Ein Windows-User mit DSL-Anschluss stöbert auf seinem Computer etwas herum. Er klickt so ganz nebenbei im Explorer auf das Symbol "Netzwerkumgebung". Und verblüffenderweise erscheint dort ein fremder Rechnername. Auf dem fremden Rechner gibt es freigegebene Ordner. Und darin kinderpornografische Fotos. Und zu allem Übel stellt sich auch noch heraus, dass der Fremde seine Sammlung perfiderweise unter falscher Flagge erweitert: Er surft nämlich anscheinend als Gast über den Rechner unseres Users, mit dem er ja offensichtlich per lokalem Netzwerk verbunden ist. Schlimmer als in diesem Fall, den die Fachzeitschrift "c’t" aufdeckte, geht es eigentlich kaum. Aber die Sache ist, so stellt sich heraus, kein unerklärlicher Spuk. Sondern Folge einer relativ simplen Fehlkonfiguration beim DSL-Anbieter. Dennis Knake vom Kölner Internetprovider QSC kennt die Ursache des Fehlers, der freilich nur die Konkurrenz betraf:
"Das Problem liegt daran, dass der Switch, den der Carrier eingesetzt hatte, im so genannten Defaultzustand eingesetzt wurde, so wie er vom Hersteller ausgeliefert wurde. Den hat man gekauft, hingestellt, alle User angeschlossen, geprüft, funktioniert’s, ja, Datenübertragung geht. War ja auch nicht falsch. Man hat den Negativ-Test nicht gemacht, man hat also nicht geguckt, was geht denn noch, was nicht gehen sollte. Da fehlt einfach die Konfiguration in dem Switch: Bitte lass die Daten nur in eine Richtung, lass die Daten nicht wieder zurück."
Fehlt diese Einbahnstraßenregelung beim Provider, dann tun Windows-Rechner das, was sie in einem Netzwerk sollen: Sie versuchen zu kommunizieren. Ein PC, der sich in ein Netzwerk einloggt, der Datenpakete herausschickt und für ihn bestimmte Datenpakete erhalten möchte, braucht eine IP-Adresse. Bei den allermeisten Heimnetzwerken und auch beim Internetzugang über DSL geht es dabei allerdings locker zu: Die PCs haben keine eigene feste Adresse; stattdessen bekommen die gerade im Netz Anwesenden erst auf Anfrage eine so genannte dynamische IP-Nummer zugeteilt.
"Ein angeschlossener Rechner, der direkt mit dem Modem an der Telefondose hängt, mit dem in Windows standardmäßig installierten Ethernetprotokoll, sendet ein so genanntes Ethernet-Broadcast aus, das heißt er pingt raus: "Hallo, ist noch jemand da?" über Ethernet."
…erläutert Dennis Knake. Beim DSL-Zugang antwortet normalerweise nur eine Gegenstelle auf dieses "Hallo": Der so genannte "Access Concentrator", ein Gerät, das den Datenverkehr der Kunden sammelt und letztlich den Kontakt zum Internet herstellt. Der "Access Concentrator" vergibt nun eine temporäre, also zeitlich begrenzt gültige IP-Adresse. Und dann kann es losgehen mit dem Surfen. Ähnliche Dinge passieren, wenn unter dem meistverwendeten Betriebssystem zum Beispiel Desktoprechner und Notebook Daten austauschen sollen:
"Wenn man sein eigenes Netzwerk lokal aufbaut, dann hat man einen Router und steckt drei Rechner dran, und automatisch haben sich die drei Rechner schon gefunden über Windows. Das ist so vorinstalliert, Windows hat ja die Freigaben automatisch schon eingestellt, Ethernet gucken: Hallo, wer ist noch da? Andere Rechnernamen gefunden, aha."
Praktischerweise übernimmt nämlich notfalls einfach einer der Rechner die Sache mit dem "Adressen verteilen", vergibt IP-Adressen an die Anwesenden, und es kann losgehen mit dem Datenaustausch im Heimnetz. Was im lokalen Netz also nützlich ist, führt bei einer DSL-Fehlkonfiguration geradewegs zum Daten-GAU. Und anfällig sind dabei ausgerechnet DSL-Anbieter mit einer Infrastruktur, die momentan stark im Trend liegt: Die so genannten NGNs, die "Next Generation Networks".
"Da die Provider heutzutage eine Ethernet-Technologie einsetzen in ihrer Vernetzung, die eigentlich genau die selbe Technologie ist wie in einem Heimnetzwerk, ist nichts anderes passiert, als dass der Ethernet-Switch des Providers, dort wo Kunden zusammengeführt sind, diese Broadcasts, diese "Hallo-Finde-mich-Signale" wieder zurückgeleitet hat zu einem anderen Kunden, der dort angeschlossen war."
Die Folge: Bei Windows-Usern baut das Betriebssystem nun automatisch ein lokales Netzwerk auf. Nur leider eben mit wildfremden PCs. Auch eine Software-Firewall bietet davor keinerlei Schutz. Nicht alle DSL-Kunden sind von der potenziellen Panne bedroht. QSC zum Beispiel verwendet eine aufwändigere Technologie namens MPLS. Dabei erhalten alle Datenpakete ein zusätzliches "Label": Eine Briefmarke sozusagen, auf der Sender, Empfänger und der vorher festgelegte Weg explizit verzeichnet sind.
