Hacker deckt Lücke auf: Millionen Kabelkunden waren in Gefahr
Von Jochen Magnus
Die meisten Kabelnetz-Anbieter schreiben die Verwendung eines bestimmten Gerätes am Kabel-Übergabepunkt vor. So ist das auch bei Kabel Deutschland, das seit vergangenem Jahr zum Vodafone-Konzern gehört. Der Router wird dann vom Unternehmen geliefert und der Kunde muss sie verwenden. In den allermeisten Fällen dienen sie als Schaltstelle der gesamten Haus-Kommunikation: Für den Zugang ins Internet, als Telefonzentrale und versorgen als das Gebäude selbst noch mit Netzwerk und WLAN. Damit die Kunden nicht doch Geräte ihrer Wahl installieren, halten die Provider die Zugangsdaten geheim. Diese „Zwangsrouter“ sind schon lange umstritten, weil der Kunde keine Updates, nicht einmal Sicherheitsupdates, selbst installieren kann. Mitte kommenden Jahres sollen sie per Gesetz verboten werden.
Bedenken gegen „Zwangsrouter“ noch übertroffen
Die Sicherheitslücken, auf die der gewiefte Experte Graf kürzlich stieß, bestätigen nun alle Bedenken und gehen noch weit darüber hinaus: Graf fand nicht nur – wie erwartet – seine eigenen Zugangsdaten auf dem Router, sondern auch einen Wartungskanal von Vodafone. Über diesen kann der Kundendienst des Providers die Kundengeräte fernsteuern und deren Software aktualisieren. Graf fand ohne große Mühe auch das dafür nötige Passwort in seinem Router. Kurz darauf fand er heraus, dass es den Zugang zu sämtlichen Geräten aller Konzernkunden ermöglichte: Alle Zwangsrouter waren fatalerweise mit dem gleichen Passwort geschützt.
Alles hören, alles sehen, alles steuern …
Der Software-Ingenieur aus der Nähe von Nürnberg testete seine Erkenntnisse mit Einwilligung einiger Bekannter an deren Vodafone-Anschlüssen: Er konnte ihnen Software auf die Router installieren, mit denen er den Datenverkehr mitschneiden oder verändern konnte. Er konnte sogar durch eine weitere Sicherheitslücke die Zugangsdaten seiner Freunde abrufen. Damit hätte er unter ihrem Namen telefonieren oder unter ihrer Identität im Internet surfen können. Noch schlimmer: Weil Netzwerke nach innen in der Regel nicht abgesichert sind, hätte ein Einbrecher über den gehackten Router (als Netzwerk-„Insider“) auch auf fremde Fotos und Dokumente zugreifen können, die auf PCs, Tablets, Smartphones und vor allem auf den beliebten gemeinsamen Netzwerkspeichern (NAS) gespeichert sind. Wenn der Anschlussinhaber sogar schon mit dem vernetzten „Internet der Dinge“ begonnen hätte, also zum Beispiel Heizung, Fenster oder Webcams über das Internet fernsteuern könnte, hätten Hacker all das über die Sicherheitslücke kapern können – mit unabsehbaren Folgen.
Hacker informierte Vodafone über die Redaktion der c't
Graf informierte die Redaktion der angesehen deutschen Computerzeitschrift c't und demonstrierte seine Erkenntnisse. Auf seine Bitte hin kontaktierte die Redaktion im November Vodafone und informierte über die Sicherheitsprobleme. Der Konzern reagierte schnell und schloss die Sicherheitslücken, die vermutlich bereits seit Jahren existiert hatten.
Das Unternehmen bestätigte die Lücke: „Wir sind Mitte November auf eine ernstzunehmende Schwachstelle von Kabelnetzbetreibern hingewiesen worden, über die sich ein externer IT-Experte zwischenzeitlich Zugang auf das Wartungsnetz von Vodafone Kabel Deutschland verschafft hatte“, sagte ein Unternehmenssprecher der Süddeutschen Zeitung. Wie lange die Schwachstelle existiert hat, wollte Vodafone allerdings nicht sagen. Insgesamt seien 2,8 Millionen Kunden davon betroffen gewesen. Laut Vodafone gibt es keine Anzeichen für Angriffe von Dritten. Fachleute äußern jedoch Zweifel, ob das im Nachhinein noch mit Sicherheit festzustellen sei.
Details berichtet Graf am Sonntag auf dem CCC-Kongress
Auf dem ab Sonntag laufenden Kongress „32C3“ des Chaos Computer Clubs wird Alexander Graf der Öffentlichkeit über seine Versuche berichten. Ein Dankeschön des Vodafone-Konzern und seiner gefährdeten Kunden hätte er sich jedenfalls redlich verdient.
