** Sicherheitslücke in Telekom-Digitalisierungsboxen (bei HTTPS-443-Portfreigaben)

Der Volkssport, in Routern aus Bequemlichkeit oder Gedankenlosigkeit Portweiterleitungen auf z.B. Smart Home- Geräte oder interne Server zu schalten, hat jetzt hoffentlich einen Dämpfer erlitten.

Im November wurde der Fall einer Arztpraxis aus Norddeutschland bekannt, von der Daten von ca 30.000 Patienten vom internen Praxis-Servers aus dem Internet abgegriffen hätten werden können. Schuld daran waren zwei Dinge:
1) Eine im DSL-Router „Telekom Digitalisierungsbox“ eingerichtete Portweiterleitung auf einen praxisinternen Webserver-Port und ein diesbezüglicher Softwarefehler in der Router-Firmware
2) Eine falsche Rechtekonfiguration auf dem Praxis-Server.


Was ist eine Portweiterleiterung?

Ein sog. Port ist eine vereinbarte Nummer, unter der ein bestimmter Netzwerkdienst Anfragen bearbeitet/beantwortet.

Anschaulich erklärt: Stellen Sie sich vor, sie haben einen im Haus einen Kühlschrank und wollen Leuten, die vor Ihrem Haus stehen und dort nicht hineindürfen einen Zugang zum Kühlschrank geben. Was machen Sie? Sie schneiden ein Loch in Ihre Hauswand und sagen dem Loch, dass jeder, der dort durchgreift mit seinen Händen nur an den Kühlschrank darf.

Die Grundsatzfrage ist hier nicht: Wie macht man dieses Verfahren sicher?
Die Grundsatzfrage ist vielmehr: Warum zur Hölle wollen Sie von aussen Jemandem Zugriff auf Ihren Kühschrank geben????
Es ist exakt diese Gedankenlosigkeit,  mit der viele Anwender 24×7-verfügbare Löcher in die Firewall Ihres DSL-Routers schlagen, nur damit man – überspitzt gesagt – von unterwegs einmal pro Monat Smarthome-Thermostate abfragen oder die Farbe der WLAN-Smart-Glühbirne verändern kann.


Merke: Jede vermeidbare „Portweiterleitung“ in einem Router ist ein potentieller Fallstrick.

Besonders gefährlich wird es, wenn der DSL-Router das Loch breiter macht als gedacht!

Und genau das ist nun bei den Telekom-Router-Modellen

– Digitalisierungsbox Standard
– Digitalisierungsbox Premium
– Digitalisierungsbox Smart

bekannt geworden.

Bei der Konfiguration der Portweiterleitung der Portnummer 443 (auf diesen Netzwerports arbeiten verschlüsselte Webserver, die Internetseiten/WWW-Inhalte ausliefern; also „HTTPS“)  auf einen hausinternen Rechner/Dienst geben die o.g. Modelle fälschlicherweise noch weitere Portnummern von aussen frei und leiten Datenverkehr nach innen auf das Zielgerät weiter; nämlich die HTTP-Ports 80 bis 89 sowie die Ports 440 bis 449. Diese Ports des hausinternen Zielgeräts sind dann ebenfalls per Internet erreichbar.

Dateien statt nur Webdienste abgreifbar

Im Bereich zwischen 440 und 449 liegt die Portnummer 445.
Diese Portnummer dient dem sog. SMB-Protokoll. Dieses wird genutzt für den Netzwerkzugriff auf sog. Verzeichnisfreigaben im Netzwerk. (Typischer Fall: eine Server oder ein NAS im Netzwerk stellt Daten-Verzeichnisse für andere Rechner exakt mit diesem Protokoll bereit).
Solche Netzwerkverzeichnisfreigaben sind/waren durch die fehlerhafte Portweiterleitung der o.g. Routermodelle aus dem Internet zugreifbar. Sind diese Freigaben dann auch noch „lasch“ bzgl. des Rechtemanagements konfiguriert, war der Zugang zu dort liegenden Daten problemlos möglich. Wer sowas macht? Automatische Netzwerkskripte und Angriffsbots, die den ganzen Tag nichts anderes machen, als nach solchen Daten zu suchen! Das Argument „es setzt sich doch keiner hin und greift mich an, von mir will doch keiner was“ ist seit jeher eine fatale Illusion.


Was lernen wir als Gesellschaft (nicht) daraus?

  • schlampiges Programmierhandwerk (Routerfirmare) gefährdet intimste Daten von Personen
  • Dienste/Rechner, die nicht unbedingt aus dem Web erreichbar sein müssen, sollten nicht aus dem Web erreichbar sein
  • ein sicher konfiguriertes VPN ist besser als lapidare Portweiterleitungen
  • jedes leichtfertig in die Firewall eingeschlagene Loch ist ggf. ein Loch zuviel

Aber politisch heißt das Mantra wohl auch weiterhin:
Digitale Patientenakten ab in die Cloud! Was soll da schon schiefgehen? 🙂

Es dürfte spannend zu beobachten sein, wie es DSGVO-seitig für die betroffene norddeutsche Arztpraxis ausgeht. Es wären immerhin Daten von 30.000 Patienten online zugänglich gewesen. Laut DSGVO gilt eine Informationspflicht; d.h. sofern Daten in die Hände Dritter gelangt sein sollten, müsste die Praxis diese 30.000 Patienten benachrichtigen. Egal ob sie dies per Telefonat, email oder Postkarten tut, die Arbeitszeit- und Portokosten hierfür dürften beachtlich werden.


Wer ist betroffen?

Nicht jeder Besitzer der o.g. Routermodelle ist betroffen; betroffen sind nur diejenigen Anschlüsse/Router, in denen eine solche HTTPS-Portweiterleitung über das Webfrontend des Routers eingerichtet wurde.

Die Telekom scannt derzeit ihr gesamten Kundennetzwerk ab und schreibt Anschlussinhaber an, bei denen eine solche betroffene Weiterleitung aktiv ist. Sofern Sie von der Telekom ein entsprechendes Anschreiben erhalten, melden Sie sich spätestens dann umgehend bei Ihrem EDV-Betreuer!

Welche Abhilfe gibt es?

Für die betroffenen Router gibt es Firmware-Updates:

Weitere Infos zum o.g. Fall:

https://www.heise.de/ct/artikel/Warum-eine-komplette-Arztpraxis-offen-im-Netz-stand-4590103.html

 

Teilen ...