Vor wenigen Tagen legte ein Hacker-Angriff die Router der Deutschen Telekom lahm. Die betroffenen Geräte waren alle über das TR-069-Protokoll angreifbar. Nun haben die Forscher der Freien Universität Berlin ein Lagebild erstellt: Sie zeigen weltweit alle TR-069-Geräte.

Wenige Tage vor dem Hacker-Angriff am 27. November gab es in Deutschland etwa 4,4 Millionen Geräte, die über das TR-069-Protokoll erreichbar waren. Von den Geräten gehörten 99 Prozent zum Netz der Deutschen Telekom. In der Regel wird das TR-069-Protokoll für Wartungsarbeiten wie Firmware-Updates genutzt. Bereits seit 2014 ist bekannt, dass dieses Protokoll problematisch sein kann.

Das von der Freien Universität Berlin betriebene sogenannte Darknet (Sensor-Netz) hat eine starke Zunahme von Scans nach offenen TR-069-Ports registriert. Die meisten IP-Pakete wurden von Brasilien, Großbritannien und Irland aus versendet. Die Absender-IP-Adressen der Scan-Pakete waren zu einem sehr großen Teil unterschiedlich. Das untermauert die Vermutung, dass ein Botnetz verwendet wurde – einer Gruppe kompromittierter und fremdgesteuerter Systeme.

Laut den Forschern zeigt der Vorfall, dass die vorausschauende Erstellung von Lagebildern ein wichtiger Bestandteil einer Cyber-Sicherheitsstrategie sein muss. Für die Darstellung der Daten nutzen sie eine Analyse-Software, die im RiskViz-Projekt erstellt wurde. Im Projekt wird eine neue dezentrale Suchmaschine erstellt, die das Internet nach Diensten und industriellen Kontrollsystemen mit Schwachstellen durchforstet. Dadurch soll ein digitales Lagebild über verwundbare Systeme im Internet erstellt werden. Das RiskViz-Projekt gehört zum Rahmenwerk des Bundesministeriums für Bildung und Forschung »IT-Sicherheit für Kritische Infrastrukturen« und wird mit 4,2 Millionen Euro gefördert.

»Protokolle und Funktionen dieser Art sollten nicht für jeden im Internet einfach erreichbar sein«, kritisiert Dr.-Ing. Volker Roth, Leiter der SCADACS-Gruppe. Laut Roth könnten Forscherteams dabei helfen, derartige Probleme zu erkennen, bevor sie akut werden. Dafür müssten jedoch die Betreiber von auffindbaren Geräten für das Risiko haften, falls ihre Geräte von Scans beeinträchtigt würden. Die IT-Sicherheitsforscher Johannes Klick und Stephan Lau der SCADACS-Gruppe betonen, dass aus technischer Sicht Wartungszugänge problemlos kryptografisch korrekt abgesichert und auf das notwendige Minimum reduziert werden könnten. Jedoch würden solche Sicherheitsmaßnahmen oft aus Kostengründen oder Unkenntnis abgelehnt.

01.12.2016 Christina Deinhardt © Freie Universität Berlin | scadacs.org