Steht uns der Internet-Supergau bevor?

27.10.2016    Christopher Blair
Steht uns der Internet-Supergau bevor?

Der DDoS-Angriff auf dem amerikanischen DNS-Dienst Dyn brachte das ganze Internet zum Beben. In den USA waren zeitweise die Dienste unter anderen von Twitter, Netflix und AirBnB für Stunden nicht verfügbar. Ein genauer Blick zeigt, dass sich solche Angriffe in Zukunft häufen werden und Deutschland nicht davor gefeit ist.

Frankfurt Donnerstag, 27.10.2016 – Der Angriff auf den DNS-Dienst Dyn in den Vereinigten Staaten macht eines deutlich: Das Internet ist dank zahlreicher Hacker und Cyberangriffe extrem labil geworden. Nachdem in den letzten Monaten mehr und mehr Botnetze aufgetaucht sind, sprechen DDoS-Schutzexperten wie Link11 mehr Warnungen aus als je zuvor. Die DDoS-Angriffe auf den Security Blogger Brian Krebs und wenig später auf den französischen Hoster OVH belegen eindeutig, dass sich DDoS im Jahr 2016 stark gewandelt hat.

Schon längst ist diese Form des Cyberkriegs nicht so archaisch, wie es die frühzeitigen DDoS-Angriffe waren. Die Veröffentlichung des Source Codes des Mirai-Botnetzwerks und die fortwährende Verbreitung von IoT-Geräten stellen eine große Aufgabe für Sicherheitsunternehmen dar. In einer aktuellen Studie von Link11 und TeleTrust, die auf der Security-Messe it-sa in Nürnberg erhoben wurde, geht hervor, dass gerade einmal ein Drittel der befragten Unternehmen ausreichend auf DDoS-Angriffe vorbereitet sind.

Inzwischen hat sich sogar die Bundesregierung das Thema auf die Fahne geschrieben, wie der Besuch der Kanzlerin auf dem Stand der Link11 GmbH auf der diesjährigen CeBIT in Hannover gezeigt hat. Das Cybersicherheitsgesetz, das in Zusammenarbeit mit der EU entstanden ist, sieht eindeutig vor, dass sich kritische Unternehmen vor den neuen digitalen Gefahren schützen müssen und im Falle eines Angriffs zur Meldung verpflichtet werden. Doch die Erfahrung zeigt, dass nur wenige Unternehmen ausreichend geschützt sind.

Eine Analyse des Link11 Security Operation Center (LSOC) hat ergeben, dass in Deutschland ein Ausfall wie jüngst in den USA jederzeit passieren könnte. Zwar sind nicht viele dieser Dienste an einem einzigen DNS-Dienstleister angebunden, aber ihre TTL (Time-to-Live) ist sehr niedrig. Diese hohe Anfragelast würde dafür sorgen, dass während eines DDoS-Angriffs über die Hälfte der meistbesuchten Seiten in Deutschland bereits nach 5 Minuten ausfallen würde. Außerdem unterstützen gerade einmal 35% eine Anycast-DNS-Infrastruktur. Anycast sorgt im Falle einer Überlastung des DNS-Servers dafür, dass ein weiterer Serverstandort mit den gleichen Daten und Informationen angesteuert wird, sodass Besucher der Webseiten keine Latenzen bemerken.

Der komplexe Angriff auf Dyn zeigt der westlichen Welt jedoch auf, dass die Digitalisierung und die Industrie 4.0 völlig neuen Gefahren ausgesetzt sind. Die jüngsten Angriffe über Internet-of-Things-Botnetzwerke sind nicht nur dank der wachsenden Verbreitung von IoT-Geräten so gefährlich. Bisher lässt sich hinter diesen Angriffen keine klare Motivation erkennen. Während es den vielen Erpressern um das knallharte Geschäft mit Bitcoins geht, sind sich die Experten noch nicht sicher, warum gerade jetzt mehr Angriffe auf wichtige Infrastrukturen des Netzes gefahren werden. Sie geschehen völlig unerwartet und ohne jegliche Ankündigung.
In einem Essay Mitte September nimmt IT-Security-Blogger Bruce Schneier beispielsweise an, dass diese neue Welle von Attacken mit über einem Tbit/s nur der Anfang seien. Stattdessen „fühle es sich an, als würde die Cyberabteilung eines Militärs ihre Waffen für den Fall eines Cyberkriegs bereits kalibrieren“, sagt Schneier.

