DüsseldorfEs ist halb vier am Sonntagnachmittag, als die Telekom bemerkte, dass etwas nicht stimmte. Es waren zu wenig Kunden im Netz registriert – und es wurden immer weniger. Schnell stand fest: Die Router werden angegriffen und fallen reihenweise aus. Mehr als eine Million Kunden sind vom Internet abgeschnitten. Das war am 27. November vergangenen Jahres.

Fast auf den Tag genau acht Monate später wird am heutigen Freitag um halb zehn Uhr morgens ein junger Mann den Gerichtsaal im Kölner Landgericht betreten. Daniel K. ist Brite, in London geboren. Er hat bereits gestanden, den Angriff gesteuert zu haben. Im Februar war der 29-Jährige am Flughafen in London festgenommen worden. Die Deutsche Telekom und das Bundesamt für Sicherheit in der Informationstechnik hatten die Attacke analysiert und sind auf den Server gestoßen, den Daniel K. genutzt hatte, und E-Mail-Adressen. Ein solcher Fang ist selten, denn die meisten Hacker schaffen es, ihre Spuren bis zu Unkenntlichkeit zu verwischen.

Der Telekom-Hacker hat sich das Programmieren laut eigener Aussage selbst beigebracht. Ein afrikanisches Kommunikationsunternehmen soll ihn mit der Attacke beauftragt haben, sagte der Mann, der sich im Internet die Pseudonyme „Spiderman“ und „Peter Parker“ gab. Seinen Angaben zufolge wollte die Firma ihm dafür 10.000 US-Dollar im Monat zahlen. Das Geld habe er gebraucht, weil er finanzielle Sorgen habe.

Heute werden die Richter wahrscheinlich ein Urteil gegen ihn sprechen. Ihm drohen zwischen sechs Monate und zehn Jahren Haft. Daniel K. bezeichnete den Angriff als den größten Fehler seines Lebens. Er bereue seine Tat.

Der Telekom ist durch den Angriff ein Schaden von mehr als zwei Millionen Euro entstanden – aber sie hat daraus gelernt. „Wir bauen auch die Früherkennung und die Analyse weiter aus“, sagt Rüdiger Peusquens, Leiter der Cyber-Defence-Einheit des Konzerns, dem Handelsblatt. „Wir haben den Angriff zwar schnell bemerkt, aber es kann noch schneller gehen.“ Die Ad-hoc-Lösungen, die sie in diesem Fall gefunden hätten, würden jetzt zu standardisierten Prozessen, erklärt er. Jede Attacke sei anders, deswegen ziehe das Unternehmen aus jeder neue Erkenntnisse.

„Der Angriff war strukturell anders als gewöhnlich, weil er sich nicht gegen unsere Systeme richtete, sondern gegen Millionen Endgeräte unserer Kunden“, erklärt der Telekom-Manager. „Üblicher Weise filtern wir im Angriffsfall Verkehre, die von vielen Quellen auf ein Opfer zielen. In diesem Fall war es eine Attacke gegen viele Ziele. Dafür haben wir ad hoc eine Lösung gefunden, sie weiterentwickelt und wenden sie nun im ganzen Netz an.“

Außerdem hätte sich das Team auch die Router noch einmal angeschaut, erklärt der IT-Spezialist. Der Angriff habe zwei verschiedene Speedport-Geräte betroffen. „Die Hacker konnten zwar nicht eindringen, aber die Router wurden durch die Attacke überlastet und sind daraufhin ausgefallen. Das war nicht vorhersehbar“, sagt er. „Diese Schwäche haben wir behoben.“

Damit solche Aktualisierungen für folgende Gerätegenerationen erhalten bleiben, will die Telekom künftig stärker den Plattformgedanken leben. „Das bedeutet: Die Hersteller, die mit uns kooperieren, sollen künftig mehr als bisher auf bereits Erreichtem aufsetzen. Das macht die Entwicklung stabiler“, beschreibt Peusquens.

Allerdings besteht bei den Geräten, die mit dem Internet verbunden sind, offenbar generell noch viel Nachholbedarf bei der Sicherheit. Der Sicherheitsanbieter Avast hat in Deutschland mehr als 820.000 Netzwerke überprüft und fand heraus, dass fast 140.000 Router, knapp 17 Prozent, mehr als 8.000 Drucker, fünf Prozent, und über 1000 Webcams, 13 Prozent, Schwachstellen aufweisen.