Telekomcrash zwo

28. November 2016

Während die Diskussion um politische Maßnahmen rund um IT-Sicherheit nur langsam an Fahrt gewinnt, reißt die Welle der Schreckensmeldungen nicht ab: Das Bundesamt für Sicherheit in der Informationstechnik hat am frühen Abend erklärt, es ordne den aktuellen Massenausfall von Internet- und Telefonanschlüssen bei Kunden der Deutschen Telekom einem weltweiten Angriff auf ausgewählte Fernverwaltungsports von DSL-Routern zu. „Wir haben erste Hinweise darauf, dass wir möglicherweise Opfer eines Hackerangriffs geworden sind“, zitiert Zeit Online inzwischen auch ein Deutsche-Telekom-Sprecher.

Kümmere dich um deine Ausstattung, bevor andere es tun. Screenshot: Twitter/nblr

Kümmere dich um deine Ausstattung, bevor andere es tun. Screenshot: Twitter/nblr

Das Internet Storm Center des SANS-Instituts berichtet, dass der Massenausfall die Folge eines Angriffes sei, bei dem versucht werde, Malware auf DSL-Router zu spielen. Dabei wird scheinbar eine bekannte Lücke im TR-069-Protokoll genutzt, welches für die Fernkonfiguration von Routern durch Zugangsanbieter eingesetzt wird. Dem Internet Storm Center zufolge versuchen die Angreifer, die Router in ein Botnet einzugliedern, das den Mirai-Botnetzen ähnelt, welche vor wenigen Wochen zentrale US-Internetdienste lahmlegt.

Die Angriffe auf den Port 7547 sind demnach ein weltweites Phänomen, betroffen sind jedoch primär Telekom-Kunden, weil die „Speedport“-Router des deutschen Unternehmens besonders anfällig sind. Auf Twitter weisen deshalb die ersten darauf hin, wie richtig es war, den Routerzwang abzuschaffen.

Die Deutsche Telekom verteilt derzeit ein Update für die Software der DSL-Router ihrer Kunden, das sich automatisch installiert. Bei Neustart des Geräts sollte es sich automatisch installieren. Betroffene Kunden der Deutschen Telekom können sich auf einer Service-Seite des Unternehmens über weitere Maßnahmen und Fortschritte informieren.

(Quelle: Netzpoliti.org CC Creative Commons BY-NC-SA 3.0.)

keine Störerhaftung

27. November 2016

routerPrivate WLAN-Betreiber fallen nicht unter die Störerhaftung, wenn sie voreingestellte Router-Passwörter nicht ändern. Das hat der BGH jetzt entschieden. Seit einer Leitsatzentscheidung aus dem Jahr 2010 haften Anschlussbesitzer, wenn sie ihren Internet-Zugang nicht vor illegalen Handlungen Dritter absichern. Bisher war unklar, ob die Passwörter, mit denen die Router ausgeliefert werden, durch eigene ersetzt werden müssen, um den Prüfungspflichten nachzukommen.

Eine Filmfirma klagte eine Frau an, von deren Internetanschluss Filesharing betrieben wurde. Durch eine Sicherheitslücke des Routers hatte sich ein Dritter Zugang zum WLAN verschafft. Der BGH entschied, die Angeklagte habe mit der Verwendung des Hersteller-Passworts ihre Prüfungspflichten nicht verletzt. Er knüpft sein Urteil jedoch an zwei Bedingungen: Die Router müssen vom Hersteller individuelle Passwörter erhalten und diese müssen marktüblichen Standards entsprechen. Im vorliegenden Fall war eine WPA2-Verschlüsselung mit 16-stelligem Passwort ausreichend.

Auch, wenn die Frage nach Hersteller-Passwörtern nun beantwortet ist, attestiert Thomas Stadler dem Urteil eine begrenzte Bedeutung für das Filesharing:

der BGH geht zunächst einmal von der Vermutung aus, dass der Anschlussinhaber die Rechtsverletzung begangen hat. Zur Störerhaftung […] gelangt man überhaupt erst dann, wenn man ausreichend darlegen kann, dass eine Rechtsverletzung durch einen Dritten ernsthaft und konkret in Betracht kommt. Wenn es sich hierbei um einen unbekannten Dritten handeln soll, der den Router gehackt hat, dann müssen die konkreten Umstände dargelegt werden, unter denen sich der Dritte den unberechtigten Zugang verschafft hat. Das ist im Zweifel kaum möglich.

