Düsseldorf Es ist Anfang November, als ein unbekannter IT-Sicherheitsspezialist und vermutlicher Japan-Fan unter dem Pseudonym „Kenzo2017“ eine nur für technische Experten verständliche Warnung in einem Online-Blog veröffentlicht: Demnach sei es Hackern möglich, bestimmte Router des irischen Internet-Anbieters EIR mithilfe übers Internet verschickter Steuerbefehle aus der Ferne umzuprogrammieren.
Auf diese Weise könnten die Angreifer die Geräte, mit deren Hilfe Privatleute und Unternehmen online gehen, fernsteuern und – wie eine Art digitale Zombies – für groß angelegte Attacken auf andere benutzen. Kurz darauf veröffentlicht der Router-Hersteller, das taiwanische Unternehmen Zyxel, ein Update, um die Lücke zu stopfen. Sonst aber blieb die Warnung weitgehend unbeachtet.
Bis sie am vergangenen Sonntag plötzlich immense Brisanz bekommt.
Es ist kurz nach drei Uhr am Nachmittag als den Mitarbeitern im Netz-Monitoring-Center der Deutschen Telekom in Bonn beim Blick auf die wandhohen Kontrollschirme Sonderbares auffällt. Ohne erkennbaren Grund sind merklich weniger Kunden an den Telefonie-Servern des Kommunikationsriesen angemeldet. Auch die Netzlast ist erkennbar niedriger als für einen Sonntagnachmittag sonst üblich, weil weniger Menschen über das Netzwerk des Konzerns.
Ein erster schneller Check der bundesweiten Wetterlage zeigt: Strahlendes Spätherbstwetter, das die Deutschen zu Zehntausenden und flächendeckend zu außerplanmäßigen Sonntagsspaziergängen veranlassen könnte, so ein erster Erklärungsversuch. Was also ist los, da draußen im Netz? Die Suche nach der Ursache beginnt – und für Thomas Tschersich, den Programmleiter für Interne Security & Cyber Defense bei der Telekom sowie Hunderte weitere Technik- und Sicherheitsexperten im Konzern die vermutlich stressigsten 72 Stunden, der vergangenen Jahre.
Es ist kurz nach halb Vier, als im Handy des 46-jährigen Sicherheitschefs die erste E-Mail eingeht, dass sich im Netz IRGENDETWAS Ungewöhnliches tut. Da weiß noch niemand WAS genau passiert, aber DASS etwas nicht stimmt, wird immer klarer. Binnen kurzer Zeit sind es rund 900.000 Telekom-Kunden, deren Telefon-, Internet- und Multimediaanschlüsse ganz oder teilweise streiken.
Eine halbe Stunde später hat Tschersich die Kollegen aus Bonn persönlich am Apparat. „Da war klar, dass wir – wie das bei uns heißt – eine ‚Störung großer Wirkweite‘ im Netz haben“, sagt der Sicherheitsmanager.
Für solche Fälle haben Kommunikationskonzerne wie die Telekom aber auch ihre Wettbewerber ausgeklügelte Notfallpläne parat. Fachleute stehen in Rufbereitschaft, wenn es irgendwo klemmt und das diensthabende Personal die Störungen nicht in den Griff bekommt. Aber es ist Sonntagnachmittag. Da braucht es länger als während der Arbeitszeit an Wochentagen, bis die Kräfte verfügbar sind. Doch der Kreis der Experten wächst rasch an. Sie schalten sich zusammen, diskutieren, woran es liegen könnte, dass so viele Kunden, so plötzlich keinen stabilen Netzzugang mehr bekommen?
Ein Ausfall eines regionalen Netzknotens, vielleicht? Liegt nicht vor! Die Störungen tauchen bundesweit auf? Störungsmeldungen aus Ballungsräumen häufen sich, sind dort vielleicht Netzkomponenten eines gemeinsamen Typs verbaut, die eine Störung aufweisen? Auch nicht, die Häufung, so zeigt der Abgleich mit den Nutzerdaten, ergibt sich alleine aus der höheren Bevölkerungsdichte. Wo mehr Menschen leben mit ihren Telefonanschlüssen, da haben – auch bei einer statistischen Gleichverteilung einer Störung – einfach absolut gezählt mehr Menschen einen Netzausfall. In fieberhafter Eile entwickeln die Netztechniker Thesen, was Auslöser der Störung sein können, prüfen die Fakten … und verwerfen sie wieder. Es bleibt ein Rätsel, was passiert ist.
Klarheit am Sonntagabend
Als die Experten technische Fehler im Netz Stück für Stück ausschließen können, gerät Tschersichs Cybercrime-Truppe in den Fokus. Wenn nicht die Technik klemmt, sind es vielleicht Störungen von außen? Sind Hacker am Werk?
