Die Deutsche Telekom und ihre Kunden sind bei einer Attacke auf "Speedport"-Router offenbar mit einem blauen Auge davongekommen. "Sie können ja sagen, dass es schlimm war, dass 900.000 Router ausgefallen sind. Sie können aber auch sagen: Es ist gut, dass nicht noch Schlimmeres passiert ist", betonte der deutsche Innenminister Thomas de Maiziere am Dienstag.
Die Geräte der Telekom waren laut Bundesamt für Sicherheit in der Informationstechnik (BSI) durch einen weltweit angelegten Hackerangriff lahmgelegt worden. Wer dahinter stand und welchen Zweck die Angreifer verfolgten, ist weiterhin nicht abschließend geklärt. Viele Experten gehen allerdings davon aus, dass es bei solchen Attacken in der Regel unmöglich ist, mit letzter Gewissheit eine Spur zu verfolgen, die eindeutig zum Angreifer führt.
Neustart der Router reichte
Klar scheint nach Meinung von Experten dagegen, dass die Attacke durch Stümperei der Angreifer nicht noch mehr Schaden angerichtet hat. Wäre die Schadsoftware besser programmiert worden, wären die Folgen des Angriffs noch viel schlimmer gewesen, sagte ein Telekom-Sprecher am Dienstag. Im aktuellen Fall hatte in der Regel ein Neustart der Router gereicht, um sie wieder funktionsfähig zu machen.
Nach ersten Analysen ist der eingeschleuste Schadcode mit dem bekannten Botnet-Code Mirai verwandt, berichtete die IT-Sicherheitsfirma Kaspersky Lab. Ziel sei wahrscheinlich gewesen, die Router mit einem Botnetz zu verbinden, das Online-Kriminelle gewöhnlich für ihre Zwecke, etwa Erpressung, Spam-Versand oder gezielte Angriffe auf andere Rechner missbrauchen.
"Irgendwo auf der Welt wird die Attacke erfolgreich gewesen sein", betonte Telekom-IT-Sicherheitschef Thomas Tschersich. Von den infizierten Routern dürften in den nächsten Monaten neue Angriffe ausgehen, die ganze Computersysteme aus dem Internet werfen können. "Angriffe, bei denen Internet-Verbindungen absichtlich überlastet werden - sogenannte Denial of Service-Attacken -, werden massiv zunehmen und eine ganz andere Qualität bekommen."