Der Netzwerk-Kurzschluss soll nur in einigen wenigen Fällen passiert sein. Und die fehlkonfigurierten Switches, das versichern die betroffenen NGN-Provider, arbeiten mittlerweile so, wie sie sollen. Etwas mehr Schutz, als dieser Beteuerung einfach zu glauben, bietet ein Router. Wer als NGN-Kunde ein solches Gerät nicht ohnehin schon besitzt, etwa für den WLAN-Anschluss, der sollte sich eines zulegen: Mit der Investition von etwa 25 Euro verhindert man zumindest den Zugriff auf das eigene lokale Netz und freigegebene Dateien.
"Das Problem liegt daran, dass der Switch, den der Carrier eingesetzt hatte, im so genannten Defaultzustand eingesetzt wurde, so wie er vom Hersteller ausgeliefert wurde. Den hat man gekauft, hingestellt, alle User angeschlossen, geprüft, funktioniert’s, ja, Datenübertragung geht. War ja auch nicht falsch. Man hat den Negativ-Test nicht gemacht, man hat also nicht geguckt, was geht denn noch, was nicht gehen sollte. Da fehlt einfach die Konfiguration in dem Switch: Bitte lass die Daten nur in eine Richtung, lass die Daten nicht wieder zurück."
Fehlt diese Einbahnstraßenregelung beim Provider, dann tun Windows-Rechner das, was sie in einem Netzwerk sollen: Sie versuchen zu kommunizieren. Ein PC, der sich in ein Netzwerk einloggt, der Datenpakete herausschickt und für ihn bestimmte Datenpakete erhalten möchte, braucht eine IP-Adresse. Bei den allermeisten Heimnetzwerken und auch beim Internetzugang über DSL geht es dabei allerdings locker zu: Die PCs haben keine eigene feste Adresse; stattdessen bekommen die gerade im Netz Anwesenden erst auf Anfrage eine so genannte dynamische IP-Nummer zugeteilt.
"Ein angeschlossener Rechner, der direkt mit dem Modem an der Telefondose hängt, mit dem in Windows standardmäßig installierten Ethernetprotokoll, sendet ein so genanntes Ethernet-Broadcast aus, das heißt er pingt raus: "Hallo, ist noch jemand da?" über Ethernet."
…erläutert Dennis Knake. Beim DSL-Zugang antwortet normalerweise nur eine Gegenstelle auf dieses "Hallo": Der so genannte "Access Concentrator", ein Gerät, das den Datenverkehr der Kunden sammelt und letztlich den Kontakt zum Internet herstellt. Der "Access Concentrator" vergibt nun eine temporäre, also zeitlich begrenzt gültige IP-Adresse. Und dann kann es losgehen mit dem Surfen. Ähnliche Dinge passieren, wenn unter dem meistverwendeten Betriebssystem zum Beispiel Desktoprechner und Notebook Daten austauschen sollen:
"Wenn man sein eigenes Netzwerk lokal aufbaut, dann hat man einen Router und steckt drei Rechner dran, und automatisch haben sich die drei Rechner schon gefunden über Windows. Das ist so vorinstalliert, Windows hat ja die Freigaben automatisch schon eingestellt, Ethernet gucken: Hallo, wer ist noch da? Andere Rechnernamen gefunden, aha."
Praktischerweise übernimmt nämlich notfalls einfach einer der Rechner die Sache mit dem "Adressen verteilen", vergibt IP-Adressen an die Anwesenden, und es kann losgehen mit dem Datenaustausch im Heimnetz. Was im lokalen Netz also nützlich ist, führt bei einer DSL-Fehlkonfiguration geradewegs zum Daten-GAU. Und anfällig sind dabei ausgerechnet DSL-Anbieter mit einer Infrastruktur, die momentan stark im Trend liegt: Die so genannten NGNs, die "Next Generation Networks".
"Da die Provider heutzutage eine Ethernet-Technologie einsetzen in ihrer Vernetzung, die eigentlich genau die selbe Technologie ist wie in einem Heimnetzwerk, ist nichts anderes passiert, als dass der Ethernet-Switch des Providers, dort wo Kunden zusammengeführt sind, diese Broadcasts, diese "Hallo-Finde-mich-Signale" wieder zurückgeleitet hat zu einem anderen Kunden, der dort angeschlossen war."
Die Folge: Bei Windows-Usern baut das Betriebssystem nun automatisch ein lokales Netzwerk auf. Nur leider eben mit wildfremden PCs. Auch eine Software-Firewall bietet davor keinerlei Schutz. Nicht alle DSL-Kunden sind von der potenziellen Panne bedroht. QSC zum Beispiel verwendet eine aufwändigere Technologie namens MPLS. Dabei erhalten alle Datenpakete ein zusätzliches "Label": Eine Briefmarke sozusagen, auf der Sender, Empfänger und der vorher festgelegte Weg explizit verzeichnet sind.
Der Netzwerk-Kurzschluss soll nur in einigen wenigen Fällen passiert sein. Und die fehlkonfigurierten Switches, das versichern die betroffenen NGN-Provider, arbeiten mittlerweile so, wie sie sollen. Etwas mehr Schutz, als dieser Beteuerung einfach zu glauben, bietet ein Router. Wer als NGN-Kunde ein solches Gerät nicht ohnehin schon besitzt, etwa für den WLAN-Anschluss, der sollte sich eines zulegen: Mit der Investition von etwa 25 Euro verhindert man zumindest den Zugriff auf das eigene lokale Netz und freigegebene Dateien.