Inzwischen könne man davon ausgehen, dass hinter der massiven Störungen bei der Telekom ein Angriff des sogenannten Mirai-Botnetzes stecke, erklärte Schaffrin. Von den Hackern sei eine Schwachstelle vom Router ausgenutzt worden: ein sogenannter Port, der ansonsten für Fernwartungen genutzt werde.
Das Interview in voller Länge:
Dirk-Oliver Heckmann: Das Bundesamt für Sicherheit in der Informationstechnik geht davon aus, dass es sich um einen Hackerangriff gehandelt hat, um einen weltweiten Hackerangriff. Wie groß ist die Wahrscheinlichkeit aus Ihrer Sicht? Das habe ich Markus Schaffrin gefragt, Sicherheitsexperte des Verbands der Internetwirtschaft eco e.V., deren Mitglied die Telekom ist.
Markus Schaffrin: Ja. Ich denke, jetzt, nachdem die Meldung vom BSI herauskam, würde ich das genauso sehen. Am Anfang war es auch etwas ungewiss, ob nicht doch eine technische Störung dahinter steckt, aber ich denke, jetzt kann man schon davon ausgehen, dass es sich hier um einen Angriff des sogenannten Mirai-Botnetzes handelt, und das dürfte vielleicht dem einen oder anderen noch bekannt sein. Da gab es doch was vor einigen Wochen. In der Tat hatten wir da schon mal einen Angriff, damals auf sogenannte IOT-Geräte aus dem Internet der Dinge. Überwachungskamera, Babyfone und Co. Wurden da angegriffen und zum Teil eines Botnetzes gemacht.
Heckmann: Weiß man, wer dahinter steht?
Schaffrin: Nicht genau. Man kennt jetzt nicht die genauen Tätergruppierungen, wie die Polizei immer sagt. Aber es sind natürlich Cyber-Kriminelle, die dahinter stecken, die versuchen, so eine Botnetz-Infrastruktur aufzubauen, weil die kann man toll vermieten. Da kann man Geld mit verdienen. Das ist natürlich illegal, aber diese Botnetze können dann für eine Reihe von Angriffen genutzt werden. Das Harmloseste ist noch der Spamversand. Sehr beliebt sind beispielsweise sogenannte DDos-Angriffe, beispielsweise das Lahmlegen einer Webseite. Und wenn das dann einhergeht mit sogenannter Schutzgelderpressung für Unternehmen, dann kann das richtig unangenehm werden.
"Hier wurde wieder eine Schwachstelle ausgenutzt wurde"
Heckmann: Was genau ist denn da eigentlich passiert? Was weiß man bereits, was weiß man nicht?
Schaffrin: Was man weiß ist, dass hier wieder eine Schwachstelle ausgenutzt wurde, und zwar eigentlich handelt es sich wohl um einen sogenannten Port, den man ansonsten nutzt, um Fernwartungen auszuführen. Das ist natürlich auch ganz praktisch für die Provider. In diesem Fall hat man hier aber ein Protokoll ausnutzen können, eine Schwachstelle, um dann quasi den Router, den man zuhause im Keller stehen hat, oder vielleicht auch im Büro, der wird mit Schadstoff bespielt oder die wird aufgespielt und dadurch kann der Router dann noch für illegale Zwecke ferngesteuert werden. Es ist wohl so gewesen, dass normalerweise diese Infektionen unbemerkt verlaufen, aber es kann bei einigen Infektionsversuchen auch zu sogenannten Kollateralschäden kommen und das bedeutet dann, der Router funktioniert nicht mehr, und das war wohl hier der Fall, dass dann die Verbindung ins Internet nicht mehr geklappt hat.
Heckmann: Dass Hacker versuchen, die Infrastruktur anzugreifen in Deutschland, das ist ja mittlerweile kein Geheimnis mehr. Wie oft kommt so was eigentlich vor aus Ihrer Sicht?
Schaffrin: Immer häufiger, muss man sagen. Das hängt natürlich damit zusammen einerseits, dass wir doch eine recht gute Infrastruktur haben, nicht nur, was die normalen PCs oder auch die mobilen Endgeräte betrifft. Jetzt kommt natürlich noch hinzu, dass wir in den letzten Monaten oder Jahren auch im Grunde genommen alles irgendwie ans Internet anschließen, was nur geht, von der Waschmaschine über den Kühlschrank bis hin zur Smarthome-Steuerung. Und das sind natürlich auch alles Geräte, die dann am Internet dranhängen und natürlich im Grunde genommen genauso wie der PC auf dem Schreibtisch funktionieren und dann benutzt werden können, und dadurch ist natürlich auch die Möglichkeit, Lücken zu finden und dann diese Geräte auch wieder zu attackieren und zu nutzen, lukrativer geworden und hat somit zugenommen in den letzten Wochen und Monaten.
Heckmann: Das Bundesamt für Sicherheit in der Informationstechnik, ich habe es gerade eben schon erwähnt, das hat gesagt, dieser Hackerangriff, der sei auch im Regierungsnetz registriert worden, sei aber durch die funktionierenden Abwehrmaßnahmen verhindert worden. Weshalb können Unternehmen wie die Telekom nicht das, was auch das BSI kann?
