Telekom: »Schlecht programmierte Schadsoftware«

Der ist lustig: die Telekom vertreibt DSL-Router mit offenem Scheuentor, die arglosen Kunden werden Botnet-Opfer — und die Telekom basht die Malware-Coder.

Gestern fiel der Telekom fehlende Sorgfalt bei der Prüfung ihrer Hardwarelieferanten auf die Füße. Ca. 900.000 Telekom-DSL-Kunden waren zeitweise offline. Offensichtlich boten die »Speedport«-Modelle des Telekom-Zulieferers Arcadyan – mindestens die Modelle W 921V, W 723V Typ B und W 921 Fiber – in mindestens der bis gestern aktuellen Firmware einen aus dem Internet erreichbaren Wartungszugang — der seit dem Wochenende wohl ins Visier von Botnet-Bauern geraten zu sein scheint.

Witzig finde ich die kolportierte Aussage der Telekom, daß es der mangelhaften Schadcode-Qualität zu verdanken sei, daß die Auswirkungen so ›gering‹ blieben. Dabei ist es gerade die Deutsche Telekom, die sich vorwerfen lassen muß, bei der Qualitätssicherung grandios versagt zu haben: einen zum hin Internet offener Port 7547 für ein Fernwartungsprotokoll sollte ein simpler Scan mit »nmap« oder ähnlichen Tools zeigen — und die Alarmglocken schrillen lassen!

Hübsch ist auch, daß mindestens der Speedport W 723V Typ B schon einmal durch eine recht heftige Sicherheitslücke auffiel (»ein Angreifer, der sich innerhalb der Reichweite Ihres Funknetzwerks aufhält, kann sich unbefugt Zugang zu Ihrem WLAN beschaffen«), die der Telekom 2012 glatt eine »Produktwarnung für den Speedport W 723V Typ B« wert war. Umso unverständlicher, warum diese neue offensichtliche Lücke in Firmwares für verschiedene Arcadyan-Geräte seitens der Telekom unentdeckt blieb. Bei einem Unternehmen dieser Größe und Marktdurchdringung erscheint mir dies schon als grob fahrlässig …

One thought on “Telekom: »Schlecht programmierte Schadsoftware«

  1. eigentlich sollten solche TK Unternehmen, die grob fahrlässig handeln und teilweise seit Monaten oder Jahren bekannte Bugs und Sicherheitslücken nicht beheben, mal richtig bestraft werden.
    Die Strafe muss so hoch sein, dass regelmäßige Updates billiger sind.

    und nicht nur die Dtag hat solche Lücken.
    auch die anderen grossen Provider haben Sicherheitslücken in ihren Geräten oder auf ihren Servern.
    Aber selbst wenn man sowas entdeckt und weitermeldet, ist keiner zuständig.

    naja solange es keine Strafen gibt, oder die Strafen aus der Portokasse bezahlt werden, wird sich da nichts tun.

    da ist der Gesetzgeber gefragt!

    es kann ja auch nicht angehen,
    dass man Lücken auf Servern (mit deutschen Kundendaten) an Landes- und Bundesdatenschutzämter meldet und dann die Antwort kommt, dass die Domain ja in Spanien registriert ist, da könne man nichts machen.

    *kopfschüttel*

Comments are closed.