Die Achillesferse des Internet

"Da haben wir ja noch mal Glück gehabt", mit diesen oder ähnlichen Worten werden sich Netzwerkadmins der Internet-Service-Provider am Wochenende in ihre Stühle haben fallen lassen. Der von vielen erwartete Zusammenbruch des Internet blieb glücklicherweise aus. Doch für eine Entwarnung ist es noch zu früh. Viele Systeme sind nur provisorisch mit Filterregeln gesichert, bis der Patch eingespielt ist. Der erforderliche Reboot wird so manchem den Schweiß auf die Stirn treiben: Ein vergessenes "write mem" zum Speichern der letzten Konfiguration richtet vielleicht mehr Schaden an, als ein ungepatchtes IOS. Auch die Switches laufen unter IOS und wollen gesichert werden, der größte Teil aller Angriffe kommt ja bekanntlich von innen.

Trotzdem ein vorläufiges Fazit: Allen ein Lob, schnell reagiert, Problem beseitigt. Scheinbar sind die Router-Administratoren der ISPs besser ausgebildet als mancher Server-Admin. Auch die Hinweise von Cisco und CERT/CC, wie das Problem zu beseitigen ist, kamen schnell. Ebenso wie die Warnung vor dem Exploit, der zugegebenermaßen nicht wirklich gut funktionierte. Bessere Exploits werden aber bald auftauchen und gegen ungesicherte Router verwendet werden. Die wirkliche Tragweite des Vorfalls wird man erst in einigen Wochen erkennen.

Doch gerade weil es diesmal glimpflich abgelaufen ist, hat dieser Vorfall eines ganz deutlich gemacht: Die herausragende Stellung von Cisco ist eine bisher kaum beachtete Schwachstelle des Internet. Bei 60 Prozent Marktanteil geht jedes Paket im Internet mit hoher Wahrscheinlichkeit durch ein Cisco-Produkt. Ein Sicherheitsloch im IOS kann schwerwiegende Folgen haben. Egal ob es ein Router für zu Hause ist oder der Core-Router eines Internet-Service-Provider: Alle laufen auf dem gleichen Betriebssystem. Diese Monokultur macht das Internet verwundbar. IOS wird zum Single-Point-of-Failure. Was wäre passiert, wenn jemand den Bug vor Cisco entdeckt und einen funktionierenden Exploit geschrieben und in Umlauf gebracht hätte?

Buffer Overflows zum Einschleusen und Ausführen von Programmen werden für Cisco-Produkte verdächtig selten gemeldet. Kann man daraus schließen, dass Cisco-Produkte besonders sicher sind oder sind deren Sicherheitslöcher bisher nur nicht bekannt? Und wie viele sogenannte Zero-Day-Exploits für unbekannte Schwachstellen kursieren in kleinen Hackerzirkeln und Geheimdiensten? Hoffentlich keine.

Die Möglichkeiten, die ein unautorisierter Zugriff auf Router eröffnete, wären vielfältig. Prinzipiell ließen sich große Teile des Internet damit kontrollieren. Das Internet könnte in ganzen Ländern und Kontinenten zum Stillstand gebracht werden, denn einige Länder sind nur über eine einzige Leitung angebunden. Firmen hängen missliebige Mitbewerber vom Netz ab, Wirtschaftsspione und Geheimdienste leiten den Internet-Verkehr um und lesen ihn mit. Eine grauenhafte Vorstellung: Exploits als Wettbewerbsvorteil in heiß umkämpften Online-Märkten. Der oft prophezeite Information Warfare, der Krieg im Internet, wäre Realität geworden. Alles scheint am seidenen Cisco-Faden zu hängen. Diversifizierung ist notwendig, um Abwechslung in die Monokultur zu bringen und zukünftigen Bedrohungen besser begegnen zu können. (dab)