Schaffrin: Sie müssen das einmal so sehen: Jemand, der sein Netz verteidigen muss, der muss natürlich alle Lücken schließen. Der Angreifer muss nur eine einzige finden. Scheinbar hat das BSI natürlich für das Regierungsnetz einen viel höheren Aufwand getrieben, um die Rechner abzuschotten, als dass vielleicht der Telekom möglich war. Aber dazu müsste man noch ein paar mehr Hintergründe wissen, um das genau beurteilen zu können.
Heckmann: Aber müssten Provider wie die Telekom - Sie kennen auch genug andere Provider -, müssten die nicht ähnliche Sicherheitsmaßnahmen ergreifen wie das BSI fürs Regierungsnetz? Denn die Infrastruktur, die ist ja nun kritisch, oder?
Schaffrin: Ja, eigentlich sollten sie das schon, natürlich auch, um ihre Kunden zu schützen, weil das ist natürlich jetzt hier auch ein Vorfall, wo man sagen muss, da kann man mal ausnahmsweise den Kunden oder Anwender jetzt nicht zur Verantwortung ziehen, weil da muss er sich schon darauf verlassen, dass ihn sein Provider hier natürlich über die Geräte, die ihm auch zur Verfügung gestellt werden, entsprechend geschützt wird.
"Da werden noch nicht mal die einfachsten Basis-Schutzmechanismen berücksichtigt"
Heckmann: Wie gut sind denn Unternehmen vorbereitet auf diese Gefahr, die ja größer wird, wie Sie sagen?
Schaffrin: Unserer Meinung nach schlecht. Insbesondere, wenn Sie in den Klein- und Mittelstand hineinschauen. Da sieht es teilweise richtig katastrophal aus. Da werden noch nicht mal die einfachsten Basis-Schutzmechanismen berücksichtigt. Das heißt: Fehlender Virenschutz, fehlende Backups, das Einspielen von Updates wird auch nicht gemacht oder wenn, dann erst nach etlichen Wochen oder Monaten, was natürlich viel zu spät ist. Große Unternehmen, die vielleicht auch erkannt haben, dass sie stark von der Digitalisierung abhängig sind und entsprechenden Aufwand treiben, auch das Personal haben, auch wissen, dass sie sich schützen müssen, ja, die tun mehr, aber gerade bei kleinen und mittelständischen Unternehmen ist es doch oft eine Katastrophe.
Heckmann: Muss da ein komplettes Umdenken möglicherweise in der ganzen Branche stattfinden?
Schaffrin: Absolut! Es muss natürlich wesentlich mehr sensibilisiert werden. Das betrifft aber nicht nur Hard- und Software, weil vielfach wird schon gesagt, okay, im Grunde genommen unterscheidet man nur noch zwischen den Firmen, die angegriffen wurden, und denen, die angegriffen wurden und es nicht gemerkt haben. Es ist nicht immer nur die Software und die Hardware, die daran schuld ist, sondern auch der Sicherheitsfaktor Mensch. Den gilt es, hier natürlich mitzunehmen. Das haben wir beispielsweise im Frühjahr gesehen, als es ja diesen Angriff mit Locky gab, und da war es letztendlich ein E-Mail-Anhang, auf den geklickt wurde, und das ist natürlich eine Geschichte, die ist uralt, und da sieht man auch, dass man immer wieder dem Vergessen werden entgegenwirken muss. Das heißt, man muss hingehen und die Anwender permanent sensibilisieren, immer wieder aufklären, dass da neue Angriffsszenarien sind und dass man sie ständig dafür sensibilisiert, dass das Bewusstsein darauf geschärft wird.
Heckmann: Wobei das jetzt in dem Fall nichts genutzt hätte. Das hätte von der Telekom kommen müssen. Aber trotzdem würde ich Sie zum Abschluss fragen: Was würden Sie jetzt privaten Nutzern raten, um sich möglicherweise in Zukunft ein Stück weit selbst zu schützen?
Schaffrin: Generell sollte man durchaus mal die Nachrichtenlage verfolgen, um da einfach ein bisschen informiert zu sein. Natürlich gehört es heutzutage absolut dazu, dass man nicht nur einen Virenschutz hat auf seinen Geräten, und dazu zählen insbesondere auch die mobilen Endgeräte. Die werden nämlich jetzt gerne und vielfach vergessen. Mittlerweile haben wir eine ähnlich hohe Verbreitung, wie es Windows mal auf dem PC geschafft hat, in der mobilen Welt mit Android. Und fragen Sie sich mal selber, wie viele davon haben einen Virenschutz auf Ihrem Android-Smartphone oder Tablet installiert. Ich denke, die wenigsten. Und natürlich auch das Einspielen von Updates und auch einfach das ein bisschen kritische Hinterfragen, wenn ich eine E-Mail bekomme, dass ich nicht überall draufklicke, dass ich auch daran denke, meinen Webbrowser zu aktualisieren, all diese Themen. Das klingt manchmal ein bisschen nervig, aber vielleicht ist die Zeit weniger und gut investiert als hinterher, wenn man den Schaden hat und dann sich ums Aufräumen kümmern muss.
Heckmann: Und auch den Unternehmen und den Behörden bleibt noch eine Menge zu tun - Markus Schaffrin war das vom Verband der Internetwirtschaft eco e.V. Schönen Dank für den Besuch im Studio.
Schaffrin: Ebenfalls vielen Dank.
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.