60 % der weltweiten Router im Visier? Der TP-Link Hack enthüllt die Schwachstellen der DNS-Sicherheit

Die IT-Sicherheitsbranche ist derzeit in Aufruhr. Der Grund: Die russische Militärgeheimdienst GRU soll eine massive Hacking-Kampagne gegen weltweit verbreitete TP-Link Router durchgeführt haben. Offiziellen Angaben von US-Geheimdiensten und dem FBI zufolge nutzten sie Schwachstellen in den Routern, um ein riesiges Botnetz aufzubauen und es für Spionagezwecke einzusetzen.

TP-Link ist ein Gigant in der Router-Branche und hält über 60 % des weltweiten Marktanteils. Dies führte in der Vergangenheit immer wieder zu Verschwörungstheorien, wie „Das Unternehmen hat chinesisches Kapital und ist mit Backdoors versehen“ oder „Wenn sie wollen, könnten sie die ganze Welt überwachen“.

Solche filmreifen Verschwörungstheorien glaube ich natürlich nicht alle. Auch ohne sie ist der Grund klar: So wie Hacker ihre Energie nicht darauf verschwenden, Viren für Linux-Distributionen mit geringem Marktanteil zu entwickeln, sondern Windows ins Visier nehmen, ist es für Router-Hacker aus Kosteneffizienz-Sicht überwältigend vorteilhaft, sich auf eine einzige Schwachstelle im meistverkauften TP-Link zu konzentrieren. Kurz gesagt, TP-Link ist einfach ein 'großes Ziel', das sich perfekt für Angriffe eignet.

Poster zur Router-Sicherheitsprüfung

Der Kern des Angriffs: DNS-Hijacking

Bei diesem Vorfall nutzten die Hacker eine klassische, aber äußerst gefährliche Methode: das „DNS-Hijacking“. Durch eine Schwachstelle in TP-Link-Routern erlangten sie Administratorrechte für Tausende von Geräten und änderten die konfigurierten DNS-Adressen auf ihre eigenen, gefälschten DNS-Server.

Nutzer greifen wie gewohnt auf Google oder YouTube zu, werden aber tatsächlich über die Server der Hacker geleitet. Dabei werden Benutzername, Passwort und sogar Sitzungstoken des Nutzers vollständig abgefangen. Es ist, als ob der Hausschlüssel direkt in die Hände der Hacker gelangt wäre.

💡 Was ist DNS (Domain Name System)?
Vereinfacht ausgedrückt ist es das „Telefonbuch“ des Internets. Wenn wir Zeichen wie google.com in den Webbrowser eingeben, versteht der Computer dies nicht direkt. Daher fragt er einen DNS-Server: „Was ist die Adresse von Google?“, und erhält eine numerische IP-Adresse wie 142.250.xxx.xxx.

Was aber, wenn dieses Telefonbuch von Hackern manipuliert wurde? Wenn Sie nach „mein Zuhause“ suchen, und der Hacker Ihnen die Adresse des „Diebeshauses“ gibt, würden Sie arglos dorthin gehen.

Die Reaktion des FBI: Hacking mit Hacking bekämpfen?

Interessant ist das Vorgehen des US-amerikanischen FBI. Sie gaben bekannt, mit gerichtlicher Genehmigung sogenannte „Spitzentechnologien“ und „spezielle Befehle“ eingesetzt zu haben, um die Router-Einstellungen der Opfer wiederherzustellen.

Auch wenn es sich blumig nach „Wiederherstellung“ anhört, bedeutet es nüchtern betrachtet: Das FBI ist ebenfalls unbefugt (gehackt) in die Router der Nutzer eingedrungen und hat die Einstellungen geändert, indem es die Schwachstellen von TP-Link ausnutzte. Im Namen einer staatlichen Behörde wurde quasi ein legaler „Gegen-Hack“ durchgeführt – ein wahrhaft merkwürdiges Schauspiel.

Ist Ihr Router sicher?

Das Problem sind Länder wie Südkorea oder Japan. Es ist unwahrscheinlich, dass die Regierungsbehörden dieser Länder, die sensibel auf Datenschutz- und Berechtigungsfragen reagieren, so „freundlich (?)“ wären, in Ihren Router einzudringen und die Einstellungen wie das FBI zu korrigieren. Es ist sogar fraglich, ob sie überhaupt die Fähigkeiten oder Systeme dafür hätten.

Letztendlich können Sie nur sich selbst vertrauen. Wenn Sie nicht in den USA leben, müssen Sie als Leser dieses Artikels selbst auf die Router-Verwaltungsoberfläche zugreifen und den Status überprüfen. Es spielt keine Rolle, ob es ein TP-Link-Router ist oder nicht. Überprüfen Sie es jetzt sofort.

3 Sofortmaßnahmen, die Sie jetzt ergreifen sollten

  1. DNS-Server-Einstellungen überprüfen: Überprüfen Sie die DNS-Adresse auf der Router-Verwaltungsseite. Wenn dort eine unbekannte IP-Adresse steht, die Sie nicht selbst konfiguriert haben, sollten Sie diese sofort ändern. Wenn Sie unsicher sind, verwenden Sie einfach die untenstehenden öffentlichen DNS-Server. Das ist die einfachste Lösung.

    • Cloudflare: 1.1.1.1
    • Google: 8.8.8.8

  2. Firmware-Update (obligatorisch): Da Sie sich bereits im Administrator-Modus befinden, klicken Sie auf die Schaltfläche für das Firmware-Update. Die neuesten Patches des Herstellers sind der einzige Weg, um Sicherheitslücken in Ihrem Router zu schließen. Viele Menschen haben sich normalerweise nicht darum gekümmert, aber diese Gelegenheit wäre gut, um die Router-Firmware zu aktualisieren.

  3. Passwort ändern (absolutes Minimum): Ich wette, es gibt immer noch Leute, deren Administrator-Passwort admin lautet oder die überhaupt kein Passwort eingerichtet haben. Das ist, als würde man die Haustür offen lassen und hoffen, dass kein Dieb kommt. Bitte richten Sie zuerst ein Passwort ein.

Fazit

Hacking ist keine Geschichte aus Filmen. Sobald wir ein mit dem Internet verbundenes Gerät besitzen, sind wir 24 Stunden am Tag ein Ziel. Insbesondere der Router ist das 'Tor', durch das der gesamte Datenverkehr unseres Hauses fließt.

Es gibt nichts Dümmeres, als sich nach einem Datenklau über Unternehmen oder den Staat zu beschweren, wenn man nicht einmal grundlegende Sicherheitsregeln befolgt hat. Ich denke, man sollte sich zumindest um seinen eigenen Hausschlüssel kümmern. Ich hoffe, dass sich viele Menschen für Hacking und Sicherheit interessieren. Dann werden Unternehmen, die Geld verdienen wollen, aus Angst vor den Verbrauchern auch in Sicherheit investieren, und letztendlich werden wir alle sicherere Dienste erhalten, nicht wahr?