In der vergangenen Woche gab es im zentralen Netzwerk der deutschen Telekom massive Störungen, durch die zeitweise laut Meldungen des Unternehmens bis zu 900.000 Kunden betroffen waren. Die Telekom setzt seit einigen Jahren für ihre Produkte wie Internetzugang, Telefondienste sowie den Medienangeboten wie Streaming und Fernsehen auf Internet-vermittelte Dienste, die über ein gemeinsames Netzwerk verteilt werden. Dadurch wirkten sich die Störungen in diesem Netzwerk derart massiv für die betroffenen Kunden aus. Das Unternehmen aber auch Regierungsinstitutionen wie das BSI gingen nach ersten Analysen von einer systematischen Störung des Netzwerkes und später von gezielten Attacken gegen die Telekom aus. Dabei wurden gezielte Angriffe auf die DSL-Router der Telekom vermutet, also jene Geräte, die bei Endkunden verbaut sind um den Zugang zum Internet herzustellen. Man ging ursprünglich davon aus, dass gezielt Schwachstellen in diesen Router ausgenutzt wurden um deren Steuerung zu übernehmen, Schadsoftware zu installieren und die Router in ein Botnetz zu integrieren, dass – ähnlich wie das vor einigen Wochen für Angriffe gegen das US-Unternehmen Dyn.com verwendete Botnetz Mirai – zum Großteil aus Geräten des “Internet of Things” bestehen sollte.
Mittlerweile ist durch IT-Sicherheitsexperten (bspw. bei comsecuris.com / lokale Kopie) die Ursache der Störung geklärt und dabei deutlich geworden, dass die Vermutungen über den Aufbau eines Botnetzes zutreffen, es sich mit hoher Wahrscheinlichkeit aber nicht um eine gezielte Attacke auf das Telekom-Netzwerk gehandelt hat. Statt dessen waren die von der Telekom an ihre Kunden verteilten Endgeräte auf Grund ihrer Programmierung für einen spezifischen Effekt anfällig, der im Augenblick im Internet durch Hacker versucht wird auszunutzen. Dabei prüfen Hacker mit sogenannten Port-Scans großflächig die im Internet erreichbaren Geräte (wozu auch die DSL-Router als Schnittstelle zwischen Internet und Heimnetzwerk zählen) auf Schwachstellen und versuchen dann mit Hilfe bekannter Sicherheitslücken diese anzugreifen. Solche Port-Scans sind dabei grundsätzlich reguläre und zulässig Anfragen an entfernte Geräte ob ein bestimmter Dienst zur Verfügung steht, ein Mechanismus der in dieser Form für die Funktionalität des Internets notwendig ist. Im konkreten Fall sollte eine Schwachstelle in bestimmten Modellen von DSL-Routern der Firma Zyxel ausgenutzt werden, die in der Form und Konfiguration von einem irischen IT-Provider bei dessen Kunden für die Fernwartung der Geräte eingesetzt wird. Die Schwachstelle und der Code zum Ausnutzen derselben wurde von einigen Tagen im Internet veröffentlicht und aktuell großflächig durch Hacker ausgenutzt und dabei auch die DSL-Geräte der deutschen Telekom gescannt. Obwohl diese Modelle für den Fehler selbst nicht anfällig sind, war die eingesetzte Software so programmiert, dass sie sich nach wiederholten, schnell aufeinander folgenden Scan-Versuchen einfach selbst vom Internet getrennt haben. Dies könnte seitens der Telekom als Schutzmaßnahme gedacht werden um bei massiven Attacken automatisch “die Reißleine zu ziehen”. In Folge dieser Programmierung und den weiter fortgeführten Scanversuchen durch die Angreifer trennten die DSL-Router immer wieder die Internet-Verbindungen und es kam zu den massiven Beeinträchtigungen, die erst durch ein komplettes Blockieren der Anfragen innerhalb des gesamten Telekom-Netzwerkes behoben werden konnten.
Neben diesen technischen Aspekten ist der Vorfall insbesondere aufgrund des politischen Umgangs mit den Ereignissen, aber auch hinsichtlich der anhaltenden Diskussionen und Entwicklungen zur Militarisierung des Cyberspace interessant. Vergleicht man beispielsweise die politischen Reaktionen mit den Vorfällen rund um den Hack des internen Kommunikationssystem des deutschen Parlaments aus dem vergangenen Jahr fällt die unmittelbare Reaktion des Innenministers auf, der auf die Frage nach einer möglichen russischen Herkunft der Angriffe indirekt auch eine solche staatliche Beteiligung an den Attacken nicht ausschließen wollte:
„Ich möchte da jetzt nicht spekulieren, wo die Herkunft ist (..) Möglicherweise ist die Grenzziehung dann von kriminellen Aktivitäten aus einem bestimmten Staat und den staatlichen Aktivitäten auch nicht ganz klar zu ziehen (..) Im Moment steht der genaue Urheber noch nicht fest.“ (QUELLE shz.de / lokale Kopie)
Auch die Bundeskanzlerin äußerte sich umgehend zu den Beeinträchtigungen und ging dabei ebenso wie der Bundesinnenminister von gezielten Angriffen aus:
Solche Cyber-Angriffe (…) gehören heute zum Alltag, und wir müssen lernen, damit umzugehen“, sagte Merkel. „Man darf sich davon auch nicht irritieren lassen. (..) Man muss nur wissen, dass es so etwas gibt, und lernen, damit zu leben.” (QUELLE heise.de / lokale Kopie)
