Das Forschungsteam hatte einige gebrauchte Router gekauft, um eine Testumgebung einzurichten. Doch bei der Installation stellten sie fest, dass bei vielen dieser Geräte die vorhandenen Konfigurationen und Daten vor dem Weiterverkauf nicht gelöscht worden waren. Schlimmer noch: Sie konnten dazu genutzt werden, um den Vorbesitzer und Details seiner Netzwerkkonfiguration zu identifizieren.
Mit diesen Erkenntnissen starteten die Sicherheitsforscher einen größeren Test, bei dem weitere gebraucht gekaufte Router unter die Lupe genommen wurden. Bei einer Stichprobe von insgesamt 18 Geräten wurden dabei auf 56 Prozent sowohl Konfigurationsdetails als auch Daten gefunden, die in den falschen Händen zu einem Sicherheitsrisiko werden könnten. Kundendaten, Router-zu-Router-Authentifizierungsschlüssel, Anwendungslisten und vieles mehr konnten die Sicherheitsforscher auslesen – definitiv genug Daten, um einen Cyberangriff zu starten und sich in einem Netzwerk festzusetzen.
Sich über eine Sicherheitslücke Zugang zu einem Teil des Netzwerks zu verschaffen und sich von dort aus heimlich zu verbreiten, hat sich in den vergangenen Jahren unter Cyberkriminellen immer mehr etabliert. Sie verbringen Zeit und Ressourcen damit, ausgeklügelte Datenextraktionen durchzuführen, Methoden zur Umgehung von Sicherheitsmaßnahmen zu erforschen und schließlich ein Unternehmen durch einen schädlichen Ransomware-Angriff oder andere Cyber-Bösartigkeiten in die Knie zu zwingen.
Der Preis für einen solchen initialen Zugang zu einem Unternehmensnetzwerk liegt auf dem Schwarzmarkt derzeit bei etwa 2.800 US-Dollar, wie eine Untersuchung von KELA Cybercrime Prevention ergab. Bei einem Preis von wenigen hundert Euro für einen gebrauchten Router ergibt sich daraus für Cyberkriminelle ein schöner Gewinn, selbst wenn sie selbst keinen größeren Angriff durchführen, sondern lediglich den Zugang zum Netzwerk verkaufen.
Bei Unternehmen sollten angesichts dieser Ergebnisse alle Alarmglocken läuten, doch wie die Sicherheitsforscher von ESET schreiben, haben sie von vielen der Unternehmen, deren Daten sie auf den gebrauchten Routern fanden, nur wenig oder sogar gar kein Feedback erhalten. Einige wenige gaben an, die entsprechenden Router an Unternehmen weitergegeben zu haben, die die Daten professionell löschen oder die Router zerstören sollten. Beides ist offenbar nicht geschehen, wie die Secondhand-Geräte von ESET zeigten. Das sollte zu denken geben. Das Fazit der Sicherheitsforscher lautet daher, dass jedes Gerät, das ein Unternehmen verlässt, professionell bereinigt worden sein muss, und dass dieser Prozess zertifiziert und regelmäßig überprüft werden muss, um sicherzustellen, dass die Daten des Unternehmens nicht auf öffentlichen Secondhand-Hardwaremärkten verkauft werden.