Telekom und Cyberkriminalität: Wer haftet für Hacker?
Die Telekom fordert eine gesetzliche Update-Pflicht für Soft- und Hardwarefirmen. 900.000 ihrer Kunden waren Opfer einer Cyberattacke.
Programmcode im Symbolbild? Der Artikel muss von Hackern handeln! Foto: reuters
BERLIN taz | Nach der Cyberattacke auf rund 900.000 Telekom-Kunden erwägt Bundesinnenminister Thomas de Maizière (CDU) eine Änderung der Haftungsregelungen. Diejenigen, die Inhalte produzierten, und diejenigen, die Inhalte transportierten, stünden in einer Verantwortung und Haftung, sagte de Maizière.
Bundeskanzlerin Angela Merkel (CDU) sagte am Dienstag, Deutschland müsse sich in Zukunft auf derartige Angriffe einstellen. „Man darf sich davon auch nicht irritieren lassen“, mahnte sie. „Man muss nur wissen, dass es so etwas gibt, und lernen, damit zu leben.“
Hunderttausende Telekom-Kunden waren zwischen Sonntag und Dienstag zeitweise oder dauerhaft ohne Internet, Telefon und Fernsehen gewesen. Die HackerInnen, die für die Router-Ausfälle verantwortlich sind, hatten wohl versucht, die Geräte einem Netzwerk aus gehackten Geräten hinzuzufügen.
Solche sogenannten Bot-Netze können dann dazu verwendet werden, Server lahmzulegen und somit Unternehmen oder Regierungen anzugreifen. Die Schadsoftware, die die Telekom-Router zum Absturz brachte, basiert auf einem bekannten Programmcode. Mit einem ähnlichen Programm wurden vor einem Monat auch Netflix, Twitter und Spotify lahmgelegt.
So gut wie alle Probleme behoben
Die Telekom hatte im Verlauf des Montags ein Software-Update bereitgestellt und erklärte am Dienstag, dass so gut wie alle Probleme behoben seien. Telekom-Sprecher Philipp Blank stellte einen Handlungsauftrag in Richtung Politik: „Die Hersteller von Soft- und Hardware müssen gesetzlich verpflichtet werden, im Falle von bekannten Sicherheitslücken umgehend Updates einzuspielen.“ Zusätzlich brauche es eine stärkere Abstimmung von Unternehmen und Sicherheitsbehörden.
Auf die Frage der taz, ob die Telekom im Falle eines erfolgreichen Hacker-Angriffs das Bot-Netz bemerkt hätte, sagte er: „Das ist sehr spekulativ, das wissen wir nicht.“
IT-Experten befürchten, dass derartige Attacken künftig zunehmen könnten. Alexander Sander, Geschäftsführer des Vereins Digitale Gesellschaft, fordert von der Bundesregierung Maßnahmen, die digitale Sicherheit zu verbessern. „Es gibt Fälle, in denen bekannte Sicherheitslücken über Monate nicht gestopft werden.“ Man müsse gesetzliche Grundlagen schaffen, um Unternehmen bei nachlässigem Umgang mit Sicherheitsrisiken mit Sanktionen drohen zu können. Allein auf die Verantwortung der Unternehmen zu setzen reiche nicht.
Leser*innenkommentare
uvw
Was die Telekom angeht, sind hauptsächlich Speedport Router der Telekom betroffen https://isc.sans.edu/forums/diary/Port+7547+SOAP+Remote+Code+Execution+Attack+Against+DSL+Modems/21759
Das sind Router, die die Telekom mit einem DSL-Paket bündelt. Wer solche Router mitkauft, hat oftmals keine Ahnung im IT-Bereich. Gerade deshalb muss die Telekom sicherstellen, dass diese Geräte auf Sicherheitslücken gecheckt sind und sicher konfiguriert ausgeliefert werden. Ist anscheinend nicht passiert.
