Dienstag, 19. März 2024

Archiv

Cyberattacken und gehackte Router
"Infrastrukturen in Deutschland völlig unzureichend geschützt"

Die Angriffe auf Telekom-Router zeigen wieder einmal: In Deutschland gibt es riesige Sicherheitslücken, die es Hackern besonders leicht machen, meint Peter Welchering. Seine Empfehlung: Rechner, die kritische Infrastrukturen steuern, dürfen über normale Router nicht erreichbar sein.

03.12.2016
    Ein Anschluss für ein DSL-Kabel aus dem Telefon-Festnetz an einem DSL-Router.
    Viele Router in Deutschland haben sehr veraltete Sicherheitssysteme (picture alliance / dpa / Frank Rumpenhorst)
    "Für mich ist das eine klare Sache. Ich habe mir das in verschiedenen Mitgliedsstaaten angeschaut. Es reicht nicht, die Kräfte in einem Land darauf zu trainieren, sondern wir müssen länderübergreifend handeln, um besser darauf reagieren zu können."
    Kloiber: Sagt Steven Wilson, der Chef der Europol Cybercrime-Einheit im Hinblick auf die steigende Zahl von Cyberangriffen in Westeuropa. Auch Deutschland gerät da immer stärker ins Fadenkreuz der Cyberkriminellen. Der Angriff auf die Telekom-Router in der zurückliegenden Woche ist dafür ein gutes Beispiel. Knapp eine Million Router sind zwar für zwei Tage ausgefallen, aber die Router wurden nicht mit Schadsoftware infiziert. Was da wirklich passiert ist, darüber gehen die Meinungen auseinander. Fassen wir also zunächst mal die Fakten dieses Angriffes zusammen. Wie sieht der Stand der Ermittlungen aus, Peter Welchering?
    Welchering: Die Angreifer haben die Telekom-Router eigentlich gar nicht im Visier gehabt. Was da passiert ist war ein Kollateralschaden. Und der ist im Wesentlichen auf schlampige Schutzmaßnahmen und noch schlampigere Programmierung zurückzuführen. Die Online-Kriminellen wollen ein weltweites Botnetz aufbauen. Dabei haben sie versucht, eine Sicherheitslücke in der Wartungssoftware der Router auszunutzen und darüber Schadsoftware auf die Router zu spielen. Das ist ihnen aber nicht gelungen. Dabei horcht in den Telekom-Routern ein ziemlich altes Protokoll namens tr64, ob es eine Wartungsanforderung gibt, um darauf reagieren zu können. Dass diese Routine permanent auf so eine Anforderung horcht, macht dem Router prinzipiell angreifbar.
    Doch an dieser Stelle lief der Angriff ins Leere, weil die Angriffssoftware für eine System-Sicherheitslücke geschrieben war, die so nicht auf den Telekom-Routern existiert. Das ist auch nachvollziehbar, denn die Telekom-Router waren nicht das eigentliche Ziel der Angreifer. Dennoch fiel für 900.000 Telekom-Kunden Internet, Telefonie oder Fernsehen aus, weil die Router nach dem Angriff nicht mehr richtig funktionierten. Das Problem liegt in dem Fall in einer weiteren Sicherheitslücke, einem Programmierfehler. Der hat dafür gesorgt, dass Router sich nicht mehr an den Telekom-Servern anmelden konnten, nachdem sie einige Male in Richtung des Fernwartungsprotokolls angegriffen worden waren. Diese Schwachstelle ist seit ein paar Wochen bekannt. Bisher war aber nicht klar, dass auch die Telekom-Router davon betroffen waren. Solche Angriffe wie zur Einrichtung eine weltweiten Botnetzes werden auch in Deutschland aus zwei Gründen vermehrt festzustellen sein und größeren Schaden anrichten. Zum einen werden einfach weltweit viel mehr solcher Angriffe gefahren. Und dann ist Deutschland auch stärker davon betroffen. Zum anderen gerät Deutschland aufgrund der Bundestagswahl 2017 viel stärker als Angriffsziel in den Blick von ausländischen Geheimdiensten, Politaktivisten und Cyberkriminellen, die für ganz unterschiedliche Auftraggeber arbeiten.
