Prozessbeginn

Telekom-Hacker Spiderman vor Gericht

Ein 29-Jähriger Mann soll für den Angriff auf Speedport-Router im vergangenen Jahr verantwortlich sein. Die Anschlüsse von rund 1,25 Millionen Telekom-Kunden waren gestört. Nun kommt der mutmaßliche Hacker vor Gericht.
Von dpa / Stefan Kirchner

Speedport-Router-Hack Spiderman-Hacker der Telekom-Router steht ab heute vor Gericht
Foto: picture alliance / dpa
Er legte massen­weise Internet- und Telefon­anschlüsse von Telekom-Kunden lahm: Rund acht Monate nach einem groß angelegten Cyber-Angriff auf Router der Deutschen Telekom, beginnt am Freitag in Köln der Prozess gegen den mut­maßlichen Hacker. Der 29-Jährige ist nach Angaben eines Landgerichts-Sprechers wegen versuchter gewerbs­mäßiger Computer­sabotage angeklagt.

Der Mann soll Ende November vergangenen Jahres Speedport-Router über eine Schwach­stelle angegriffen haben, um die Kontrolle über sie zu erlangen. Ziel sei es gewesen, sie zum Teil eines sogenannten Botnets zu machen. Solche Netz­werke aus für ihre Nutzer unbemerkt zusammen­geschalteten Computern oder anderen Elektronik-Geräten können zum Beispiel Spam-Mail verschicken. Das sei zwar nicht gelungen. Jedoch führte die Attacke dazu, dass bei rund 1,25 Millionen Kunden­anschlüssen der Telekom die Router ausfielen. Dadurch sei dem Unternehmen ein Schaden von mehr als zwei Millionen Euro entstanden.

Die Ermittler seien dem Angeklagten vor allem durch Daten­analysen der Telekom und des Bundes­amtes für Sicherheit in der Informations­technik (BSI) auf die Schliche gekommen, sagte der Gerichts­sprecher. Durch technische Auswertungen konnten die Domains der Command- und Control­server ermittelt werden. Der Hacker hatte sich unter den Namen "Peter Parker" und "Spiderman" registriert. "Diese Daten ließen sich auf E-Mail-Adressen zurück­führen, die letztlich dem Angeklagten zugeordnet werden konnten."

Selbst beigebrachte Kenntnisse

Speedport-Router-Hack Spiderman-Hacker der Telekom-Router steht ab heute vor Gericht
Foto: picture alliance / dpa
Die Behörden schrieben den Briten, der zuletzt seinen Wohnsitz auf Zypern hatte, inter­national zur Fahndung aus. Am 22. Februar wurde er in London fest­genommen und einen Monat später im Zuge des vereinfachten Auslieferungs­verfahrens nach Deutschland überstellt - seitdem sitzt er hier in Unter­suchungs­haft. Nach Erkennt­nissen der Ermittler hatte er bei dem Router-Angriff keine Mittäter. Bei den Vernehmungen habe der Mann, der nicht vor­bestraft sei, sich "weitgehend geständig" geäußert.

Seine Programmier­kenntnisse hat sich der gebürtige Londoner offenbar überwiegend selbst bei­gebracht - er habe sich seit seiner Kindheit mit Computern beschäftigt, aber keine entsprechende Ausbildung absolviert, sagte der Gerichts­sprecher. Der Mann habe für verschiedene Auftrag­geber frei­beruflich im IT-Bereich gearbeitet.

Für den Prozess hat das Kölner Landgericht zwei Verhandlungs­tage angesetzt. Der Straf­rahmen für versuchte gewerbs­mäßige Computer­sabotage liegt nach Angaben des Sprechers bei einer Freiheits­strafe zwischen sechs Monaten und zehn Jahren. Ein Urteil könnte am 28. Juli gesprochen werden.

Nato für das Internet gefordert

Die Attacke hatte damals auch die Politik aufgeschreckt, die eine engere Zusammen­arbeit mit Unternehmen einforderte. Vereinzelt gab es auch Spekulationen, es könne sich um einen politisch motivierten Angriff von Hackern mit russischer Herkunft handeln. Telekom-Chef Timotheus Höttges plädierte für eine "Nato für das Internet" und erklärte, dass der Angriff schlimmere Folgen hätte haben können: "Wir haben noch Glück im Unglück." Die Schad­software hatte einen einfachen Neustart der Geräte nicht überlebt.

Bei der Attacke wurde eine Schwach­stelle in den Routern der Telekom ausgenutzt. Die Geräte, die zum Beispiel einen Haushalt mit dem Internet verbinden, haben Software-Schnittstellen, über die sie der Netz­betreiber zur Wartung ansprechen kann. Eine davon, der Port 7547, wurde als Einfalls­tor für die Schad­software genutzt. Der Port hätte eigentlich nur auf Anfragen aus dem Computer­system des Netz­betreibers reagieren dürfen. Er öffnete sich aber auch für den Angriff. Der Versuch, auf den Routern weitere Software zu installieren, scheiterte jedoch.

Wäre die Attacke komplett geglückt, hätte sie laut Experten die weitgehende Kontrolle über die Router gebracht. So hätte man als Angreifer WLAN-Passwörter auslesen und ändern können oder theoretisch auch die Geräte für eigene Internet-Telefonate nutzen. Durch eine Änderung der Verbindungs-Einstellungen hätte man - wenn auch mit erheblichem Aufwand - die Nutzer auf gefälschte Websites lotsen und ihnen dort Einwahl-Daten wie Passwörter oder eventuell Kreditkarten-Informationen abknöpfen können.

Freilich sind weitere Angriffe ähnlicher Natur nicht ausgeschlossen. Daher ist es besser, wenn Sie Ihren WLAN-Router darauf vorbereiten und absichern.

Mehr zum Thema Hacker-Angriff