SchwachstellenCyberkriminalitätDatenschutz

Luxemburgs Telekommunikationskollaps: Huawei-Zero-Day blieb zehn Monate geheim

Von CyberDeutsch Redaktion
Luxemburgs Telekommunikationskollaps: Huawei-Zero-Day blieb zehn Monate geheim
Zusammenfassung

Im Juli 2025 verursachte eine bislang unbekannte Sicherheitslücke in Huawei-Routern einen massiven Ausfall der gesamten Telekommunikationsinfrastruktur Luxemburgs. Die Zero-Day-Schwachstelle ermöglichte es Angreifern, speziell präparierte Netzwerkpakete zu versenden, die die Enterprise-Router in eine kontinuierliche Neustartschleife zwangen und damit Mobil-, Festnetz- und Notfallkommunikation für über drei Stunden lahmlegten. Besonders bemerkenswert ist, dass die Lücke zehn Monate später weder öffentlich offengelegt noch mit einer CVE-Nummer registriert wurde – ein ungewöhnlicher Schritt in der Branche, der Fragen zur Transparenz und zum Schutz anderer Betreiber aufwirft. Während Luxemburgs Behörden das Incident intern untersucht haben, bleibt unklar, ob die Sicherheitslücke vollständig gepatcht wurde und wie viele andere Netzbetreiber weltweit potenziell gefährdet sind. Für deutsche Unternehmen und Behörden, die ebenfalls Huawei-Infrastruktur nutzen, ist dieser Fall besorgniserregend: Er verdeutlicht das Risiko von undokumentierten Schwachstellen in kritischer Netzwerktechnik und wirft Fragen zur Versorgungssicherheit und zur Notwendigkeit verstärkter Transparenz bei der Offenlegung von Sicherheitsmängeln auf.

Die Ereignisse vom 23. Juli 2025 zeigen ein erhebliches Koordinationsproblem zwischen Herstellern und Betreibern kritischer Infrastrukturen. POST Luxembourg, der staatliche Telekommunikationsbetreiber, fiel Opfer eines Denial-of-Service-Angriffs, der speziell konstruierte Netzwerkpakete nutzte, um Huawei-Router in eine endlose Neustart-Schleife zu versetzen. Das Resultat war verheerend: Die gesamte Kommunikationsinfrastruktur eines Landes war über drei Stunden offline.

Luxemburgs Regierung beschrieb den Angriff damals als “außergewöhnlich fortgeschritten und raffiniert”. Die Ermittlungen zeigten später jedoch, dass es sich möglicherweise um einen zufälligen Treffer handelt – das malware-verseuchte Paket war nicht spezifisch gegen POST gerichtet, sondern passierte einfach durch deren Netz. Die Huawei-Router reagierten auf undokumentiertes Fehlverhalten und stürzten ab, anstatt das Paket weiterzuleiten.

Die zentrale Problematik liegt in der fehlenden Transparenz: Huawei hat die Sicherheitslücke weder unter einer CVE-Nummer registriert noch öffentlich vor anderen Betreibern gewarnt. POST Luxembourg bestätigte, dass kein Patch zum Zeitpunkt des Angriffs verfügbar war und Huawei diese Schwachstelle bei keinem anderen Kunden beobachtet hatte. Diese Aussage wirkt beruhigend, lässt sich jedoch nicht unabhängig überprüfen.

Huaweis Praxis bei Enterprise-Produkten hat sich in den letzten Jahren deutlich verändert: Während CVE-Registrierungen bei Consumer-Produkten noch regelmäßig erfolgen, publiziert das Unternehmen Sicherheitshinweise für Enterprise-Networking-Software inzwischen über ein geschlossenes Kundenportal statt öffentlich. Dies erschwert es anderen Betreibern und Sicherheitsforschern, sich ein Bild der tatsächlichen Anfälligkeit zu machen.

Für Deutschland ist dies eine Warnung: Mehrere deutsche Telekommunikationsunternehmen und kritische Infrastrukturen nutzen Huawei-Ausrüstung. Das fehlende CVE für Luxemburgs Zero-Day-Lücke bedeutet, dass potenzielle Schwachstellen im Dunkeln bleiben – und das widerspricht grundlegenden Cybersicherheitsprinzipien. Das BSI sollte Betreiber kritischer Infrastrukturen auffordern, ihre Huawei-Systeme einer erweiterten Sicherheitsprüfung zu unterziehen und mit dem Hersteller transparente Sicherheitsprozesse zu vereinbaren.

Ähnliche Artikel