zum Hauptinhalt
Störung bei der Telekom. 900.000 Kunden sind betroffen.
© imago/Christian Ohde

Hackerangriff auf die Telekom: Was passiert ist, wer dahinter steckt, was Kunden tun können

Hunderttausende Telekom-Kunden waren wegen eines Hackerangriffs von einer Störung betroffen. Fragen und Antworten zum Thema.

Kein Telefon, kein Internet, kein Fernsehen: Für fast eine Million Kunden der Telekom war die Leitung lange Zeit tot. Grund dafür soll ein gezielter Angriff von Hackern sein, die Router lahmgelegt haben – und zwar in einem Ausmaß, das es bisher in Deutschland wohl so noch nicht gegeben hat. Attacken wie diese zeigen, wie abhängig Wirtschaft und Gesellschaft inzwischen vom Internet sind – und wie wenig die Sicherheitssysteme darauf vorbereitet sind.

Was ist bei der Telekom passiert?

Seit Sonntagnachmittag klagten Telekom-Kunden über den Ausfall ihrer Anschlüsse für Telefon, Internet und Fernsehen. Gestört war aber nicht das Netz selbst, sondern die Router, die zur Einwahl ins Netz dienen und damit Telefonie, den Internetzugang und auch den Online-Fernsehempfang ermöglichen. Rund 900.000 Router der bundesweit 20 Millionen Kunden sind nach Angaben der Telekom betroffen – ausschließlich jene mit Speedport- Routern der Telekom, die vom taiwanesischen Hersteller Arcadyan stammen. Nutzer von Fritz-Box-Modellen hätten keine Probleme gemeldet, teilte Hersteller AVM dem Tagesspiegel mit. Dass es sich bei der Störung der Router nicht allein um ein rein technisches Problem, sondern um einen gezielten Angriff von außen handelte, zeichnete sich offenbar schnell ab.

Wie konnte es zu dieser Störung kommen?

Hinter dem Angriff steckt nach Erkenntnissen der Telekom das so genannte Botnetz Mirai, das in der Vergangenheit bereits mehrfach Hackerangriffe gestartet hat. „Im Rahmen des Angriffs wurde versucht, die Router zum Teil des Botnetzes zu machen. Dies ist zwar misslungen, bei dem Versuch der Übernahme sind die Router aber abgestürzt“, erklärte Thomas Tschersich, Leiter der Abteilung IT-Sicherheit bei der Telekom, am Montag dem Tagesspiegel. Über eine Fernwartungsschnittstelle sei versucht worden, eine Schadsoftware auf die Endgeräte einzuspielen. Wären die Router bei diesem Manipulationsversuch nicht abgestürzt, wäre der Angriff womöglich nicht oder erst später bemerkt worden. Es gebe allerdings keine Hinweise darauf, dass Daten von Kunden abgegriffen worden seien, sagte Tschersich. Die weitere Zusammenarbeit mit dem Router- Hersteller Arcadyan werde geprüft.

Auch nach Erkenntnissen des Bundesamts für Sicherheit in der Informationstechnik (BSI) handelt es sich um einen gezielten Angriff. Der Ausfall sei die Folge einer weltweiten Attacke auf ausgewählte Fernverwaltungsports von DSL- Routern gewesen, teilte die Behörde mit. Laut BSI waren die Angriffe auch in dem von der Behörde selbst geschützten Regierungsnetz bemerkbar, konnten dort aber mit effektiven Schutzmaßnahmen abgewehrt werden.

Bereits am Sonntag hatte die Telekom den Vorfall der Bundesagentur gemeldet. Betreiber öffentlich zugänglicher Telekommunikationsnetze sind laut Telekommunikationsgesetz verpflichtet, Beeinträchtigungen „unverzüglich mitzuteilen, sofern diese zu beträchtlichen Sicherheitsverletzungen führen oder führen können“. Die Hacker hatten es offensichtlich gezielt auf die Telekom-Router abgesehen. Weder Vodafone noch die O2-Mutter Telefónica waren nach eigenen Angaben von einer Störung betroffen.

Was sind Botnetze?

Botnetze sind eine Gruppe von automatisierten Computerprogrammen. Das Botnetz Mirai ist bereits in der Vergangenheit mit solchen gezielten Attacken aufgefallen. Distributed Denial of Service (DDoS) werden solche absichtlichen Überlastungen von Netzen durch andere Systeme genannt. Sie dienen beispielsweise dazu, Betreiber von Websites zu schädigen oder zu erpressen. Mirai nutzt aus, dass immer mehr Alltagsgegenstände wie Kühlschränke, Toaster, Babyfones oder Kameras mit dem Netz verbunden sind. Kurz vor der US-Wahl hatte Mirai massenhaft internetfähige Haushaltsgeräte genutzt, um deren Rechenleistung zu kapern und über den Internetdienstleister Dyn zahlreiche populäre Webdienste wie Twitter, Spotify und Amazon zum Erliegen zu bringen.

Warum konnte sich die Telekom nicht schützen?