Die Security-Spezialisten schneiden den Datenverkehr an den Test-Routern mit, die die Telekom selbst betreibt, protokollieren die Aufrufe aus dem Netz, analysieren den Code, den zigtausende Computer aus dem ganzen Internet im Minutentakt an die Netzwerkgeräte senden – und haben kurz nach 18 Uhr am Sonntagabend Klarheit: „Das ist der Angriff eines Botnetzes – und wir stehen mitten im Dauerfeuer.“
Um die Angriffe mitscheiden zu können, betreiben IT-Sicherheitsdienstleister, aber auch die Kommunikationskonzerne selbst speziell präparierte Computersysteme, die sie – gegen Angriffe ungeschützt, aber mit Analyseprogrammen gespickt – mit dem Internet verbinden, von ihrer eigenen Infrastruktur aber strikt abkoppeln. „Honeypot“, Honigtopf heißen sie, weil sie auf Hacker und ihre Schadprogramm wie leichte Beute wirken, daher kontinuierlich angegriffen werden und den Sicherheitsanalysten dabei einen genauen Blick darauf ermöglichen, welche Attacken im Netz gerade gefahren werden – und auf welche Schwachstellen sie abzielen.
Die Attacke, das wird beim Studium des mitgeschnittenen Netzwerkverkehrs und der übermittelten Befehlsketten klar, greift genau da an, wo „Kenzo2017“ Anfang November die Schwachstelle der irischen Router gefunden hat. Die Hacker versuchen, über das Fernwartungsmodul der Router ins Betriebssystem der Geräte zu gelangen.
Die Bonner Experten wissen um die Schwachstelle, haben sie schon kurz nach Bekanntwerden ausgewertet, und an Testgeräten geprüft, ob die Router im Netz genauso anfällig sind, wie jene Geräteserie in Irland. Und sie haben befunden, dass die eigene Technik nicht anfällig sei. Soweit die Theorie. Warum also fallen die Router an diesem Sonntag trotzdem zu Hunderttausenden aus? In Bonn macht sich nach Stunden der Suche Ratlosigkeit breit.
Was sich abzeichnet ist, dass es ausschließlich Geräte eines Herstellers sind, von dem die Telekom einen Teil ihrer Router fertigen lässt. Besonders häufig sind Kunden betroffen mit den Modellen W 921 v, W 922 v, aber auch Modelle der W 700er-Serie schalten sich ab, Modelle der 500er-Serie – allesamt vom taiwanischen Zulieferer Arcadyan. Aber was haben sie gemeinsam, dass sie unter dem Dauerfeuer der Angriffe aus dem Netz ausfallen. Und bei mehr als 20 Millionen anderen Telekom-Kunden die Geräte ohne Störung weiter funktionieren.
Auch tief in der Nacht wird das Bild nur graduell klarer. Egal an welchem ihrer Router die Telekom-Spezialisten den Angriffsversuch nachzuvollziehen versuchen, zeigt es sich zwar, dass es der Schadsoftware nicht gelingt, sich auf den Routern einzunisten – soweit also scheint der Schutz er Technik zu funktionieren. Aber warum zum Teufel, bekommen die Kisten wenige Minuten nach dem Einschalten und dem Anschluss ans Telekom-Netz so etwas wie einen digitalen Schluckauf, bekommen Aussetzer, kommen beim Datenverkehr nicht mehr mit … und schalten sich nach rund einer halben Stunde in vielen Fällen einfach ab.
Tschersich und seine Truppe suchen fieberhaft nach Erklärungsansätzen und kommen nicht recht voran. Einzig, dass sich offenbar auf keinem der Testsysteme wirklich ein Schadprogramm einnisten kann, verschafft dem Sicherheitsstab eine Spur von Erleichterung. Selbst im größten Sturm, so ihre Erkenntnis, könnte es immer noch ein gutes Stück schlimmer kommen. Kommt es aber derzeit zum Glück offenbar nicht.
Selbst die Experten rätseln
Trotzdem herrscht am frühen Montagmorgen weiter Rätselraten. Die Telekom-Sicherheit gleicht die Erkenntnisse mit den Experten beim Bonner Bundesamt für Sicherheit in der Informationstechnik (BSI) ab. Auch dort – nahezu in Sichtweite von der Telekom-Konzernzentrale an der Friedrich-Ebert-Allee – rätseln die Experten, warum genau die Router streiken. Und auch beim BSI haben „Honeypots“ den Cybersturm aus dem Netz bemerkt und ausgewertet.
