Das Internet der Dinge greift an

Botnet-Angriffe sind mittlerweile so mächtig, dass sie ganzen Nationen den Zugang ins Netz blockieren können. Drei Gegenstrategien.

Oft unzureichend abgesichert: Webcams. Foto: Getty Images

Oft unzureichend abgesichert: Webcams. Foto: Getty Images

Feedback

Tragen Sie mit Hinweisen zu diesem Artikel bei oder melden Sie uns Fehler.

Für Gavin Brown werden die Rekorde derzeit deutlich zu schnell geknackt. «Die Angriffe werden viel schneller viel massiver», sagt er. «Früher dauerte es ein Jahr, bis ein Rekord gebrochen wurde. Jetzt geht das von Woche zu Woche.»

Brown ist Technikchef bei Centralnic, die Firma verwaltet Internet-Adressen, die auf .xyz enden. Brown bezeichnet sich selbst als DNS-Geek. DNS steht für Domain Name System, es wird als «Telefonbuch des Internets» bezeichnet. Das DNS-System stellt sicher, dass Internet-Nutzer www.sueddeutsche.de eingeben können und von dort aus auf die IP-Adresse 52.58.25.19 verwiesen werden.

Brown interessiert sich also für jenen Teil des Internets, der Ende vergangener Woche durch einen dieser massiven und Rekorde brechenden Angriffe lahmgelegt wurde. Dabei wurde der Dienstleister Dyn angegriffen. In der Folge waren Dienste mit Hunderten Millionen Nutzern, zum Beispiel Amazon, Playstation Network und Twitter, teils stundenlang nicht zu erreichen.

«Hinter solchen Angriffen müssen keine Staaten mehr stecken.»Gavin Brown, Technikchef bei Centralnic

Grund dafür sind DDoS-Angriffe, bei denen Webseiten und ihre Anbieter mit so vielen Anfragen bombardiert werden, dass sie unter der Last zusammenbrechen. Die neuen Rekorde beziehen sich auf die Datenmengen, die Angreifer aufbringen können, um Server lahmzulegen. Mittlerweile ist die Bandbreite so gross, dass mit einem DDoS-Angriff ganze Nationen vom Netz abgeschnitten werden könnten. «Hinter solchen Angriffen müssen keine Staaten mehr stecken. Es reicht eine Einzelperson, die zornig ist», sagt Brown.

Für IT-Sicherheitsforscher ist spätestens damit ein Szenario eingetreten, vor dem sie seit Jahren warnen. Das sogenannte Internet der Dinge – Kühlschränke, Kameras oder Videorekorder mit Internetanschluss – basiert zu einem grossen Teil auf Geräten, die technisch unzureichend abgesichert sind.

Kontrolle per Botnetz

Für Angreifer genügt es oft, im Internet nach Modellen zu suchen, auf denen das voreingestellte Passwort nicht geändert wurde (oder für normale Nutzer nicht zu ändern ist). Diese Geräte können von den Angreifern übernommen und kontrolliert werden. Man spricht dann von einem Botnetz. Auf diese Weise geht zum Beispiel das Mirai-Botnetz vor, das für mehrere Angriffe in den vergangenen Wochen verantwortlich war.

«Solche Angriffe werden zur Norm» sagt Gabrial Gusman vom Unternehmen RSA, das auf Netzwerksicherheit spezialisiert ist. Gusman leitet die Abteilung für Cyberintelligence. Schlecht gesicherte IoT-Geräte seien nur durch einen Neustart von einem Botnetz zu trennen. Doch das bringe nur kurzfristigen Schutz. Binnen Minuten sei das Gerät erneut infiziert. Auf IoT ausgerichtete Botnetze kann man selbst nachbauen oder anmieten, wie Gusman sagt.

Für 4600 Dollar gibt es 50'000 Bots, für 7500 Dollar 100'000. Bis zu 1 Terabit pro Sekunde seien möglich. Das ist jene Rekord-Dimension, die in den vergangenen Wochen erreicht wurde. Binnen einer Stunde sei das Botnetz angriffsbereit.

So könnte die Verteidigung aussehen

In den ersten Tagen war über die Einzelheiten des Angriffs auf Dyn wenig bekannt, sagt Christian Rossow. Er lehrt an der Universität des Saarlandes und arbeitete mit dem FBI zusammen, um ein Botnetz namens «Gameover Zeus» auszuheben. Zuerst versuchten die Angreifer, die Bandbreite des Anbieters zu überlasten und griffen anschliessend direkt die Infrastruktur an.

