Angeblicher Telekom-Hacker in Großbritannien festgenommen
Der 29-jährige Brite soll die Angriffe gegen DSL-Router im November organisiert haben. Ihm drohen bis zu 10 Jahre Haft wegen Computersabotage in einem besonders schweren Fall. Über eine Million Telekom-Kunden waren von ausgefallenen Internet- und Telefoniediensten betroffen.
Ein 29-Jähriger ist auf dem Luton Airport verhaftet worden, der sich nordwestlich von London befindet und vor allem von Billigfliegern frequentiert wird. Der mit europäischem Haftbefehl gesuchte britische Staatsbürger ist verdächtig, hinter den Angriffen gegen DSL-Router zu stehen, von denen im November über eine Million Kunden der Deutschen Telekom betroffen waren.
Dem mutmaßlichen Telekom-Hacker wird nun Computersabotage in einem besonders schweren Fall vorgeworfen. Die Kölner Staatsanwaltschaft will seine Auslieferung nach Deutschland erreichen. Dort droht ihm eine Haftstrafe zwischen 6 Monaten und 10 Jahren, sofern er wegen vollendeter Computersabotage verurteilt wird. Die Telekom, deren Experten die Ermittler unterstützten, will außerdem zivilrechtliche Maßnahmen prüfen.
Die Festnahme erfolgte aufgrund von Ermittlungen des Bundeskriminalamts, dessen Beamte auch vor Ort mitwirkten. Eine Analyse der eingesetzten Malware hatte zuvor das Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgenommen. Die Zentral- und Ansprechstelle Cybercrime NRW (ZAC NRW) ging von einer “Gefährdung kritischer Infrastrukturen” aus. An einer internationalen Kooperation beteiligten sich deutsche, britische und zypriotische Behörden, außerdem Europol und Eurojust.
Der Hackerangriff vor knapp drei Monaten hatte offenbar zum Ziel, Router weltweit gezielt mit Schadsoftware zu verseuchen. Dabei ging es darum, die Geräte in ein Mirai-Botnet zu überführen, das gewinnbringend für Angriffsszenarien vermietet werden sollte. Laut Staatsanwaltschaft Köln hat der Beschuldigte sein Botnet im Darknet für DDoS-Angriffe angeboten.
Bei anfälligen Telekom-Routern wurde vor allem das Fernwartungsprotokoll und der IP-Port für die automatische Konfiguration ausgenutzt. Das Ergebnis waren abgestürzte Internetverbindungen und keine funktionierende Telefonie, obwohl sich die Schadsoftware selbst nicht dauerhaft auf den betroffenen Speedport-Routermodellen der Telekom festsetzen konnte.
Ein Telekom-Update beseitigte das Einfallstor für Angreifer, indem es bei den betreffenden Routern den TCP-Port 7547 für Zugriffe aus dem Internet sperrte, sodass er nur noch aus dem internen Netzwerk der Telekom erreichbar war. Eine vollständige Sicherheit für Netzwerke und Router gibt es weiterhin nicht – Anwender können sich aber durch gezielte Maßnahmen schützen.