Immerhin, den Angreifer haben die Fachleute inzwischen identifiziert. Es ist Schadsoftware, die sie dem Mirai-Netzwerk zurechnen. Das erklärt auch die Vehemenz, mit der die Angreifer, die Router attackieren. Schließlich steckte Mirai vor nicht mal einem Monat, Ende Oktober, auch hinter einer der heftigsten Attacken gegen Online-Anbieter, die das Netz bisher überhaupt erlebt hatte: Über Stunden sind die Webangebote von Amazon, Spotify, Twitter oder Netflix und vieler anderer Unternehmen kaum erreichbar. Schwerpunkte der Angriffe sind die Industrieregion im Nordosten der USA und die Hightech-Zentren an der Westküste. Aber auch im Großraum London, in Europa und in Asien kommt es zu Störungen.
Was die Sicherheitsexperten nach der Analyse des Angriffs im Oktober noch mehr in Alarmzustand versetzt, als dessen Vehemenz: Die Attacke nahm ihren Ursprung zu großen Teilen im Internet der Dinge. Jenem explosionsartig wachsenden Segment des Netzes, das nicht aus Computern oder Servern besteht, sondern aus der Flut vernetzter Maschinen – Überwachungskameras, Videokonferenzsysteme, oder eben gekaperte Router.
Und nun ist es wohl Mirai, das exakt die von „Kenzo2017“ beschriebene Schwachstelle im Fernwartungsmodul von Routern weltweit auszunutzen versucht, um weitere Geräte zu infizieren. Weltweit.
Denn selbst wenn der hunderttausendfache Ausfall von Routern bei der Telekom der sichtbarste Effekt der neuen Angriffswelle ist, im Grunde ist sie gar nicht gezielt gegen den Bonner Kommunikationskonzern gerichtet. Und auch nicht gegen die Routertypen, die auch am Montagmorgen noch massenfach in Streik treten.
Bei Millionen von Routern weltweit ist der Angriff nur nicht aufgefallen, weil sie – standardkonform – den Versuch der Kontaktaufnahme der Hacker abgewiesen haben. Bei hunderttausenden Routern rund um den Globus, da sind sich die Experten sicher, war Mirai aber offenbar auch erfolgreich.
„Seit dem Wochenende verzeichnen wir einen drastischen Anstieg von infizierten Geräten rund um den Globus – speziell aus dem brasilianischen Netz der Telefónica-Tochter Movistar, aber auch dem des türkischen Netzbetreibers Türk Telecom sowie von betroffenen Routern britischer und irischer Internet-Nutzer“, sagt etwa Lion Nagenrauft, Cybersecurity-Analyst beim deutschen IT-Sicherheitsdienstleister iT-Cube. Er hat ausgewertet, wo genau die Hacker angesetzt und was sie mit der Attacke bezweckt haben.
Nagenraufts Fazit: „Hätte sie nicht ab Sonntag zum flächendeckenden Ausfall der Telekom-Geräte geführt, wäre die neue globale Angriffswelle womöglich weitgehend unbemerkt geblieben.“
Die Ursache liegt ganz woanders
Anders als bei den irischen Routern aber gelingt es den Angreifern zu Tschersichs Erleichterung nicht, auf den Telekom-Geräten Schadprogramme auszuführen. Trotzdem fallen die von Arcadyan für die Telekom produzierten Speedport-Router reihenweise aus.
Nichts scheint zunächst wirklich zu helfen. Als die Telekom den Hackercode entziffert hat und in ihrem Netz den Zugriff auf die Server blockt, von denen aus das Mirai-Botnetz seine Angriffs-Software auf die Router laden will, weichen die Hacker auf andere Server aus, über die sie ihre Software verbreiten. Erst als Tschersich den Datenverkehr mit den Routern radikal beschneidet und im Zusammenspiel mit dem Fernwartungsmodul nur noch Verbindungen zu den Geräten zulässt, die aus dem Netz der Telekom stammen, beginnt sich die Lage zu stabilisieren.
Und dann – irgendwann – kommen die Software-Experten bei der Telekom und Arcadyan endlich auch der Ursache für die Störung der Onlineverbindungen bis hin zum zeitweiligen Ausfall der Router auf die Spur.
Und der liegt an einer ganz anderen Stelle im System, als es bisher den Anschein hatte. Nein, es gelangt keine Schadsoftware in die Geräte. Nein, sie stürzen nicht ab, weil „schlampig programmierter Hacker-Code“ die Router crashen lässt, wie das BSI-Chef Arne Schönbohm zwischenzeitlich (und offenbar auf Hinweise aus der Telekom hin) öffentlich kommentiert. Im Grunde arbeitet das Fernwartungsmodul in den Router sogar standardkonform.
