Sicherheitslücken: Entwarnung bei der Fernwartung

Laut einem israelischen IT-Sicherheitsexperten können bei der Fernwartung Millionen DSL-Router über Schwachstellen angegriffen werden. Gefährdet sind danach Server, die Software-Updates an DSL-Router verteilen. Doch in Deutschland gibt man nach eingehender Prüfung Entwarnung.

Sicherheitslücken: Entwarnung bei der Fernwartung©-ferkelraggae-Fotolia-Fotolia_31081868_XS

Fernwartungs-Software dient grundsätzlich der schnellen Hilfe des Kunden aus der Ferne durch den Internetprovider, sollte es zu Problemen kommen. Sicherheitsexperte Shahar Tal aus Israel erkannte jedoch Schwachstellen bei weltweit verwendeter Software, so dass Millionen DSL-Router angreifbar durch Hacker sind. Auf diese Probleme wies Tal auf der Hackerkonferenz Defcon hin, wie „Heise Online“ berichtet.

Protokoll TR-069 gefährdet Millionen von DSL-Routern

Technical Report 069 (TR-069) nennt sich das betroffene Protokoll, das weltweit für die Fernwartung verwendet wird. Über dieses Protokoll kommunizieren die Server von Netzprovidern mit den DSL-Routern der Kunden, sofern diese dafür ausgelegt sind – was im Jahr 2011 weltweit bei etwa 150 Millionen Routern der Fall war. Mitarbeiter spielen über diesen Kanal aus der Distanz Updates auf und stellen die Router ein. Hierbei können Schwachstellen in der Server-Software es Hackern ermöglichen, Schadsoftware auf den DSL-Geräten zu installieren. Dies entdeckte Computerspezialist Tag im Nahen Osten bei einer Stichprobe, als er über die marode Software auf dem Server eines Telefonanbieters Zugriff auf mehr als eine halbe Million DSL-Modems erlangte. Zwei gängige Programme für sogenannte Auto Configuration Server (ACS) enthielten den Fehler, durch den Angreifer einen beliebigen Programmcode einschleusen und die Kontrolle über den Server übernehmen können. Kriminelle können beispielsweise Anmeldedaten von Voice-over-IP-Konten auslesen, die DNS-Einstellungen des Routers auf einen bösartigen Server umlenken oder eine mit einer Backdoor versehene Firmware aufspielen.

Entwarnung bei deutschen Providern

Nach der Überprüfung der eigenen Fernwartungs-Server haben deutsche Netzanbieter weitgehend Entwarnung gegeben. So ist die Deutsche Telekom nach eigenen Angaben von der beschriebenen Sicherheitslücke nicht betroffen und verweist hierzu auf die eigenen Sicherheitsstandards. Auch bei Kabel Deutschland gehe man davon aus, nicht betroffen zu sein, da man die genannte Open-Source-Software nicht verwende. Ähnlich verhält es sich bei 1&1, Unity Media und Kabel BW, die am Freitagmittag noch die eigenen Server überprüften.

Wie Nutzer sich vor Sicherheitslücke schützen können

Eine Möglichkeit, sich selbst zu schützen, bestehe in der Deaktivierung des Protokolls TR-069, so Shahar Tal. Das Protokoll lasse sich bei vielen Routern im freien Handel abschalten. Anders sei dies bei Routern, die von einem Provider mit einem Branding versehen werden. Hier helfe nur noch eine neue Firmware, mit der sich die Fernwartungsfunktion abschalten lässt.