wie der für Sicherheit zuständige Telekom-Manager Thomas Tschersich in Frankfurt schilderte, hatten Telekom-Mitarbeiter die Attacke am Sonntag entdeckt und innerhalb von zwölf Stunden den Schadcode disassembliert. Weitere 12 Stunden habe es gedauert, bis man eine neue Firmware für die betroffenen Router geschrieben und für das Update beim Kunden bereitstellen konnte. "Normalerweise dauert dieser Vorgang drei oder vier Monate", erklärte Tschersich.

Wie schon das Bundesamt für Sicherheit in der Informationstechnik bekannt gegeben hatte, hatten unbekannte Hacker versucht, Router mit einer Schwachstelle im Fernwartungsprotokoll TR-069/TR-064 (siehe dazu den TR-069-Test von heise security) in das berüchtigte IoT-Botnetz Mirai einzureihen.

Bei einigen Routern des Herstellers Arcadyan, die die Telekom unter der Eigenmarke Speedport vermarktet, sei diese Attacke zwar abgewehrt worden, da die Router unsignierte Firmware ablehnen. Durch die wiederholte Versuche seien die Geräte aber irgendwann überlastet gewesen und hätten den Dienst verweigert. Der genaue Grund für diesen Absturz sei noch unklar, die Telekom-Experten prüften den Fall noch und untersuchten auch weitere Router auf mögliche Schwachstellen.

Wie Backofen auf Nachfrage von heise online erklärte, hat die Telekom "geeignete Routing- und Filtermaßnahmen ergriffen", um eine weitere Infektion von Routern im Telekom-Netz zu unterbinden. Allerdings kann der Provider die gestörten Router nicht aus der Ferne entsperren – der Kunde muss im Fall der Fälle den Router vom Stromnetz trennen, damit das Gerät nach dem Neustart nach der aktualiserten Firmware suchen kann. Wer die Auto-Update-Funktion deaktiviert hat, muss die Firmware per Hand einspielen.

Die Telekom-Manager betonten, sich sofort nach der Diagnose mit anderen Netzbetreibern in Kontakt gesetzt zu haben: "Andere Provider sollten prüfen, ob ihre Router auf den Fernwartungsschnittstellen noch antworten", erklärte Tschersich. Falls dies nicht der Fall sei, könnte die Schadsoftware auf dem Router aktiv sein, ohne dass es den Kunden auffalle.

Wäre die Attacke bei den Telekom-Kunden erfolgreich gewesen, seien die Folgen kaum abzusehen gewesen. "Kein Provider kann einen DDoS-Angriff dieser Intensität rausfiltern", warnte der Telekom-Manager. (jk)

Anzeige
Anzeige