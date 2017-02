Netzkabel Der Drahtzieher hinter den Angriff auf Telekom-Router ist nach Informationen des Handelsblatt in London festgenommen worden. (Foto: dpa)

DüsseldorfEnde November vergangenen Jahres fielen nach Hacker-Versuchen durch Unbekannte Hunderttausende Router der Telekom aus. Die Angreifer hatten versucht, ein Schadprogramm auf den Geräten zu installieren, mit denen sie diese fernsteuern und für weitere Angriffe hätten nutzen können.

Nach Informationen des Handelsblatts aus informierten Kreisen wurde nun der mutmaßliche Täter am Mittwoch in London festgenommen. Dabei soll es sich um einen 29-jährigen Briten handeln. Die zuständige Staatsanwaltschaft in Köln will wohl am Donnerstagmorgen Details dazu bekannt geben.

Den Angriff des wohl britischen Hackers bemerkte die Telekom am Sonntag, den 27. Dezember, um 15.30 Uhr. Auf der fast zwei Stockwerke hohen Wand voller Bildschirmen im Kontrollzentrum des Konzerns zeigten sich erste Zeichen, dass etwas nicht stimmte. Auffällig wenig Kunden waren im Netz registriert. Schnell wurde es schlimmer, am Nachmittag waren rund 900.000 Router von Telekom-Kunden ganz oder teilweise ausgefallen.

Kunden beschwerten in den Sozialen Netzwerken, während in Bonn fieberhaft nach dem Grund für die Probleme gesucht wurde. Am frühen Abend war dann klar: Die Router werden angegriffen. Einer oder mehrere Hacker versuchten, eine bekannte Schwachstelle in den Geräten zu nutzen, um aus ihnen Bots zu machen: fernsteuerbare Zombies. Die Hacker wollten sie so vermutlich für Attacken auf andere Systeme nutzen.

Der Angriff war nicht speziell auf die Telekom gemünzt, sondern auf einzelne Router-Typen weltweit. In Großbritannien sollen ebenfalls rund 100.000 Kunden von verschiedenen Anbietern betroffen gewesen sein. Der Ausfall der Telekom-Router war nur ein Kollateralschaden, eigentlich hätten weder Konzern noch Kunden davon etwas mitbekommen sollen.

Weil die Geräte der Bonner jedoch andere Einstellungen hatten, versuchte die Schadware vergeblich, sich wiederholt auf den Routern auszubreiten. Unter der Last schalteten sich die Geräte nach kurzer Zeit aus. Das war auch der Grund, weswegen es in einigen Fällen zunächst half, die Router vom Netz zu trennen, bevor sie wieder attackiert wurden. Der Angreifer hatte für die schnelle Verbreitung seines Schadcodes das Botnetz names Mirai genutzt.

Telekom-Chef Timotheus Höttges erklärte am darauffolgenden Mittwoch bei einem Vortrag auf einer IT-Sicherheitskonferenz, man habe noch am Sonntag begonnen, ein Software-Update zu entwickeln. Zwölf Stunden später war es fertig.

Dass die Staatsanwaltschaft den mutmaßlichen Täter überhaupt erst identifizieren und nun wohl auch festnehmen konnte, ist bei Cyberangriffen sehr selten. Oftmals verstecken sich die Hacker hinter einem weitverzweigten Netz, das über Länder läuft, bei denen deutsche Behörden nur schwer oder gar keine Auskünfte bekommen.