Genau genommen scheinen DDoS-Angriffe wie auf Dyn und OVH in erster Linie nur Tests zu sein, wie man das Internet am besten ausschalten könne. In der Regel lassen es sich Hackergruppen wie Lizard Squad und Anonymous nicht nehmen, sich nach einem immensen Angriff dieser Art mit den Lorbeeren zu schmücken. Derzeit sieht es aber für die beiden Gruppen nicht so rosig aus. Ehemalige Lizard-Squad-Hacker wurden in den USA und in den Niederlanden festgenommen und die einst gefeierten Hacktivisten von Anonymous zerfleischen sich inzwischen wegen Rassismusvorwürfen selbst untereinander.

Während Krisenzeiten, in denen sich Bürger und Militär heutzutage über moderne Kommunikationswege organisieren, kann der Zusammenbruch des Internets gleichzeitig den Zusammenbruch der Bevölkerung bedeuten. Nicht ohne Grund lassen Regierungen Dienste wie Twitter und Facebook temporär abschalten oder gar gänzlich verbieten. Der Angriff auf den Security Blogger Brian Krebs zeigt zudem, dass die Pressefreiheit durch DDoS-Angriffe bedroht ist. Ein Instrument, vor denen sich in Zukunft auch regierungskritische Institutionen und Journalisten fürchten müssen.

Die Auswahl der Opfer könnte sich in den kommenden Monaten noch einmal ausweiten. In Deutschland, wo der Begriff Industrie 4.0 entstanden ist, gibt es zahlreiche Bereiche, in denen ein DDoS-Angriff dieser Magnitude verheerend sein könnte. Das BBK und der BSI haben Cyberattacken als Sabotage unter den anthropogenen Gefahren in der KRITIS gelistet. Ein Schutz gegen solche Attacken wird eigentlich im Cybersicherheitsgesetz vorgeschrieben. Dennoch ist nur ein marginaler Teil der als kritisch eingestuften Infrastrukturen gesichert. Ein Angriff auf einen DNS-Dienst sorgt in erster Linie nur für die Unerreichbarkeit von Webseiten. Ein DDoS-Angriff auf potenzielle Opfer wie Stromnetzwerke und Telekommunikation würde Deutschland und Europa hingegen zeitweise in die Steinzeit zurückwerfen. So versuchte zum Beispiel Anfang September eine türkische Hackergruppe die Webseite des Wiener Flughafens mittels eines DDoS-Angriffs lahmzulegen, um damit den Flughafenverkehr zu stören. Glücklicherweise konnte der Angriff abgewendet werden. Erst Tage zuvor ist dem Flughafen eine Computerpanne unterlaufen, bei der zahlreiche Starts und Landungen ausgefallen sind. Eine Cyberattacke wurde damals noch ausgeschlossen. In den USA wurden mehrere Krankenhäuser Opfer von Cyberattacken, die zu ernsten Problemen führten, da die digitalen Krankenakten nicht mehr nachvollzogen werden konnten. Diese Fälle sind nur die Spitze des Eisbergs, belegen aber wie fragil die Digitalisierung unsere wichtigen Infrastrukturen macht.

Die Wahrnehmung von DDoS spielt derweil auch eine wesentliche Rolle in der Vorbereitung der eigenen Sicherheit. Erst, wenn solche große Angriffe geschehen, bekommen Medien und Bevölkerung aktiv mit, was DDoS-Attacken anrichten. Die Dunkelziffer ist auf der anderen Seite sehr hoch. Alleine in den letzten Monaten ist dem LSOC ein deutlicher Anstieg von DDoS-Attacken in der DACH-Region aufgefallen. Derzeit registriert die Link11 GmbH im Quartal 9.000 Attacken auf ihre Kunden, die abgewehrt wurden. Der BSI meldet sogar über 30.000 dieser Attacken auf deutsche Unternehmen. Viele dieser Ziele werden nicht von den vorher genannten DDoS-Erpressern angegriffen, die in 2016 zahlreiche Nachahmer gefunden haben. Oft geschehen Angriffe ohne Ankündigung und ohne ersichtlichen Grund. In vielen Fällen sind die Opfer Finanzinstitute und Behörden. Daher muss man derzeit auch davon ausgehen, dass auch Regierungen und Cyber-Terroristen für diese Form von Angriffen verantwortlich gemacht werden können. Ohnehin vermuten Sicherheitsexperten schon lange, dass die Aufstockung in die Cyber-Abteilungen einzelner Länder auch ein Indiz dafür sei. Ohne klare Bekenntnis der Angreifer sind diese jedoch nur Vermutungen. Fakt ist, dass angesichts dieser unberechenbaren Gefahr, Behörden und Unternehmen umdenken müssen, um einer solchen DDoS-Attacke überhaupt Heer zu werden. Ansonsten stehen uns im wahrsten Sinne des Wortes dunkle Zeiten bevor.

Zurück zur Übersicht

Anstehende Events

Link11 auf der Infosecurity 2018
05.06.2018    London, Olympia
Mehr lesen

@Link11GmbH