Möglicherweise als eine Replik auf die von der Politik ebenso betonten Forderungen nach einer Ausweitung der Haftungspflicht von Softwareherstellern, als Maßnahme für die Verbesserung der kommerziellen Software-Qualität und deren kontinuierlichen Pflege äußerte sich der Telekom-Chef am Rande einer IT-Sicherheitskonferenz deutlich militaristischer und forderte den Aufbau einer “Cyber-NATO” als Schutz gegen staatliche Cyberattacken:
„Das einzige was hilft, ist nicht der Austausch von Powerpoint-Präsentationen, das einzige was hilft, ist aufrüsten. Jeder einzelne muss aufrüsten“, sagte Höttges kämpferisch. Dabei setzt der Telekom-Chef nicht mehr nur auf reine Selbstregulierung. So sei der Aufbau einer Art „Cyber-NATO“ vonnöten (..) Gleichzeitig appellierte er an die Politik, staatliche Angriffe zu ächten. Ähnlich einem Verbot von Landminen könnte eine Einigkeit der G-20-Länder zur Ächtung der Angriffe auf die IT-Infrastruktur die Situation zwar nicht ganz entschärfen, die IT-Sicherheit aber dennoch substantiell verbessern. (QUELLE: heise.de / lokale Kopie)
Diesen Diskussion über einen gezielten Angriff sowie dessen staatliche Herkunft steht gegenüber, dass massive, breitflächige und von weit verteilten Systemen ausgehende Port-Scans sowie das Verteilen von Schadsoftware im Bereich der Cyberkriminalität vollkommen üblich sind und derart aufgebaute Botnetze von den Hackergruppen für eigene Aktivitäten gemietet werden können. Ferner wurden für die Angriffe auf die DSL-Router keinerlei unbekannte Sicherheitslücken (sog. Zero-Day-Exploits) verwendet, sondern die Analysen und Code zu Sicherheitslücken in DSL-Routern die wenige Tage zuvor veröffentlicht wurde, in Verbindung mit anderen öffentlichen Codeanteilen des Mirai-Botnetzes. Eine solche Vorgehensweise entspricht exemplarisch dem von krimineller Hacker, die auf derartige Veröffentlichungen achten um sie dann umgehend auszunutzen solang sie “heiß” sind. Typische andere Beispiele für ein solches Vorgehen sind “Hacking-Wellen” nach Meldungen über Sicherheitslücken in populärer Software wie Office-Anwendungen, Browsern und Internet-Technologien wie Webservern oder Content-Management-Systemen. Derartige Informationen werden oft zusammen mit Sicherheitsaktualisierungen der Software veröffentlicht um Anwender und Administratoren über die Probleme zu unterrichten und für Aktualisierungen der betroffenen Systeme zu sorgen. Darüber hinaus zeigen die Netzwerk-Auswertungen der Port-Scans deutlich, dass es zu keinem Zeitpunkt eine gezielte Auswahl der Hacking-Versuche auf das deutsche Telekom-Netzwerk gegeben hat.
Folgt man dem Gedanken des Telekom-Chefs, nach einer kollektiven Cyber-Verteidiung als Ansatz gegen derartige Vorfälle wird deutlich, dass eine solche hypthetische Instiution gegen den aktuellen Vorfall wenig hätte bewirken können. Technische Grundlage der Beeinträchtigung war ja die Verwendung eines regulären Netzwerk-Mechanismus den man nicht breitflächig deaktivieren kann ohne damit die Funktion des Internets als solches zu stören. Selbst die stark eingrenzte Filterung, wie sie letztlich im Telekom-Netzwerk erfolgte ist eine technische Maßnahme die auf den IT-Systemen der Betreiber-Unternehmen durchgeführt werden muss und höchstens durch politischen Druck, sicher aber nicht durch militärische Maßnahmen beschleunigt werden kann. Dies gilt ebenso unter dem Blickwinkel eines rein nationalen Ansatz, bei dem die zentralen Verbindungen der deutsche Netzwerke zu den Netzwerken anderer Länder gefiltert oder im massivsten Falle getrennt würden. Auch diese Border-Gateways genannten Übergangspunkte werden durch Wirtschaftsunternehmen betrieben. Darüber hinaus könnten derartige “Schutzmaßnahmen” durch die Verschlüsselung von Verbindungen oder durch Angriffe, die von einem IT-System innerhalb des deutschen Netzwerks ausgehen umgangen werden. In keinem Falle wären sinnvolle Szenarien denkbar, in denen militärische Cyber-Einheiten den Schutz oder die Sicherheit der zivilen Netzwerke verbessern könnten, ganz abgesehen von an Hollywood anmutenden Szenario, dass Soldaten die Kontrolle über die Leitstände der IT-Systeme von Unternehmen übernehmen.
Neben diesen Aspekten verdeutlicht der Vorfall noch einen weiteren wichtigen Umstand, nämlich dass Hacking-Attacken unbeabsichtigte massive Auswirkungen haben können. Port-Scans wie beim Telekom-Vorfall sind in vielen Fällen auch die Mittel der Wahl wenn Geheimdienste oder Militärs im Rahmen der “Vorfeldaufklärung” fremde IT-Systeme ausspähen um relevante Ziele zu identifizieren oder mögliche Schwachstellen für weiterführende Zugriffe zu identifizieren. Ob das gescannte IT-System zu einem Krankenhaus, der zivilen Verkehrssteuerung oder dem Verteidigungsministerium gehört ist dabei nicht ohne weiteres feststellbar. Selbst wenn die Port-Scans nicht derart breitflächig durchgeführt werden wie im aktuellen Fall bedeutet grundsätzlich jeder Zugriff auf ein IT-System eine Veränderung desselben, mit Konsequenzen die von den Akteuren nur in begrenzten Rahmen voraus gesehen und berücksichtigt werden können. Das dabei auch der Internet- und Kommunikationszugang für fast eine Million Menschen beeinträchtigt werden kann hat der Telekom-Vorfall deutlich gezeigt.