Angriff auf Router Die Warnung vor der Hacker-Wundertüte

Seit Jahren wissen IT-Experten um die Schwächen von Routern und anderer Netzwerktechnik. Warum warnen westliche Behörden ausgerechnet jetzt vor groß angelegten Hacks der Russen?

Welche Schäden die angeblich russischen Hacker angerichtet haben, sagt niemand.
Getty Images

Welche Schäden die angeblich russischen Hacker angerichtet haben, sagt niemand.

Von


Die Regierungseinrichtungen der USA und ihrer Verbündeten, ihre Internetprovider sowie die Betreiber kritischer Infrastrukturen werden von Russland angegriffen - da sind sich die Betroffenen sicher. Konkret würden mit Unterstützung der russischen Regierung gezielt westliche Netzwerke, Router, Switches und Firewalls gehackt. Das Ziel der Angreifer seien Spionage, Diebstahl geistigen Eigentums sowie die Schaffung von Grundlagen für künftige Operationen.

In der am Montag veröffentlichten gemeinsamen Mitteilung des US-Heimatschutzministeriums DHS, des FBI und des britischen National Cyber Security Centres NCSC findet sich keine Spur von Zweifel, kein Konjunktiv. Die Rede ist von "bösartigen Cyberaktivitäten, ausgeführt von der russischen Regierung". Dafür gebe es "zahlreiche Quellen, darunter kommerzielle wie behördliche IT-Sicherheitsorganisationen sowie Verbündete".

Die Anschuldigungen passen zur politischen Lage

Eine derart uneingeschränkte Zuschreibung, die mittlerweile auch von der australischen Regierung vorgenommen wird, ist selten. Schließlich gibt es zahlreiche Methoden, falsche Spuren zu legen und einen Hack so aussehen zu lassen, als sei er von jemand anderem durchgeführt worden. "False flag operation" heißt das - arbeiten unter falscher Flagge.

Doch in der aktuellen politischen Situation sei die klare Zuschreibung nicht ganz so ungewöhnlich, sagt Sven Herpig, Experte für Sicherheitsstrategien des Berliner Thinktanks Stiftung Neue Verantwortung. Immerhin habe der Westen den Russen gerade erst vorgeworfen, den Ex-Spion Sergej Skripal auf britischem Boden vergiftet zu haben. Dagegen sei die Zuschreibung von Hackeraktivitäten "vergleichsweise harmlos". Zudem würden solche Hacks "in den Modus Operandi der Russen passen - und in die aktuelle politische Lage".

Auch aus technischer Sicht wäre eine groß angelegte Operation gegen US-Netzwerke nicht überraschend. Das DHS hatte bereits 2016 interne Warnungen verbreitet. "Seit mehreren Jahren", so steht es in einer Dienstanweisung, die erst auf Antrag des demokratischen Senators Ron Wyden veröffentlicht wurde, "ist Netzwerk-Infrastruktur-Technik der bevorzugte Angriffsvektor für fähige Hacker". Das Ministerium erwarte, dass sich dieser Trend fortsetzen werde.

Im nun veröffentlichten technischen Bericht des US-Cert (Computer Emergency Response Team) heißt es "Own the Router, own the Traffic": Wer den Router kontrolliert, der kontrolliert den Netzwerkverkehr. "Netzwerkgeräte sind ideale Ziele. Der Großteil oder sogar der komplette Datenverkehr einer Organisation und ihrer Kunden muss sie passieren. Ein Akteur mit bösen Absichten und Zugriff auf diese Infrastruktur kann den Datenfluss beobachten, modifizieren, blockieren und sich weitere Bewegungsmöglichkeiten im Netzwerk verschaffen. Wer alte, unverschlüsselte Administrationswerkzeuge verwendet, macht es diesen Akteuren leicht, die dafür nötigen Zugangsdaten abzufangen."

Ein Weckruf an Admins

Keinem Administrator dieser Welt sollte das neu vorkommen, doch offenbar weiß man im US-Cert um den Zustand der Netzwerke in vielen Behörden und Unternehmen des Landes. Geld- und Personalmangel oder auch komplizierte technische Abhängigkeiten, könnten an vielen Stellen dafür gesorgt haben, dass alte, aber funktionierende Systeme nicht an die Bedrohungsszenarien der heutigen Zeit angepasst wurden. Zwölf Mal wird in dem Bericht der Begriff "legacy" verwendet, für veraltete, aber weiterhin verwendete Systeme.

Die Schwachstellen werden im Bericht klar benannt. Unter anderem setzen offenbar manche Institutionen und Unternehmen auf Cisco-Router und deren Verwaltung über das Protokoll Smart Install. Damit können Administratoren "jede Datei von jedem Cisco-Router herunterladen oder sie überschreiben", bis hin zur Installation und Konfiguration neuer Geräte und deren Betriebssysteme im Netzwerk. Und all das ohne Authentifizierung. Sprich: Ciscos Smart Install ist eine Wundertüte für Hacker, die ein Netzwerk und seine verbundenen Geräte überwachen wollen - und nur eines von mehreren unsicheren Protokollen, die nach wie vor im Einsatz sind.

Welcher Schaden durch diese Nachlässigkeiten entstanden ist, steht laut DHS noch nicht fest und ist möglicherweise auch nicht bezifferbar. Die Warnung des Ministeriums ließe sich deshalb auch als Weckruf an Administratoren, Provider und Hersteller von Netzwerktechnik deuten, mit Russland als dem momentan üblichen Verdächtigen.

