Auf der Facebook-Seite des German Chapter of the ACM (Link) hat Professor Hof, Leiter der Forschungsgruppe INSicherheit – Ingolstädter Forschungsgruppe Angewandte IT-Sicherheit an der Technischen Hochschule Ingolstadt, und der Forschungsgruppe MuSe – Munich IT Security Research Group an der Hochschule München heute einen Kommentar zum Telekom-Hack (Link) veröffentlicht:
“Glück gehabt, die Angreifer haben gepatzt und es ist nichts passiert. Deutlich wird aber, wie verwundbar wir doch sind und wie beklagenswert der Zustand unserer mit dem Internet verbundenen Geräte im Heimbereich ist. Mit 900.000 übernommenen Internet-Routern und üblichen Upstream-Geschwindigkeiten von 1 MBit/s hätte das Netz sich einem Angreifer mit bis zu 900 GBit/s Angriffskapazität gegenüber gesehen. Angriffe in dieser Größenordnung können heute selbst große Dienstanbieter nur mit Mühen abwehren, siehe den Angriff auf Dyn vor wenigen Wochen. Und man mag sich gar nicht vorstellen, wie die Telekom es wohl hinbekommen hätte, 900.000 Router von Kunden auszutauschen oder mit neuer Firmware zu versehen, wenn die Angreifer die Fernwartungsschnittstelle deaktiviert hätten.
Solche Schwachstellen können wir uns in Zukunft nicht mehr leisten. Deswegen ist es nur richtig, wenn aktuell gefordert wird, die Hersteller für Sicherheitsschwachstellen in Haftung zu nehmen. Ich fordere schon seit fast einem Jahrzehnt eine weitreichende Software-Produkthaftung. Kurz gesagt: wer für eine Software- oder Konfigurationsschwachstelle verantwortlich ist sollte die Kosten eines Hacking-Vorfalls tragen. Denn Hacking-Vorfälle sind keine höhere Gewalt sondern deuten auf mangelnde Produktqulität hin. Schwachstellen sind vermeidbar, aber das kostet Geld. Deswegen muss dem Aufwand, IT-Sicherheit richtig zu machen, eine entsprechende Strafe gegenübergestellt werden, wenn IT-Sicherheit in die Hose geht. Entsprechende Regeln müssen für alle netzwerkfähigen Geräte in allen Bereichen gelten.”