Auch die Telekom-Router sollten laut Tschersich offenbar für eine DDos-Attacke genutzt werden. Die entsprechende Sicherheitslücke sei der Telekom nicht bekannt gewesen, jedoch innerhalb von weniger als 24 Stunden mit Software-Updates geschlossen worden. Damit die Updates greifen, müssen Nutzer der betroffenen Router ihr Gerät einmal für mehrere Minuten vom Strom nehmen und dann wieder einstecken.

Wie groß ist die Bedrohung durch Hacker für die Telekommunikation?

„Wir haben in Deutschland zahlreiche Verfahren etabliert, die dazu dienen sollen, die Netze sicher und stabil zu halten“, sagt ein Sprecher der Bundesnetzagentur. Dennoch „wird man es nicht verhindern können, dass es solche Störungen gibt“. Für Norbert Pohlmann, Leiter des Instituts für Internetsicherheit der Westfälischen Hochschule Gelsenkirchen ist der Angriff auf die Telekom nur ein weiterer Beweis dafür, „dass wir noch längst kein Level erreicht haben, auf dem unsere Telekommunikationsnetze ausreichend gegen Cyberangriffe gesichert sind“. Das 2015 in Kraft getretene IT-Sicherheitsgesetz könne nur ein erster Schritt sein. Der Angriff auf die Telekom müsse „als deutlicher Warnschuss“ verstanden werden.

Welche Netze sind noch betroffen?

Für das Innenministerium zählt nicht nur die Telekommunikation zur sogenannten kritischen Infrastruktur für das ganze Land, sondern auch Strom, Gas sowie die Trink- und Abwasserversorgung. Bei Strom, Gas und Wasser liegt das auf der Hand. Telefonleitungen sind fast genauso wichtig, weil Energieversorgung, Internet und Mobilfunk immer mehr zusammenwachsen. Genau hier sehen Experten Schwachstellen. Der Schutz der einzelnen Netze sei nicht gut genug. Außerdem könne Schadsoftware zu leicht von einem System ins andere überspringen. In der Cyber-Sicherheitsstrategie des Innenministeriums steht im Kapitel Bedrohungslage: „Cyberangriffe auf Energieversorgungsnetze können weite Bereiche des öffentlichen und privaten Lebens zum Erliegen bringen.“

Gerade wenn sich das traditionelle Stromnetz zu einem intelligenten Netz (Smart Grid) mit mehreren Millionen über das ganze Land verteilten Mess-, Steuer- und Kontrollpunkten wandelt, gibt es ebenso viele potenzielle Angriffspunkte. Früher war das Stromnetz noch abgeschottet, heute werden selbst die meisten privaten Solaranlagen über Mobilfunk gesteuert. „Da kann sich jeder einhacken“, sagt der Telekommunikationsexperte Bernd Sörries, IT-Berater und Dozent an der Fachhochschule Südwestfalen in Meschede. Mit einer speziellen Software könnten sich zum Beispiel Erpresser jede Anlage für Stromerzeugung auf der ganzen Welt anzeigen lassen und dann gezielt attackieren. Wie sich das in Zahlen niederschlägt, stellt das Berliner Kompetenzzentrum Kritische Infrastrukturen fest: Lag der Anteil von Hackerangriffen 2015 bei 11,6 Prozent aller verdächtigen Ereignisse, waren es 2016 bisher 20,6 Prozent.

Wie beurteilen deutsche Behörden die Gefahr?

Sicherheitsexperten verweisen immer wieder auf die Machenschaften russischer Gruppierungen. So warnte das Bundesamt für Verfassungsschutz im März in seinem „Cyber-Brief“ vor der Hackertruppe Sofacy. Als mutmaßliches Ziel von Angriffen nannte der Verfassungsschutz deutsche Unternehmen der Energiebranche. Der Nachrichtendienst hatte Hinweise auf „Vorbereitungshandlungen“ für Angriffe von Sofacy. Die Gruppierung ist seit 2007 aktiv und wird verstärkt gegen Staaten des Westens eingesetzt. Sicherheitskreise sprechen von russischer Vergeltung für die gegen das Land verhängten Sanktionen. Im Frühjahr 2015 kaperten die Hacker insgesamt 14 Server des Bundestages und erbeuteten Daten im Volumen von 16 Gigabyte.

Was können betroffene Kunden tun? Werden sie entschädigt?

Betroffene Kunden, die auch einen Mobilfunkvertrag mit der Telekom haben, können sich den Angaben zufolge kostenlos eine 24 Stunden gültige Datenflatrate freischalten lassen, um über Smartphone oder Tablet zu surfen. Der sogenannte „Day Flat Pass“ könne vom entsprechen Mobilgerät aus über die Seite pass.telekom.de gebucht werden; die angezeigten Kosten würden nicht berechnet. Kunden ohne einen Telekom-Mobilfunkvertrag sollten in einen Telekom-Shop gehen. „Dort wird ihnen geholfen“, versicherte das Unternehmen. Experten raten, den Router für mehrere Minuten vom Netz zu nehmen. Möglicherweise funktioniert der Router dann wieder.

Zur Startseite