Auch für die NSA sind Router Angriffsziele

Generell passen Router und andere Teile der Netzwerkinfrastruktur in das Beuteschema jedes technisch fähigen Geheimdienstes. Wer wüsste besser, dass und wie Geräte von US-Unternehmen wie Cisco, Dell, Juniper und HP gehackt werden können, als der US-Geheimdienst NSA? Zu den spektakulärsten Snowden-Dokumenten gehörte der sogenannte ANT-Katalog, im Dezember 2013 vom SPIEGEL veröffentlicht. Die Abkürzung steht für Advanced Network Technology - und genau darum geht es, unter anderem: um Werkzeuge zum Penetrieren von Netzwerktechnik wie Routern und Switches.

Interaktive Grafik

Es ist nicht anzunehmen, dass ausschließlich US-Dienste im Besitz solcher Werkzeuge sind. Spätestens, seit der NSA ein Teil ihrer Tools abhandengekommen und von den bis heute nicht identifizierten "Shadow Brokers" veröffentlicht worden ist, kursieren entsprechende Anleitungen zum Ausnutzen von Sicherheitslücken im Netz. Darunter befinden sich zum Beispiel die Angriffstechniken (engl. Exploits) BENIGNCERTAIN und EXTRABACON, die sich gegen bestimmte Firewalls und Router von Cisco richten. Es gibt Sicherheitsupdates dagegen, aber die müssen halt auch installiert werden.

Es fehlen harte Beweise

Beweise für die russische Täterschaft haben die USA und Großbritannien nicht vorgelegt. Auch das überrascht nicht, schließlich will keine Behörde verraten, wie sie Eindringlinge in den eigenen Netzen entdeckt und identifiziert. Ob das mithilfe IT-forensischer Methoden möglich war, ob die Täter Fehler gemacht haben, die sie verraten haben, ob Doppelagenten den Westen gewarnt haben, wird möglicherweise niemals öffentlich bekannt werden.

Zudem gibt es nur selten so handfeste Belege wie es angeblich 2014 der Fall war, als es dem niederländischen Geheimdienst AIVD gelungen sein soll, ins Netzwerk der russischen Hackereinheit "Cozy Bear", alias APT29, einzudringen und deren Aktivitäten in Echtzeit zu verfolgen. Häufig lassen sich nur Indizien zusammentragen, wie zum Beispiel Verbindungen zu Servern, die schon für frühere Angriffe genutzt wurden.

"High confidence" heißt es im aktuellen US-Cert-Bericht nur, man sei sich also "sehr sicher", dass die Russen es auf Router und andere Bausteine der westlichen Internet-Infrastruktur abgesehen hätten. So formulierte es auch Rob Joyce, Sicherheitsberater im Weißen Haus, in einem Pressebriefing.

Die russische Botschaft in London hat die Vorwürfe umgehend zurückgewiesen und als "eklatante Beispiele für eine rücksichtslose, provokante und haltlose Politik gegen Russland" bezeichnet. Womit letztlich Wort gegen Wort steht.

Mehr zum Thema Hacker


insgesamt 48 Beiträge
Alle Kommentare öffnen
Seite 1
stefan.p1 17.04.2018
1. Keiner weiß was Genaues
keiner will oder kann Beweise vorlegen. Alle Protagonisten , Rußland genau wie USA und GB sind schon mehrfach der Lüge für einen Kriegseintritt überführt worden. Ich glaube keinen der Drei - und die Bundesregierung wäre gut beraten , in dieser angespannten Situation neutral zu bleiben.
sucher533 17.04.2018
2. "Eckhaaard - die Russen kommen"
Jetzt gibts für Alles einen eindeutigen Schuldigen - Putin oder auch "die Russen". Programm stürzt ab - die Russen, hoher Krankenstand - die Russen, Klopapier alle - die Russen. Ob Politik, Militär, Wirtschaft - wenn der Chinese nicht besch.., dann hat der Russe wieder hinterrücks - muß so sein, geht gar nicht anders.
helmud 17.04.2018
3. Technisch haushoch Überlegen,
ist Amerika. Sie haben es geschafft bis an das Ohr der Kanzlerin zu kommen, mehr geht kaum. Es geht weiter in der Hetze gegen die Russen, immer wieder ganz vorne dabei die Engländer und USA. Nun fehlt noch ein weiterer Giftgasangriff in Syrien, dann wird wieder bombardiert. Wann hört dieser Mist endlich auf? Die Deutschen sind, Gott sei Dank, nicht so doof und glauben diesen mehrfach schon durchgekauten Schwachsinn.
trex#1 17.04.2018
4.
Danke, dass SpiegelOnline diesmal darauf hinweist, dass nicht nur die Russen versuchen, die Netzwerke hacken, sondern auch die westlichen Geheimdienste. Voran die NSA, denn die Netzwerktechnik kommt schließlich zum großen Teil von US-Firmen. Bei denen hat die NSA vermutlich ein eigenes Büro. Als Nutzer hat man nur begrenzte Möglichkeiten, z.B. VPN. Aber auch da sollte man sich nicht sicher sein
cosmose 17.04.2018
5.
Erst baut die NSA die Hintertüren höchstpersönlich bei Cisco ein und wundert sich dann, wenn auch andere diese nutzen? Kannste dir nicht ausdenken, sowas. Genau mein Humor...
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.