Wie vorgesehen, nehmen die Geräte nur den – auch vom Mirai-Netz simulierten – Hinweis aus dem Netz zur Kenntnis, dass es offensichtlich so etwas wie ein Softwareupdate gibt. Wie vorgeschrieben beenden sie dann die Kommunikation mit dem Informanten – der im Normalfall der Netzbetreiber wäre, oder eventuell der Hersteller des Geräts, seit Sonntag aber im Minutenabstand irgendein von Mirai gekaperter Rechner oder Router irgendwo auf der Welt ist. Stattdessen kontaktieren die Speedports die Service-Computer der Telekom, von denen sie glauben, dass diese das angekündigte Update ausliefern wollen – und laufen dabei ins Leere. Denn dort liegt ja nichts, weil der Wartungsimpuls ja von Mirai stammt.
Und genau da tut sich offenbar ein winziger, aber folgenschwerer Programmfehler in Hundertausenden Arcadyan-Routern auf. Denn statt die Verbindung zum Wartungsserver wieder zu kappen, wie ein Telefonat aufzulegen, bei dem der Angerufene nicht abhebt, lassen die Geräte die Verbindung zum Telekom-Rechenzentrum aktiv.
Das wiederholt sich, mit jedem neuen Kontaktversuch eines von Mirai gekaperten Systems. Bildlich gesehen klemmt sich der Router einen Telefonhörer nach dem andern unters Ohr. Einmal, zweimal, zehnmal, teils minütlich – bis die Software der Router die Vielzahl der gleichzeitig aufgebauten Verbindungen zum Wartungssystem der Telekom nicht mehr handhaben kann … und den Anschluss ans Telekom-Netz komplett kappt. In Spitzenzeiten bei 900.000 Kunden.
Den Router zwischenzeitlich vom Netz zu trennen und nach kurzer Reset-Pause wieder anzustöpseln, löst das Problem daher auch nur vorübergehend. Denn weil der globale Angriff von Mirai auch am Montag und Dienstag mit unverminderter Vehemenz anhält, wiederholen sich auch die Aussetzer der Geräte immer weiter, bis die Telekom den fehlerhaften Aufbau der parallelen Verbindungen durch eine Reparatur der Router-Software unterbindet.
Eine Abkürzung als Lösung
Das Problem: Im Normalfall dauert die Fehlerprüfung eines Software-Updates für systemkritische Geräte – also auch für Router – bei der Telekom zwei bis drei Monate. Die Zeit aber hat unter dem Dauerfeuer aus dem Netz in Bonn niemand. Die Lösung liegt in einer Abkürzung. Statt das komplette Update auf alle denkbaren Fehler zu überprüfen, nehmen sich die Qualitätstester nur den Reparatur-Code für das Wartungsmodul vor und prüfen die Verträglichkeit der neuen Programmzeilen mit Gerät und Netz.
Das verkürzt den Prozess drastisch: Am Montagmorgen, rund zwölf Stunden nach dem Beginn des Angriffs legen die Entwickler von Arcadyan und die Service-Spezialisten der Telekom das Software-Update für die ersten Speedport-Router auf ihre Update-Server. Wenn die sich nach einem Neustart erstmals mit dem Netz der Telekom zu verbinden versuchen, werden sie mit der Wartungssoftware versorgt und aktualisiert.
Alle anderen Signale aus dem Netz an die auch für Updates zuständige Router-Schnittstelle – beispielsweise Informationen über die genaue Uhrzeit, über die sogenannten Zeit-Server im Internet, die dort vernetzten Maschinen synchronisieren – filtern zusätzliche Schutzprogramme aus dem Datenstrom heraus, die Tschersichs Sicherheitsexperten inzwischen im Telekom-Netz aktiviert haben. „Das behindert zwar andere Online-Funktionen“, sagt einer der Spezialisten fast entschuldigend, „aber bis die gestörten Router wieder auf Trapp sind, ist das das kleinere Übel.“
Mit jedem zusätzlichen Update, das die Telekom für weitere Routertypen bereit stellt, stabilisiert sich die Lage im Laufe des Montags und speziell am Dienstag weiter, weil es die Speedports so modifiziert, dass auch fortwährendes Dauerfeuer aus dem Mirai-Netz sie nicht mehr in die Knie zwingt. Am Mittwochnachmittag – mehr als drei Tage nachdem den Technikern im Netzkontrollzentrum die ersten Störungen auffielen – haben der Sicherheitschef und seine Spezialisten die Lage weitestgehend im Griff. „Bis auf ein paar zehntausend Router, die wir uns nun noch einzeln vornehmen, ist fast jeder Kunde wieder online.“
Sie wissen aber auch: Selbst wenn der Betrieb im eigenen Haus wieder stabilisiert ist – es ist nur die Ruhe vor dem nächsten Sturm aus dem Netz. Denn rund um den Globus hat Mirai in der Zwischenzeit zigtausende neue Maschinen gekapert. Und die Waffe der Angreifer ist noch weit stärker, wenn „Kenzo2017“ oder irgendein anderer Technik-Spezialist die nächste Schwachstelle publizieren.
Es ist höchstens eine Frage der Zeit, bis es soweit ist.
