Angriff auf Telekom-Kunden Verdächtiger des Router-Hacks gefasst

Bei rund einer Million Kunden der Telekom fielen im November die Router aus. Nun haben Ermittler in London einen Mann festgenommen, der hinter der massiven Hackerattacke stecken soll.

Telekom-Stand auf der Cebit
REUTERS

Telekom-Stand auf der Cebit


Knapp drei Monate nach einem massiven Hackerangriff, der knapp eine Million Internetrouter von deutschen Telekom-Kunden lahmgelegt hatte, haben britische Ermittler einen Verdächtigen gefasst. Dem britischen Staatsbürger werde versuchte Computersabotage in einem besonders schweren Fall vorgeworfen, teilte das Bundeskriminalamt (BKA) in Wiesbaden mit.

Einsatzkräfte der britischen National Crime Agency hätten den 29 Jahre alte Mann am Mittwoch an einem Londoner Flughafen festgenommen, hieß es weiter. Grundlage sei ein von der Staatsanwaltschaft erwirkter europäischer Haftbefehl gewesen.

Verdächtiger soll Botnetz betrieben haben

Das Ziel des Angriffs sei es gewesen, die Router zu übernehmen und in ein Botnetz zu integrieren, das der Verdächtige betrieb, teilte das BKA weiter mit. Der Mann solle das Botnetz, ein Zusammenschluss vieler infizierter Geräte, im Darknet für DDoS-Angriffe angeboten haben. Bei einer solchen Attacke werden Webseiten mit massenhaften Anfragen lahmgelegt.

So sichern Sie Ihren Router
Konfiguration per Kabel
Auch wenn es per WLAN praktischer ist - zur Einrichtung vor der ersten Inbetriebnahme und für alle folgenden Wartungsarbeiten sollte man seinen Rechner per LAN- oder USB-Kabel mit dem Router verbinden. Das raten die Experten des Bundesamts für Sicherheit in der Informationssicherheit (BSI)
WLAN-Passwort ändern
Voreingestellte WLAN-Passwörter, auch WLAN-Schlüssel genannt, sind oft nicht sicher und können unter Umständen geknackt werden. Deshalb sollten Nutzer ein eigenes Passwort vergeben. Die BSI-Experten empfehlen ein komplexes Passwort mit mindestens 20 Zeichen. Wird der Schlüssel nicht geändert, besteht die Gefahr, dass Angreifer den vom Hersteller vorgegebenen Schlüssel auslesen, etwa mit Hilfe spezieller Apps. Beim Ändern sollte man zudem prüfen, ob die sichere WPA2-Verschlüsselung aktiviert ist.
Administrator-Passwort ändern
Der Code, mit dem man ins sensible Einstellungsmenü des Gerätes gelangt, ist bei vielen oder allen Routern eines Herstellers oft derselbe. Oder der Passwortschutz ist erst gar nicht aktiviert. Hier gilt es unbedingt, ein individuelles, sicheres Passwort zu setzen.
Netzwerknamen anpassen
Nutzer sollten ihrem WLAN einen neuen Netzwerknamen (SSID) geben, weil der voreingestellte oft Herstellernamen und Gerätetyp enthält, was Angreifer bei nicht gestopften Sicherheitslücken ausnutzen könnten. Die neue SSID sollte keinerlei Bezug zum Besitzer des Internetanschlusses haben, also keine Vor- oder Zunamen, Straßen, Ort oder Ähnliches enthalten.
Sichere Übertragung bei Einstellungen
Das Router-Menü kann mit jedem beliebigen Browser aufgerufen werden, indem man die vom Hersteller angegebene Adresse - beispielsweise "192.168.2.1" oder "fritz.box" - in die Adresszeile eingibt. Allerdings sollte man dabei laut BSI darauf achten, dass man das Menü über eine gesicherte https-Verbindung aufruft. Während man die Einstellungen vornimmt, sollten sicherheitshalber keine weiteren Internetseiten geöffnet sein.
Firmware aktualisieren
Als Firmware wird die Betriebssoftware des Routers bezeichnet. Firmware-Aktualisierungen bringen neue Funktionen, stopfen aber vor allem auch Sicherheitslücken. Deshalb sollte man - falls möglich - automatische Updates im Router-Menü aktivieren oder ansonsten regelmäßig auf den Herstellerseiten nach Aktualisierungen Ausschau halten.
Ungenutzte Funktionen abstellen
Die Fernzugriff-Funktion sollte im Einstellungsmenü deaktiviert werden - so wie prinzipiell alle ungenutzten Funktionen. Das gleiche gilt für Wi-Fi Protected Setup (WPS). WPS ist ein Standard zum einfachen Aufbau eines verschlüsselten WLAN-Netzwerks. WPS mit einer PIN, die auf einen Aufkleber oder einer Anzeige am Gerät abzulesen ist, lässt sich aber schnell knacken und sollte abgeschaltet werden.
WLAN bei Nichtgebrauch ausschalten
Einfach, aber effektiv ist der Sicherheitsgrundsatz, das WLAN zu deaktivieren, wenn es nicht gebraucht wird - etwa nachts, bei längeren Abwesenheiten oder im Urlaub. Dazu bieten viele Router im Menü praktische Zeitschaltungen.

Der Angreifer wollte sich offenbar eine bekannte Schwachstelle zunutze machen und über eine Fernwartungsschnittstelle massenhaft Router übernehmen, die am DSL-Netz unterschiedlicher Provider hängen. Dabei wurden auch viele Geräte des Internets der Dinge wie vernetzte Kameras angegriffen.

Der Angriff galt somit nicht der Telekom direkt. Den massenhaften Ausfall der Router hat der Angreifer wohl nicht geplant. Die Router hatten ein anderes Betriebssystem installiert, für das das Angriffsprogramm gar nicht ausgerichtet war. Schließlich versagten die Router - wohl weil die wiederholten Angriffsversuche die Hardware überlastet hätten. Neben den Kunden der Deutschen Telekom waren auch rund 100.000 Anwender in Großbritannien betroffen, die Kunden der Provider TalkTalk, KCom und Post Office sind.

Das BKA ermittelte gegen den Verdächtigen wegen der Gefährdung kritischer Kommunikationsinfrastrukturen. Für vollendete Computersabotage droht im besonders schweren Fall eine Freiheitsstrafe von sechs Monaten bis zehn Jahre. Die zuständige Staatsanwaltschaft Köln versucht, die Auslieferung des nun in London festgenommenen Verdächtigen nach Deutschland zu erreichen. Die Telekom prüft außerdem zivilrechtliche Schritte gegen den mutmaßlichen Täter, teilte das Unternehmen mit.

brt/dpa/Reuters



© SPIEGEL ONLINE 2017
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.