Wenn ein Netzwerk oder Server angegriffen werden, sind sie meist schneller da, als die Lösung des Problems: die Spekulationen, Ursachenforschung und Schuldzuweisungen. So auch während der letzten Großstörung bei der Telekom… und schnell war der Verdächtige ermittelt:
Ein Botnetz sollte eine Sicherheitslücke auszunutzen, die ein Nutzer namens „kenzo2017“ am 7. November 2016 in einem Blog veröffentlichte. Sie bezog sich auf Zyxel-Router, die der irische Provider Eir an seine Kunden verteilte. Deren Linux-Betriebssystem ließ sich durch einen Befehl zum Hinzufügen eines Zeit-Servers (NewNTPServer) dazu bewegen, ein Programm aus dem Internet herunterzuladen und auszuführen.
Soweit, so gut – allerdings handelte es sich bei den Routern der Telekom um gar keine Zyxel-Router und auch bei dem Betriebssystem handelt es sich nicht um Linux, sondern um eine proprietäre Lösung des taiwanischen Herstellers Arcadyan – und dieses ist gar nicht anfällig für den Angriff auf den Port 7547 (Fernwartung, TR-069) – aber so kleine Details spielen natürlich keine Rolle, wenn man auf Stammtisch-Niveau über jemanden (oder ein Unternehmen) her ziehen kann.
Die Ausfälle lassen sich aber trotzdem indirekt auf einen Fehler der Telekom zurück führen: würden die Router nicht leichtsinnig 24 Stunden am Tag auf Updates von außen lauern, wären die Angriffe ins Leere gelaufen, hätten sich nicht durch die DDoS „ablenken“ lassen und nichts wäre passiert.
Das ist aber eine philosophische Frage.
Gerade jetzt hat man so viele verschiedene Versionen gelesen was da angeblich passiert sein soll. Das die Telekom nicht damit rausrückt was passiert ist, ist wohl noch nachvollziehbar. Denn keiner geht hin und sagt war unser Fehler weil wir am falschen Ende gespart haben und die Sicherheit uns das nicht Wert war. Auch wenn dadurch natürlich die wildesten Versionen dessen was passiert sein könnte kursieren. Aber wie Du ja selber am Ende angemerkt hattest – es ist eine sehr philosophische Frage.