Jetzt auf die Zulieferer zu zeigen, läuft nicht. Es kann Normalusern ohne technischen Hintergrund auch nicht zugemutet werden, in Abständen die Router-Firmware zu aktualisieren, die wissen überhaupt nicht, was das ist. Bei einem Auto wird auch nicht vorausgesetzt, dass Leute die Bordelektronik regelmäßig überprüfen und ggf in Stand setzen.
Das ganze ist übrigens ein super Argument für die weiterhin freie Routerwahl. Seit einiger Zeit kursieren Pläne der Telcos für einen sog. Routerzwang, d.h., einen Router zu verwenden, den die jeweilige Telco bereitstellt. Wie man sieht, ist das brandgefährlich, und die, die den Schaden zu verantworten haben, tauchen gewohnheitsmäßig ab, wie mittlerweile immer und überall, wenn sie nur groß genug sind.
Rainer B.
Ein Routerzwang bestand bisher bei vielen Providern, ist aber in diesem Jahr erst durch Klarstellung im Telekommunikationsgesetz (TKG) mit Wirkung vom 1.August 2016 abgeschafft worden.
"Es wurde festgelegt, dass der Zugang zu öffentlichen Telekommunikationsnetzen gemäß § 45d Abs. 1 TKG ein passiver Netzabschlusspunkt sei, und das öffentliche Telekommunikationsnetz am passiven Netzabschlusspunkt ende....es wird sichergestellt, dass gegen Anbieter vorgegangen werden kann, die weiterhin auf Zwangsroutern bestehen sollten." (Quelle: Wikipedia)
Für die Provider entfallen damit natürlich auch die unmittelbaren Zugriffsmöglichkeiten auf die Router ihrer Kunden. Möglich, dass man versucht dies nun auf anderem Wege zu bewerkstelligen und dabei gleichzeitig mit dem Finger auf vermeintliche "Cyberkriminelle" zeigt.
Rainer B.
Für diese Betriebsstörung ist ganz allein die Telekom verantwortlich, die ihren Kunden Router mit offenen Ports, vorkonfiguriert zur Fernwartung, geliefert hat.
Ich kann das Gelaber vom angeblichen "Darknet" und von "Hacker-Angriffen" nicht mehr hören. Es gibt sie nicht die bösen und die guten Netzwerke, es gibt nur die funktionierenden und die nicht-funktionierenden Netzwerke. Man könnte doch ebenso das Telekom-Netz mal als ein riesiges Bot-Netz bezeichnen. Das ist nur eine Frage des Standpunkts und wer weiß, ob nicht irgendwelche Telekom-Spezis selbst da wieder eine "tolle Idee" hatten, wie man - anonym und am Gesetz vorbei - die Router der Kunden für noch ganz andere Zwecke nutzen kann? Bot-Netze eignen sich wunderbar dazu, Geräte anzugreifen, sie lassen sich aber auch super als Steuerungs-Tool für Geräte einsetzen.
Im IT-Bereich bietet es sich doch geradezu an, die eigenen Verantwortlichkeiten irgendwelchen vermeintlichen "Cyberkriminellen" anzulasten und wann immer etwas nach einem Server-Update nicht mehr rund läuft, dann war eben mal wieder das "Mirai-Botnetz" schuld - wie praktisch.
Die erwartbaren, obligatorischen Statements von Merkel und de Maizière in diesen Fällen sind wie ein Tinnitus - man lebt deutlich besser, wenn man gar nicht hinhört.
by the way:
Wer absolut sicher gehen will, dass sein Router nicht schon Teil eines "Bot-Netzes" geworden ist, dem bleibt nur die Prüfung mit der Axt.
33523 (Profil gelöscht)
Gast
"Für diese Betriebsstörung ist ganz allein die Telekom verantwortlich"
Angreifbar war das Gerät und das stellt nicht die Telekom, sondern ZyXel, wenn ich da richtig im Bilde bin.
Bei der Größe der Telekom könnte man sicher sagen: Okay die hätten da doch besser mal nen Pentester drüber gucken lassen. Die ~50.000€ für einen ausführlichen Test hätten sich in diesem Fall sicher gelohnt. Haben sie aber nicht und den Fehler gemacht hat eben immer noch der Hersteller des Gerätes.
