Hallo

seit wann ist die Telekom für Router verantwortlich. Verklagen Sie Ihren Itler.

Telekom richtet gerade aus diesem Grund keine

Router ein. Um die Firewall muss man sich selbst

kümmern.

... die Telekom hatte uns die ISDN-Technik abgekündigt und deshalb wurde am Donnerstag, den 18.7. ein neuer LANCOM Router installiert.

Hallo Frau Merk,

ich kann mir ehrlich gesagt auch nicht vorstellen, dass die Telekom die Verantwortung für eine evtl. fehlerhafte Routerkonfigurationen oder für Malware-Angriffe übernimmt.

Die Umstellung von Ihrem ISDN-Anschluss auf VoIP bedeutet ja nur, dass ihr alter Router und/oder ihre Telefonanlage ersetzt werden mussten. Aber die Telekom hält sich aus weiteren Aktionen (z,B. Netzwerkkonfigurationen) nach meiner Erfahrung heraus.

Es würde mich doch sehr wundern, wenn Sie der Telekom einen Fehler nachweisen könnten, der zu einem Schadenersatz durch die Telekom führt.

Selbst wenn tatsächlich Fehler gemacht wurden, müssten Sie alles erstmal beweisen können.

Malware (z.B. Verschlüsselungstrojaner, Ransomware etc) kann auf verschiedenen Wegen Ihr System befallen. Das häufigste Einfallstor ist der eMail-Verkehr.

Rechtsanwälte schätzen die Chancen eines Gerichtsverfahrens naturgemäß anders ein.

Hier kann man aber schnell den finanziellen Schaden deutlich vergrößern.

VG

Michael Vogtsburger

Sie haben zweifellos eine häßliche Erfahrung gemacht, die Sie persönlich sehr mitnimmt,

daher werden Ihnen die Antworten von uns Unbetroffenen vielleicht "hart" vorkommen.

Aber ihre Schilderung zeigt sowohl, dass sie selbst fachlich nicht "in der Materie" stecken

(was verständlich ist), sondern bei diesem GAU auch nicht optimal beraten / informiert wurden.

Sie sollten die Sache weder einfach "abhaken", noch auf "Nebenschauplätze" eskalieren.

Versuchen Sie den Vorfall  als "Erfahrungswert" zu sehen, und im Hinblick darauf, zukünftig besser vorbereitet zu sein, zu analysieren.

Ein Malware-Angriff ist seltenst ein individueller Hackerangriff, sondern der Versuch einer massenhaften, automatisierten Kompromitierung durch mehr oder weniger bekannte Schwachstellen.

Gerade wegen des Massenauftretens, sind i.d.R. binnen sehr kurzer Zeit sowohl aktualisierte Erkennungsmuster für Virenscanner verfügbar, als auch Hintergrundinformationen aus der Schadsoftware-Analyse.

Allein anhand des Namens der Ransomware-Variante von der Sie betroffen waren,

können Sie sich leicht über Auftreten / Verbreitung, aber auch Funktionsweise - auch den "Penetrationsweg", Notfall- und Vorsorgemaßnahmen informieren.

PS:

Was den rein finanziellen Schaden angeht, sollten Sie ihre Versicherungspolicen prüfen.

Bei uns hat seinerzeit bei Datenverlust durch einen Server-Crash, die in der Büroversicherung enthaltene Elektrogeräte-Versicherung zu einer anteiligen Schadenstragung geführt.

Ich meine, dass eine Klausel bezüglich der u.U. erheblichen Kosten der Ersatz-/ Wiederbeschaffung, Rekonstruktion von zerstörten Akten (alias Daten ?) zum Standard gehört.

Am Montagmorgen wurde die uns betreuende IT-Firma davon unterrichtet und sie stellten einen Trojaner fest, der unsere gesamten Daten verschlüsselt hat.

Das ist ja seit langem nichts Neues und hat mit dem Routertausch bzw. der Abkündigung der ISDN Technik nichts zu tun. Das hätte Ihnen auch via ISDN Technik passieren können.

Fragt sich eher, wer war es und was wurde getan? Klassisch tarnen sich solche Trojaner in einer angeblichen E-Mail und der Trojaner muss zumindest 1x aktiv ausgeführt werden, z.B. à la Office Makro: Klicken Sie hier für mehr Details.

Nach Lösegeldzahlung in Bitcoins wurde uns alles zum Glück wieder entschlüsselt und wir konnten wieder arbeiten.