    Sicherheitsbehörden warnen vor Anstieg von Cyberkriminalität im Wahljahr
    Kloiber: Sowohl der Präsident des BND, Bruno Kahl, als auch der Präsident des Bundesamtes für Verfassungsschutz, Hans-Gerog Maaßen, haben davor gewarnt, dass 2017 die Bundesrepublik durch Cyberangriffe und Cyberpropaganda destabilisiert werden solle. Und so sieht die Lage aus, auf die sich die Sicherheitsbehörden hier einstellen.
    Sprecherin: Cyberpropaganda und Cyberangriffe werden im Wahljahr aufeinander aufbauen. So haben das zumindest die Sicherheitsbehörden analysiert. Und bei den Cyberangriffen werden wir es nicht nur mit Angriffen auf Router zu tun haben, wie jener in der vergangenen Woche, der zu einem massiven Ausfall bei der Telekom geführt hat. Nein, die Sicherheitsbehörden schließen auch Cyberangriffe auf die Stromversorgung, Banken, oder Telekommunikationsnetze nicht aus. Das Ziel ist: Verunsicherung der Bevölkerung. Damit sollen die Deutschen für Desinformationskampagnen empfänglich gemacht werden. Und diese Desinformationskampagnen laufen über Propaganda in den Sozialen Netzwerken. Verfassungsschutzpräsident Hans-Georg Maaßen sieht das so.
    "Propaganda, die wir in Sozialen Netzwerken in Teilen feststellen, ist teilweise falsch, ist überzogen und ist oftmals emotional und verleitet dazu, dass die Menschen sich eine andere Meinung, eine fehlerhafte Meinung von der Realität machen."
    Cyberangriffe auf die Stromversorgung können für Propaganda genutzt werden
    Sprecherin: Diese Kampagnen werden zum großen Teil von Propaganda-Bots unterstützt. Solche Bot-Propaganda ist dann besonders wirkungsvoll, wenn in der Botschaft, mit der ein Politiker bloßgestellt werden soll, auch ein Körnchen Wahrheit steckt. Der Angreifer muss also etwas Peinliches über einen Politiker oder eine Partei herausfinden. Und am schnellsten gelangt so ein Angreifer an für Politiker peinliche Informationen, wenn er die Server der Parteizentrale oder des Abgeordnetenbüros dieses Politikers hackt. Das geht ziemlich einfach. Doch allein mit solchen Spähattacken auf den politischen Betrieb ist es nicht getan. Die Sicherheitsbehörden erwarten, dass sie von Cyberangriffen auf sogenannte kritische Infrastrukturen begleitet werden. Dabei gehen die Experten zunehmend von sogenannten Kombinationsattacken aus. Das zeigen auch die jüngsten Hackerangriffe. Bei einem ukrainischen Energieversorger störten Hacker die Lastverteilungsrechner. Landesweit fiel der Strom aus. Weil sie aber auch Telekommunikationsrechner gehackt hatten, wurden die Auswirkungen des Stromausfalls noch verstärkt. Sicherheitsberater Dirk Arendt von Checkpoint Software.
    "Die haben in einem ersten Schritt das Callcenter gehackt, so dass alle Anrufe dann ins Leere gelaufen sind und niemand für die Leute zuständig war, auch der Energieversorger erst sehr viel später gemerkt hat, dass er gehackt wurde, das er angegriffen wurde. Und das ist schon noch mal ein extra perfides neues Vorgehen."
    Sprecherin: Egal wie erfolgreich ein solcher kombinierter Cyberangriff auf die Stromversorgung und das Telekommunikationsnetz ist - er kann für Propaganda im Netz natürlich bestens ausgenutzt werden. Wenn Journalisten dann auch noch solche Diskussionen von Sozialen Plattformen übernehmen und in ihren Zeitungen, Radiosendungen oder im Fernsehen weiterverbreiten, dann wirkt die Propaganda besonders massiv. Verfassungsschützer Hans-Georg Maaßen appelliert deshalb an die Journalisten.