"Im IT-Bereich bietet es sich doch geradezu an, die eigenen Verantwortlichkeiten irgendwelchen vermeintlichen "Cyberkriminellen" anzulasten"
Bei einem Netz von der Größe gehe ich mal ganz stark davon aus das es für alles was irgendwie relevant ist ein zentralisiertes Logmanagement, Zwei-Faktor-Authentifizierung, regelmäßige Security-Assesments und auch ein separates Security-Team gibt. Von daher ist das überhaupt keine tolle Idee, da sich der ganze Scheiß den man gebaut hat im Detail nachvollziehen lässt.
Nicht das ich die Telekom da zu sehr in Schutz nehmen möchte,... da hat irgendwer fahrlässig gehandelt. Aber Sie sehen das alles etwas zu Schwarz und Weiß.
Rainer B.
Die Geräte stellt die Telekom nicht selbst her, aber sie werden schon nach den Vorgaben der Telekom konfektioniert und konfiguriert. Wenn man Router standardmäßig mit offenen Ports ausliefern lässt, kann man sich aufwändige und ausführliche Tests ohnehin gleich sparen, weil jeder Test im Ergebnis doch nur ein unsicheres Gerät feststellen könnte.
Natürlich wird sich "der ganze Scheiß .. im Detail nachvollziehen" lassen. Das hat aber rein gar nichts mit dem zu tun, was dann nach aussen hin kommuniziert wird und da schließe ich mal das BSI und andere staatliche Institutionen gleich mit ein.
Ich sehe das alles aus der Erfahrung langjähriger Praxis und als User komm man schlechterdings gar nicht umhin hier nur Schwarz und Weiß zu sehen, denn - entweder es läuft zuverlässig oder es läuft eben nicht zuverlässig.
JoWall
Willkommen in der freien Marktwirtschaft Telekom. Dann kauft doch bitte die Router die ihr ausliefert nicht bei solchen Firmen. War wahrscheinlich ein günstiges Angebot.
Zudem stellt sich die Frage, warum der Port 7547 für TR-069 und TR-064 überhaupt öffentlich erreichbar war bei einer bekannten Sicherheitslücke. Zur Fernwartung reicht es doch, wenn nur die Telekom selber über diesen Port die Router erreichen kann.
33523 (Profil gelöscht)
Gast
"Dann kauft doch bitte die Router die ihr ausliefert nicht bei solchen Firmen."
Nun das Problem ist einfach das man sich da nie so richtig sicher sein kann. Cisco hatte auch über ein Jahrzehnt Schwachstellen im System die von Diensten ausgenutzt wurden. Es gibt da ohne Ende Anbieter,... Wenn man irgendwann bei Palo Alto angekommen ist zahlt man für eine im Router integrierte "Next Generation Firewall" 8000€ und dann jährlich nochmal ein paar Tausend oben drauf, damit man die Cloud-Dienste nutzen darf und bei denen hat man dann auch kritische Sicherheitslücken gefunden.
"Zudem stellt sich die Frage, warum der Port 7547 für TR-069 und TR-064 überhaupt öffentlich erreichbar war"
Das ist allerdings eine gute Frage...
Velofisch
Es sind ja nicht nur kriminelle Hacker, sondern auch von uns bezahlte kriminelle Geheimdienste und Polizeiorganisationen, die hier massenhaft Systeme hacken. Bei dem Telekom-Hack ist gar nicht gesagt, dass damit eine Botnet-Attacke geplant war. Vielleicht sollten die Router auch geknackt werden, um an die Rechner der Betroffenen zu gelangen. Das FBI hat neulich eine solche Hackerattacke weltweit autorisiert - was natürlich nur in den USA rechtswirksam ist und überall sonst ein Straftatbestand ist.
Solange wir aber unsere Geheimdienste mit hunderten Millionen Euros dafür bezahlen, dass sie unsere Systeme unsicher machen, dürfen wir uns nicht wundern, wenn sie danach tatsächlich unsicher sind.