Hatten Sie denn tatsächlich kein Backup aller relevanten Daten zumindest vom Vortag? Das Zahlen des Lösegelds empfiehlt wirklich niemand; auch nicht das BSI, da man nie sicher sein kann, dass die Daten entschlüsselt werden und Sie mit der Zahlung die Aktivitäten der Unbekannten weiter unterstützen. Wenn es nur geht, Anzeige erstatten und Backup einspielen.

Für uns alle war es unerklärlich wie ein Trojaner auf unseren Server kommen konnte.

Siehe oben. Dass dieser via offenem Port der Telekom kommt, ist mir bisher unbekannt. Das hat damit zunächst nichts zu tun. Die alten Speedports hatten auch einen Port dazu, dass die Telekom z.B. neue Firmware aufspielen kann. Dieser wurde tatsächlich angegriffen und legte viele Router lahm - verschlüsselt wurden jedoch keine Daten.

Wir wollen unsere Kosten an die Telekom weiterberechnen und wenn es nicht anders geht, dann würden wir auch eine Sammelklage anstreben, da wir nicht auf dem uns entstandenen Schaden sitzen bleiben möchten.

Viel Glück. Ich glaube kaum, dass es da eine Chance gibt, da es nicht am Port liegt, sondern wirklich an einem Ihrer Mitarbeiter. Fragen Sie dort wirklich nach und machen Sie klar, dass es keine Konsequenzen für den Mitarbeiter hat. Ggf. weiß es einer bereits, dass ihm etwas komisch vorkam, sagt nun aber nichts, weil er Angst vor einer Kündigung wegen Stillstand der Kanzlei hat.

Sprechen Sie das Thema bitte offen in Ihrer Kanzlei an und stecken Sie weniger Energie in eine Klage. Denn: Auch nach der Klage, und selbst wenn erfolgreich, kann Ihnen das immer wieder passieren. Dann haben Sie nichts gewonnen. Sensibilisieren Sie Ihre Mitarbeiter und lassen Ihren Dienstleister ggf. entsprechende Maßnahmen treffen: min. tagesaktuelles, funktionsfähig Backup; Konfiguration des Outlooks (Sperren von ZIP Anhängen, etc.), lieber "langsamer" arbeiten als ein "Firefinger", da es nur 1x falschen Klick braucht, entsprechend zu konfigurierende Firewall, Einspielen aller Windows Updates und Einspielen aller sonstigen Updates für Programme und andere Hardware (Router, Switch, NAS, ..), ...

Informieren Sie sich über das Thema Verschlüsselungstrojaner. Das ist ein Ernst zu nehmendes Thema, denn auch gnaze Städte in den USA oder deutsche Krankenhäuser hat es schon erwischt. Kurze Stichworte aus der Vergangenheit sind #EternalBlue #WannaCry

diplodocus​:

seit wann ist die Telekom für Router verantwortlich. Verklagen Sie Ihren Itler. Telekom richtet gerade aus diesem Grund keine Router ein.

Leider falsch. Beim Wechsel von ISDN auf All-IP und dem Einsatz eines LANCOM Routers konfiguriert die Telekom den LANCOM Router, damit dieser wieder Internet und ISDN bereitstellt, als wäre der wechsel nicht gewesen. Allerdings ist die Firewall der LANCOMs nicht z.B. mit einer Sophos zu vergleichen und ähnelt eher stärker denen der bekannten Speedport Router.

Das Passwort für den LANCOM konnte ich bisher immer selbst festlegen.

Hallo,

wir haben in unserem 2. Büro vor ca. 1 Monat zwangsweise den Telefonanschluss ebenfalls auf VOIP umgestellt (Telekom hat den bestehenden ISDN-Vertrag gekündigt).

Vom LANCOM-Router hat die Telekom ganz klar die Finger weg gelassen. Unser IT-ler hat das erledigt. Allerdings erreichte uns letzte Woche ein Brief auf Papier der Telekom, man hätte auf unsrem Router eine Lücke bzw. Konfiguration festgestellt, die Cyber-Angriffe zulasse. Näheres würden wir in einer Mail in unserem Telekom-Email-Konto finden. Am Montag ist unser IT-ler ohnehin im Büro, dann werden wir uns das mal näher ansehen.

Es mag schon sein, dass die Telekom das übernimmt, wenn man mit dem Wechsel auch einen neuen Router bei der Telekom bestellt. Allerdings werden die Telekom-Techniker vermutlich nur Standardeinstellungen vornehmen.

Ob das dann im Sinne der Kanzlei ist???

Wird ein vorhandener Router aber weiter genutzt, rührt ihn die Telekom nicht an.

So hart es jetzt auch klingt, die Schuld bei Telekom zu suchen ist nach meiner Meinung falsch. Wenn der Router von der Telekom bezogen wurde, sind wahrscheinlich nur Standardeinstellungen vorgenommen worden. Oder wurde ein spezieller Service vereinbart? Dieser ist optional und kostenpflichtig. Router sollten über ein Systemhaus installiert / konfiguriert werden. Neue Router beinhalten die Werkseinstellung. Das heißt, dass erst die Firmware upgedatet werden muss und dann folgen die Standard- und Feineinstellungen (Firewall, Zugriff vom LAN, WAN usw.)

Die Zahlung von Lösegeld ist absolut verkehrt. Wo ist das Backup? Und wer garantiert das sich der Trojaner nicht nur schlafend stellt und sich in ein paar Wochen/Monate wieder aktiviert?

Bevor Sie eine Klage anstreben, sollten Sie die Zeit lieber für Aufklärung in der Kanzlei investieren.

Die Wahrscheinlichkeit, dass ein Anhang / Link geöffnet wurde ist höher als vielleicht ein offener Port.

Es gibt zwar keine 100% Sicherheit, ab er wo war der Virenschutz und wie ist der eingehende Mailverkehr gesichert?

Vielleicht sollte die Kanzlei-Compliance verfeinert werden. Das größte Risiko sitzt oft vor dem System. Deshalb mein Rat, klären Sie Ihre Mitarbeiter über mögliche Risiken auf.

Verzeihen Sie mir die ehrlichen Worte, aber die Telekom wird hier unschuldig sein.

VG

A. Nala

Allerdings erreichte uns letzte Woche ein Brief auf Papier der Telekom, man hätte auf unsrem Router eine Lücke bzw. Konfiguration festgestellt, die Cyber-Angriffe zulasse. Näheres würden wir in einer Mail in unserem Telekom-Email-Konto finden.

Nur seltsam, dass ich dazu nichts in der Presse finde? Solch ein Angriff fand 2017 zuletzt statt. Da es ja Millionen betrifft, hätte ich schon längst dazu was im Internet aus 2019 finden müssen. Oder bin ich blind?

Nicht, dass das genauso eine böse Phisingmail ist .

Ob das dann im Sinne der Kanzlei ist???

Nicht jede Kanzlei hat das Geld für eine gute Firewall und dazu muss diese ebenfalls gewartet werden, um den Angriffen stand zu halten und: keine Technik kann uns vor solchen Gefahren schützen. Außer unser Kopf und Verstand, der den letzten Klick verhindert.

Wird ein vorhandener Router aber weiter genutzt, rührt ihn die Telekom nicht an.

Richtig. Dann hatte ich aber den Fall, dass der Kunde unterschreiben musste, wenn es VoIP Probleme gibt, die Telekom raus aus dem Boot ist, da es keine von der Telekom getestete Hardware ist.

keine Technik kann uns vor solchen Gefahren schützen. Außer unser Kopf und Verstand, der den letzten Klick verhindert.

L:\ mit Schreibrechten für alle anstelle des Zugriffs über einen Datenbankserver macht es einem solchen Angriff natürlich dann nochmal besonders einfach...

Die Zahlung von Lösegeld ist absolut verkehrt.

Hallo Frau Nala,

niemand zahlt gerne Lösegeld, aber wenn es evtl. um die Existenz geht, schluckt man lieber zähneknirschend die Kröte.

Selbst wenn man nicht sicher sein kann, dass die Entschlüsselung tatsächlich funktioniert, ist es immerhin eine Möglichkeit, mit einem blauen Auge davon zu kommen.

... und es klappt ja sogar oft, weil ja auch die Erpresser ihr dreckiges Geschäft weiter betreiben wollen.

VG

Michael Vogtsburger

Nachtrag:

Ich habe in meinem Netzwerk inzwischen auch per Registry-Eintrag den eMail-Empfang von original "Microsoft Office"-Dateien (Word, Excel u.a) blockiert, weil dies eines der beliebtesten Einfallstore für Malware ist.

Es gab inzwischen schon einige eMails mit Anhängen im Word- und Excel-Format, die zurückgewiesen wurden.

Obwohl man evtl. die Absender kennt, kann in jeder harmlos aussehenden Datei ein Schadprogramm (Script, Makro etc stecken)

Analogie:

Wenn in Ihre Wohnung eingebrochen wird, können Sie auch nicht Ihren Elektriker oder Ihren Fensterbauer dafür verantwortlich machen, dass die Alarmanlage die Einbrecher nicht abgehalten hat oder dass die Fenster nicht einbruchsicher waren.

Hallo Herr Vogtsburger,

eine Kanzlei sollte über ein aktuelles Backup verfügen und nicht dieses 'dreckiges Geschäft' unterstützen.