    "Ich denke, die Journalisten oder die Medien in Deutschland müssen aufmerksam sein darüber, ob es sich nun um wirkliche ehrliche Kommentare von Bürgern, von besorgten Bürgern, von kritischen Bürgern handelt oder ob es eben Trolle sind, Roboter sind, die hinter diesen Kommentaren stecken."
    Propaganda auch beim Angriff auf die Telekom?
    Kloiber: Auch der massive Ausfall der Router bei der Telekom in dieser Woche wurde kräftig im Netz kommentiert. Konnte man da auch schon Propaganda finden, Peter Welchering?
    Welchering: Auf Twitter tauchten gleich am vergangenen Sonntag einige Kurznachrichten auf, dass russische Dienste Schadsoftware ins Telekom-Netz eingebracht hätten. Und diese russische Schadsoftware sei die Ursache für den Ausfall. Das waren Falschmeldungen. Das war reine Propaganda. Dass auch die Nachrichtendienste und die Telekom auf dieser Welle mitschwimmen und über die bösen Hacker sprechen, nicht aber über die schlampige Arbeit und die Sicherheitslücken, die sie zu verantworten haben, macht die Sache nicht besser.
    Kloiber: Ist denn nichts dran an der Befürchtung der Sicherheitsbehörden, dass solche Cyberangriffe und darauf aufsetzende Propaganda und Desinformation vor der Bundestagswahl zunehmen werden?
    Welchering: Doch, dieser Einschätzung stimmen viele Sicherheitsexperten zu. Aber diese Einschätzung darf nicht den Blick auf die eigentliche Ursache solcher massiver Störungen wie dem Ausfall der Telekom-Router verstellen. Eben schlampige Programmierarbeit und Sicherheitslücken. Und wenn von den Befürchtungen gesprochen wird, dass wir es mit mehr und härteren Cyberattacken zu tun bekommen, dürfen wir auch nicht vergessen, warum solche Cyberattacken überhaupt möglich sind. Cyberattacken beruhen auf Sicherheitslücken. Das sind Programmierfehler, die aus ganz unterschiedlichen Gründen passiert sind - auch weil schlampig gearbeitet wurde.
    Kloiber: Wie gut sind wir in Deutschland denn gegen solche Cyberattacken gewappnet?
    Welchering: Das sagen uns die Sicherheitsbehörden nicht. Und sie begründen das mit Sicherheitsinteressen. Generell können wir da feststellen, dass kritische Infrastrukturen in Deutschland völlig unzureichend geschützt sind. Wir haben ein völlig unzureichendes Schwachstellenmanagement. Wir müssen Sicherheitslücken identifizieren, damit sie dann schnell geschlossen werden. Und da bräuchten wir auch eine Meldepflicht für Sicherheitslücken. Genau eine solche Meldepflicht wurde auch gefordert für das IT-Sicherheitsgesetz. Die Sicherheitsbehörden haben das verhindert. Deren Argumentation lautete: Solche Sicherheitslücken brauche wir, um Spähattacken ausführen, um Überwachung machen zu können. Wenn die geschlossen werden, können wir da einpacken. Da muss man ganz klar sagen. Die Sicherheitsbehörden haben ein Stück weit die Cybersicherheitslage, die sie jetzt beklagen, mit verschuldet.
    Kloiber: Gibt es kurzfristig umsetzbare Sicherheitsmaßnahmen, die sofort umgesetzt werden können?
    Welchering: Eine lautet Segmentierung. Das heißt die Industriesteuerungen, die Rechner, die kritische Infrastrukturen steuern, dürfen von normalen Verwaltungsnetzen, über normale Router nicht erreichbar sein. Schotten dicht! – oder anders gesagt: Segmentierung. Die Netze müssen teilweise gegeneinander abgeschottet werden. Aber dieses "Schotten dicht" gilt auch in anderer Beziehung. Der Port für die Fernwartung an den Telekom-Routern, über die die Angriffssoftware in die Router vorgestoßen ist, der hätte auch abgeschottet sein müssen. Und das war er nicht. Und dass dann hinter dem Port noch ein Uralt-Prozess auf Wartungsmaßnahmen wartet, das ist natürlich in Sachen Sicherheit ausgesprochen kontraproduktiv. Da haben wir einen riesigen Nachholbedarf, den wir in kurzer Zeit bewältigen müssen.