Es sei nicht einfach, die genauen Angriffsquellen ausfindig zu machen, sagt Rossow. Das zeige sich auch an der Analyse von Dyn: «Zunächst behauptete Dyn, dass mehr als zehn Millionen Systeme Teil des Mirai-Botnetzes seien. Unseren Informationen zufolge ist das Botnetz jedoch sehr viel kleiner. Später revidierte Dyn diese Aussage und schätzt das Botnetz auf circa 100'000 Systeme.»

Damit ein Angriff wie dieser in Zukunft abgewehrt oder zumindest abgeschwächt werden kann, nennen Experten vor allem drei Lösungen.

  • Erstens: Den Angriffen werden viele Ressourcen entgegengestellt, zum Beispiel Bandbreite. Dabei handelt es sich jedoch um ein konstantes Wettrennen, bei dem mal Angreifer vorne liegen und mal Verteidiger.

  • Zweitens: Grosse Webseiten verlassen sich nicht mehr ausschliesslich auf einen Dienstleister, sondern auf mehrere. Heutzutage ist es der Normalfall, dass Hunderte oder Tausende Webseiten von einem Dienstleister betreut werden, sagt Rossow. «Ein Ausfall zieht also eine grosse Kettenreaktion nach sich.» Wenn die Last aber auf mehrere DNS-Dienstleister verteilt wird, müssen Angreifer eine deutlich höhere Kapazität aufbringen.

    Dass sich Seiten wie Twitter auf einen Dienstleister verlassen, dürfte zwei Gründe haben. Zum einen ist es eine Frage des Geldes. Doppelter Schutz kostet doppelt so viel. Zum anderen unterschieden sich die Angebote der Dienste, sagt Brown, der DNS-Geek. Für eine Seite wie Twitter kann es zum Beispiel sinnvoll sein, Nutzer aus Europa auf Server umzuleiten, die in Europa liegen. Sei man Kunde bei nur einem Dienstleister, sei so etwas problemlos möglich, bei mehreren wird das schwieriger, weil die Angebote der verschiedenen Dienstleister nicht kompatibel zueinander seien. «Entweder man entscheidet sich für mehrere Dienstleister und verzichtet auf die speziellen Angebote», sagt Brown, «oder aber man nimmt sie in Anspruch, ist dann aber auch von einem einzelnen Dienstleister abhängig.»

  • Eine dritte Lösung könnte sein: Webseiten erhöhen die Gültigkeitsdauer (Time to Live, also TTL), wenn es zu einem Angriff kommt. Diesen Vorschlag nennt Bert Hubert, der Software für DNS-Server schreibt. Diese Gültigkeitsdauer legt fest, wie lange DNS-Informationen einer Webseite aktuell sind. Vergleichen kann man das mit der Wiederwahl-Taste beim Telefon. Solange die Nummer, die man erreichen will, noch gespeichert ist, muss man sie nicht im Telefonbuch nachschlagen.

TTL im Regelfall niedrig

Je höher diese Zahl ist, desto länger dauert es, bis Änderungen, die zum Beispiel Twitter einführt, bei allen Nutzern ankommen, da die Nutzer auf eine veraltete Version zugreifen. Webseiten wollen aber, dass Updates sich schnell verbreiten. Daher ist die TTL im Regelfall niedrig.

Kommt es nun zum Angriff, sagt Hubert, sollen die Webseiten ihre TTL erhöhen. "Die Wirkkraft des Angriffs wird dadurch dramatisch reduziert", sagt Hubert. Wenn das Botnet noch nicht auf voller Kapazität läuft, können viele Nutzer, die die Seite ansurfen, sie dann auch weiterhin erreichen, da sie die Information lokal gespeichert haben.

«Mit Schnellschüssen vorsichtig»

Frank Michlick ist Gründer von DomainCocoon, einem Dienst, der technische Hilfe rund um Domainnamen anbietet. Die TTL zu erhöhen, findet auch er sinnvoll. «Solange der Angriff auf einen Nameserver geht (also zum Telefonbuch-Eintrag; Anm. d. Red.), kann das funktionieren. Mehr Leute können die Seite weiterhin erreichen, einen Teil der Auswirkungen könnte man so verhindern.»

Dabei komme es darauf an, wie schnell die Seiten reagieren. Denn bis sich ein Befehl im gesamten Botnetz verbreitet hat, dauert es eine kurze Zeit. «Es ist zwar schnell, aber eben nicht sofort verfügbar», sagt Michlick. Wertvolle Zeit, um den Angriff abzuschwächen.

Doch die TTL zu erhöhen, birgt auch Nachteile, wie Rossow, der Forscher von der Universität des Saarlandes, anmerkt: «Die Nutzer halten die Namensauflösung für sehr lange Zeit im Cache. Ist dann die Domain angegriffen (also Twitter.com und nicht der Dienstleister Dyn; Anm. d. Red.), dann wünscht man sich wieder kleine TTL-Zeiten zurück, damit man den Angriff umleiten kann. