Nach der Telekom-Großstörung: Mutmaßlicher Hacker wegen Angriff auf Deutsche Telekom festgenommen

Dem Verhafteten wird Computersabotage vorgeworfen. Dafür droht ihm eine Freiheitsstrafe von 6 Monaten bis 10 Jahren. Dem BKA zufolge sollten während des Angriffs vor drei Monaten Telekom-Router Teil eines Botnetzes werden.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 167 Beiträge
Von

Knapp drei Monate nach dem massiven Hackerangriff auf Internetrouter der Deutschen Telekom ist ein Verdächtiger in London festgenommen worden, teilen die Staatsanwaltschaft Köln und das Bundeskriminalamt (BKA) mit.

Dem britischen Staatsbürger werde versuchte Computersabotage in einem besonders schweren Fall vorgeworfen. Kräfte der britischen National Crime Agency hätten den 29 Jahre alte Mann am Mittwoch an einem Londoner Flughafen gefasst. Er soll Ende November Router der Deutschen Telekom angegriffen haben. Mehr als eine Millionen Kunden konnten daher zeitweise ihren Internetanschluss nicht nutzen.

Hackerangriff auf Telekom-Router


Zum Zeitpunkt der Großstörung war die Ursache noch unklar. Kurze Zeit später stelle sich heraus, dass ausschließlich verschiedene Speedport-Modelle betroffen waren und die Telekom prüfte Hinweise auf einen Hackernagriff.

Wie das BKA nun berichtet, wollte der Verdächtige die Router kapern und in ein von ihm betriebenes Botnetz integrieren. Dieses soll er in Untergrund-Foren zum Verkauf für etwa DDoS-Angriffe angeboten haben.

Im weiteren Verlauf stelle sich heraus, dass es bei den betroffenen Routern massive Angriffe auf den Fernwartungsport TR-069 bzw. TR-064 gab. Viele Experten – darunter auch heise Security – gingen davon aus, dass die Angreifer die Router über eine TR-069-Sicherheitslücke attackiert haben. Doch bei einem Selbstversuch mit einem anfälligen Router des Sicherheitsforschers Ralf-Philipp Weinmann stellte sich heraus, dass diese Lücke gar nicht in den angegriffenen Speedport-Modellen klafft.

Weinman zufolge haben die regelmäßigen TR-069-Angriffe die Geräte schlicht lahmgelegt. Eine wie auch immer geartete Infektion gab es dabei nicht und das beabsichtigte Kapern der Geräte schlug fehl. Es handelt sich lediglich um ein Denial-of-Service-Problem, das erst durch massenhafte Anfragen ausgelöst wurde. (mit Material der dpa) / (des)