Eine Kanzlei ohne Backup kann ich mir irgendwie nicht vorstellen. Deshalb stellt sich nicht die Frage nach der Existenz.

VG

A. Nala

Wenn Sie 'nur' ein Daten-Backup, also z.B. 20 oder 50 oder 100 Gigabyte an Daten gesichert haben, dann ist das leider nicht ausreichend, um ein verschlüsseltes System wiederherzustellen.

Idealerweise bräuchten Sie täglich mindestens 1 komplettes 1:1-Image des gesamten Systems (des Fileservers) und möglichst noch der Arbeitsplätze. Ich behaupte, dass das vermutlich keine Kanzlei hat.

Ich habe mal konkret einen verschlüsselten Mandanten-PC gesehen.

Da ist tatsächlich alles Mögliche verschlüsselt, nicht nur die eigenen Daten, sondern auch z.B. sämtliche Bilder, Textdateien, Batch-Dateien und andere wichtige Dateien des Windows-Betriebssystems.

Außer den Anweisungen zum Bezahlen des Lösegeldes funktioniert dann  nichts mehr !

Eine Kanzlei ohne Backup kann ich mir irgendwie nicht vorstellen. Deshalb stellt sich nicht die Frage nach der Existenz.

Sorry, aber diese verharmlosende Vorstellung von einem Ransomware-Angriff ist naiv.

Man muss davon ausgehen, dass man zur Wiederherstellung eines befallenen Systems 'bei Adam und Eva', also bei einem völlig neu formatierten System anfangen muss.

..... und erst dann sieht man, ob man wirklich alles gesichert hatte, wenigstens bis gestern oder vorgestern.

.... und wenn ich die Chance habe, mir für umgerechnet z.B. 500 Euro Lösegeld z.B. 100 oder 200 Stunden Wiederherstellungs-Arbeit zu ersparen, dann nutze ich wahrscheinlich diese Chance, natürlich mit Wut im Bauch

VG

Michael Vogtsburger

Allerdings erreichte uns letzte Woche ein Brief auf Papier der Telekom, man hätte auf unsrem Router eine Lücke bzw. Konfiguration festgestellt, die Cyber-Angriffe zulasse. Näheres würden wir in einer Mail in unserem Telekom-Email-Konto finden.

Nur seltsam, dass ich dazu nichts in der Presse finde?

Nicht, dass das genauso eine böse Phisingmail ist .

Die Briefe gibt es tatsächlich, allerdings reicht dafür schon aus das der Anschluss auf Port 25 reagiert,

Sie sprechen sicher vom Sperren des Ports Nr 25 (SMTP) in den eMail-Einstellungen von Outlook, oder ?

edit: .. sagen wir lieber: das Vermeiden bzw. Wechseln des Port Nr. 25 in den eMail-Einstellungen

Auskunft der Telekom: Es handelt sich um den Port "Telnet 23".

Dieser Port wird wohl auch für Fernwartung benutzt??

Dieser Port wird wohl auch für Fernwartung benutzt??

Jein. Telnet ist unverschlüsselt ( auch die Übertragung der Anmeldedaten).

Der Provider verwendet zum Zugriff auf die Konfiguration aber eher das TR-69 Protokoll, welches hierfür vorgesehen ist.

Nein, weder noch.

Es geht darum das der ROUTER eingehende Verbindungen auf Port 25 zulässt. Dies ist typischerweise der Fall wenn im lokalen Netzwerk ein Mailserver steht.

Die Telekom sieht nur das der Port offen ist und prüft natürlich nicht welche Sicherheitssysteme den Port 25 weiterhin auf dem Weg zum Mailserver absichern.

Ein Outlook macht höchstens AUSGEHENDE Verbindungen auf Port 25.

Danke für die Richtigstellung.

.. aber auch der Versand von Spam-Mails von einem befallenen System aus und über eine eigene Anwendung (Mini-Mailserver, an Outlook vorbei) ist sehr beliebt zur Weiterverbreitung von Malware und zum direkten Senden von Informationen an andere Mailserver.

Für ALLIP erhält man von der Telekom nochmalerweise einen eigenen Internetzugang. Über diesen sollte eigentlich kein Mailverkehr laufen.

Für ALLIP erhält man von der Telekom nochmalerweise einen eigenen Internetzugang. Über diesen sollte eigentlich kein Mailverkehr laufen.

... also sollte man die pop/imap/smtp-Server-Adressen der Telekom nicht verwenden ?

.... oder stehe ich auf gerade dem (Rezzo) Schlauch ?

Nicht auf dem Router für den VOIP-Zugang.