Internet-Ausfälle in Deutsch­land: Risiken einer Low-Cost IT-Monokultur

Vor einigen Tagen hat es das Internet ein weiteres Mal in die Presse und das Fern­sehen geschafft – wie üblich im Rahmen von nega­tiven Schlag­zeilen. Hundert­tau­sende Endkunden konnten weder Internet, Telefon noch Fern­sehen über ihren Enter­tain-Anschluss der Deutschen Telekom nutzen. Entgegen erstem „Finger­poin­ting“ war jedoch nicht die Telekom selbst Schuld an Störungen beim Zugriff auf das welt­weite Netz, sondern „nur“ die von der Telekom in großer Zahl einge­setzten Endge­räte aus der „Speed­port“ Modellreihe.
Was war passiert? Nach aktu­ellen Infor­ma­tionen scheint es so, als wäre in einer groß ange­legten Aktion ein globaler Angriff auf Geräte durch­ge­führt worden, welche für eine Fern­kon­fi­gu­ra­tion und –admi­nis­tra­tion ausge­legt sind. Viele Hersteller unter­stützen hierfür das soge­nannte „TR069“ Proto­koll. Dieses ermög­licht es, eine große Anzahl von Geräten von Provi­der­seite zu verwalten – ange­fangen von der Einwahl bis hin zu Konfi­gu­ra­ti­ons­de­tails wie WLAN-Funk­tionen. Dabei wird das Proto­koll Hersteller-über­grei­fend genutzt. Insbe­son­dere Consumer-Geräte wie eben die Speed­port-Modelle, aber auch andere weit verbrei­tete Reihen wie FritzBox, werden hier­über durch Provider administriert.

Zugriff durch Softwarefehler

Doch während die Vorteile einer solchen Fern­ver­wal­tung für den Provider auf der Hand liegen, ergibt sich in verschie­denen Situa­tionen ein Risiko hieraus. Da wäre zum einen schon das „Übliche“ zu nennen – nämlich Program­mier­fehler in der Soft­ware. Sie ermög­li­chen unter Umständen, dass mittels spezi­eller Pakete Rechte-Eska­la­tion oder (in weniger schlimmen Fällen) einfach nur ein Absturz der Soft­ware verur­sacht wird. Und während letz­teres zwar vorüber­ge­hend ärger­lich ist, stellt der erste Fall das größere Problem dar. Denn hiermit kann ein Gerät dauer­haft, und teils auch unbe­merkt für den Eigen­tümer, zu krimi­nellen Zwecken einge­setzt werden. Mögli­cher­weise kann ein betrof­fenes Gerät so auch komplett außer Betrieb gesetzt werden - ohne dass Abhilfe durch einen Neustart möglich ist.
Im Fall der aktu­ellen Angriffs­welle scheint nun genau ein solcher Soft­ware­fehler im Rahmen der Angriffe aufge­treten zu sein, wodurch es zu Problemen mit der Einwahl bei den betrof­fenen Geräten kam. Da diese Auswir­kung aber für Angriffe in einem solchen Umfang nicht wirk­lich sinn­haft ist, stellt sich die Frage, ob nicht die Über­nahme mancher Geräte das eigent­liche Ziel war – und bei wie vielen Geräten dieses Vorhaben dann auch letzt­end­lich erfolg­reich war, ohne dass es bemerkt wurde.

Gegen­maß­nahmen? Fehlanzeige.

Letzt­lich stellt sich aber die Frage, was gegen solche Atta­cken unter­nommen werden kann. Auf Seiten des Endnut­zers gibt es kaum Möglich­keiten – weder kann man selber die Fehler in den Consumer-Endge­räten einschätzen oder gar beheben, noch lässt sich die Fern­kon­fi­gu­ra­tion über­haupt deak­ti­vieren, sofern man über­haupt admi­nis­tra­tiven Zugriff auf das Gerät hat. Gerade bei vom Provider bereit­ge­stellten und admi­nis­trierten Geräten liegt die Verant­wor­tung fraglos bei diesen Anbie­tern. Gerade eine Funk­tion wie die Fern­ad­mi­nis­tra­tion sollte entweder auf dem Endgerät oder im Netz des Anbie­ters soweit abge­si­chert sein, dass externe Zugriffe aus Berei­chen außer­halb der Netz­ver­wal­tung nicht möglich sind. Letzt­lich verhin­dert auch diese Maßnahme aber ledig­lich einen Angriff über genau dieses “Einfallstor” - das geht so lange gut, bis Angreifer die nächste Lücke an anderen Stellen des Systems entdeckt haben. Im aktu­ellen Fall stehen mitt­ler­weile immerhin Updates für die betrof­fenen Geräte zur Verfü­gung, die man - sofern man über einen funk­tio­nie­renden Netz­zu­gang verfügt - herun­ter­laden und instal­lieren kann.
Ihre Fragen im Bereich IT-Sicher­heit beant­worten wir auch gerne persön­lich. Nehmen Sie Kontakt mit uns auf!

Schreibe einen Kommentar

Cookie Einstellungen
Diese Website verwendet Cookies, um die bestmögliche Funktionalität zu gewährleisten. Mehr lesen

Akzeptiere alle Cookies Speichern