Antworten zum Angriff auf die Router von Telekom-Kunden
Bei einigen Kunden kam es zu Beeinträchtigungen im Festnetz. Hier sind Antworten zu den wichtigsten Fragen sowie zur Sicherheit von Routern und Fällen in der Vergangenheit.
Im Video: Thomas Tschersich, Leiter Group Security Services Deutsche Telekom, bringt Klarheit in die aufkommende Spekulation zur Sicherheitslücke.
Die Router waren offenbar so eingestellt, dass nicht nur die Telekom darauf Zugriff hatte, sondern auch Dritte. Warum waren die Router nicht besser geschützt?
Natürlich waren die Router geschützt: Der Angriff war nicht erfolgreich, die Router wurden nicht infiziert. Hundertprozentige Sicherheit können Sie aber bei keiner IT-Komponente garantieren. Deshalb geht es darum, bekannt gewordene Sicherheitslücken möglichst schnell zu schließen. Das ist hier in Zusammenarbeit mit dem Hersteller erfolgt.
IT-Sicherheitsexperten sagen, dass die Sicherheitslücke bereits bekannt war. Warum wurde die Lücke nicht früher geschlossen?
Das aktuelle Problem war weder identisch mit der Sicherheitslücke von 2014 noch mit dem Fall, der vor ein paar Wochen in Irland bekannt geworden ist. Die Router wurden in unserem Fall nicht infiziert, der Angriff war nicht erfolgreich. Allerdings wurden Router unserer Kunden durch den Angriff überlastet und sind deshalb abgestürzt.
Sind die betroffenen Telekom-Router jetzt sicher?
Ja, die Updates der Router verhindern den Zugriff Dritter auf die Fernwartungsschnittstelle. Wir benötigen das Fernwartungssystem, beispielsweise um den Routern zu signalisieren, dass Updates bereitstehen.
Wurde das Netz der Telekom gehackt?
Nein, der Angriff galt Routern von Kunden der Deutschen Telekom und war laut Bundesamt für Sicherheit in der Informationstechnologie (BSI) Teil einer weltweiten Attacke auf sogenannte Fernwartungsschnittstellen.
Was war der Ziel des Angriffs?
Der Versuch bestand darin, diese Router mit Schadsoftware zu infizieren und zum Teil eines sogenannten Botnetzes zu machen - das ist nicht gelungen. Der Angriff war nicht erfolgreich.
Welche Auswirkungen hatte der Angriff für die Kunden?
Für die überwiegende Mehrheit, rund 96 Prozent, hatte der Angriff keine Auswirkungen. Bei etwa vier Prozent, das sind rund 900.000 Kunden, waren die Auswirkungen unterschiedlich. Manche hatten Einschränkungen beim Service, andere konnten unsere Dienste gar nicht nutzen. Aktuell sind immer noch nicht alle Kunden wieder am Netz.
Wie lange wird es dauern, bis alle Kunden wieder störungsfrei sind?
Wir haben die ersten Software-Updates gestern noch zur Verfügung gestellt und auf betroffene Router aufgespielt. Heute kommen neue Updates, weitere sind in Arbeit. Allerdings: Das Verfahren ist zeitaufwändig. Bis der letzte Router aktualisiert ist, wird es noch etwas dauern.
Welche Maßnahmen hat die Telekom ergriffen?
Zunächst haben wir mit Filtermaßnahmen im Netz verhindert, dass die Fernwartungsschnittstelle von den Angreifern erreicht werden konnte um so Neuinfektion von Geräten auszuschließen. Parallel haben Experten der Routerhersteller mit der Entwicklung von Softwareupdates begonnen, die seit gestern Nachmittag auf die betroffenen Router aufgespielt werden. Wir haben bereits im Laufe des gestrigen Vormittags eine deutliche Stabilisierung erkennen können – unsere Maßnahmen haben gegriffen. Außerdem mussten wir alle nicht betroffenen Routertypen darauf überprüfen, ob sie nicht vielleicht doch von Schadsoftware befallen sind. Funktionieren war kein Beweis für Freiheit von Schadsoftware.
Hätte der Angriff verhindert werden können?
Nach heutigen Erkenntnissen, nein. Aber die Detailanalyse läuft noch. Der Angriff war Teil einer weltweiten Aktion, so hat es das BSI bestätigt.
Hat die Telekom auf Kosten der Sicherheit gespart?
Nein, im Gegenteil. Wir investieren Milliarden in unser Netz, auch in dessen Sicherheit. Wir betreiben ein Cyberdefensezentrum und haben ein eigenes Vorstandsressort für den Schutz unserer Daten. Beim Einkauf der Router arbeiten wir eng mit unseren Lieferanten zusammen, um unseren hohen Sicherheits- und Qualitätsansprüchen gerecht zu werden. Der Fall zeigt uns aber auch: Eine 100prozentige Sicherheit gibt es nicht.
Die immer gleichen Aufforderungen, den Router vom Netz zu nehmen, wirkten gelinde gesagt hilflos…
Ist aber der effektivste Weg für einen Laien, sich eine verbesserte Software aufzuspielen. Wer die Software lieber selbst aufspielen möchte, dem steht die Software zum Download unter www.telekom.de/stoerung zur Verfügung.
Ist die IP-Umstellung nicht der falsche Weg?
Nein, der Angriff galt Routern, nicht dem Netz. Betroffen waren sowohl Anschlüsse im klassischen wie auch im IP-basierten Netz.
Gibt es schon Erkenntnisse über mögliche Täter?
Nein!
Wurden Kundendaten entwendet?
Nach dem heutigen Kenntnisstand ist das nicht der Fall.
Sind weitere Speedportmodelle von dem Angriff betroffen?
Update 01.12.2016: Im Interesse unserer Kunden werden wir alle Speedportmodelle überprüfen und entsprechende Firmwareupdates zur Verfügung stellen. Für den Speepdort W 921V (inkl. Fiber), Speedport W 723V Typ B, Speedport W 504V Typ A und Speedport Entry I liegen diese bereits vor. Firmwareupdates für weitere Modelle stellen wir so schnell wie möglich unseren Kunden zu Verfügung.
Die aktuellen Modelle Speedport W 724 Typ A, Typ B, Typ C, Speedport Smart, Speedport Entry II, Speedport Neo, Speedport W 922V und Speedport Hybrid sind nach aktuellen Kenntnissen nicht von dem Routerangriff beeinträchtigt.
Ist es nicht höchste Zeit für ein Ende des Routerzwangs?
Es gibt bei der Telekom keinen Routerzwang.