Weitere Hintergrund-Informationen haben auch Spiegel Online und Zeit Online.

 

(ein netzpolitik-Beitrag von Florian Zechmeister Creative Commons BY-NC-SA 3.0.; Foto: WLAN-Router CC BY-NC 2.0, via flickr/Chris Campbell)

Unabhängigkeitstag

1. August 2016

Heute um 0.00 Uhr ist der Routerzwang gefallen. Was Dir das bringt, schreibt netzpolitik.org:

„Betreiber von Diskotheken wissen es genau: Die Wahl des richtigen Türstehers ist wichtig, damit sich keine Störenfriede einschleichen. Dasselbe könnte man auch von Routern behaupten, die als Schnittstelle zwischen Internet und Heimnetz dafür sorgen müssen, dass nur das die Tore passiert, was auch im Sinne des Besitzers ist. Und endlich, nach Jahren der gesetzlichen Unklarheit, bekommen wir mit dem Ende des Routerzwangs das Recht dazu, uns unseren stillen Türsteher frei auszusuchen.

RouterzwangWas die Süddeutsche Zeitung als „Unabhängigkeitstag für Internetnutzer“ bezeichnet, ist das offizielle Ende des Routerzwangs und das Inkrafttreten der Endgerätefreiheit am 1. August. Bisher konnten Internetanbieter (ISPs) in Deutschland bestimmen, welchen Router Kunden zur Verbindung mit dem Internet nutzen müssen. Nutzer hatten keinen Einfluss auf diese Entscheidung. Das ändert sich nun. Aber wir müssen sicherstellen, dass alle Kunden über diese neuen Rechte Bescheid wissen, und gleichzeitig überprüfen, ob ISPs die neuen Regeln befolgen.

Wie bei einem Türsteher sollte man auch dem Router vertrauen können, denn über ihn läuft jeglicher Internetverkehr, also etwa alle E-Mails, Downloads und häufig auch Telefongespräche. Zwangsrouter fallen oft negativ mit kritischen Sicherheitslücken auf, die Nutzer aus technischen oder rechtlichen Gründen nicht selbst beheben können. Sie sind auch dafür bekannt, zu einigen Netzwerkgeräten oder Standards wie IPv6 inkompatibel zu sein oder nur eine geringe Anzahl wichtiger Funktionen zu unterstützen.

Recht auf Endgerätefreiheit in Anspruch nehmen

Um nun den Providern auf die Finger zu schauen, wenn es um die Umsetzung des seit 2013 heiß umkämpften Gesetzes geht, bittet die Free Software Foundation Europe (FSFE) um Erfahrungsberichte von Internetnutzern, die vom 1. August an ein eigenes Gerät an der Telefon- bzw. Kabeldose betreiben. Dazu stellt sie eine Wiki-Seite zur Verfügung, auf der Informationen und Nutzerberichte gesammelt werden. Vor allem für Kabelanschlüsse, für die bisher nur wenige Modelle auf dem Markt erhältlich sind, stellt die FSFE auch einige Testgeräte bereit.

Aufgrund von Erfahrungen, die wir in in der Vergangenheit gemacht haben, müssen wir davon ausgehen, dass einige ISPs darauf setzen werden, ihre Kunden zur Nutzung ihres jeweiligen Standardrouters zu zwingen. Unitymedia etwa erfordert eine telefonische Registrierung des neuen Gerätes, vorstellbar ist auch der Ausschluss von Bestandskunden von dem neuen Recht oder die Verweigerung des Supports.

Die FSFE möchte sicherstellen, dass solches Fehlverhalten öffentlich gemacht wird und dafür brauchen wir deine Hilfe. Wenn du Kunde eines deutschen Internetanbieters bist, bitten wir dich, dein neues Recht auszuüben und ein alternatives Gerät zu verwenden – idealerweise eines mit einer Firmware, die Freie Software ist.“

(Quelle: netzpolitik.org Creative Commons BY-NC-SA 3.0. –/– Foto: CC BY-SA 2.0 via flickr/Konrad Twardowski)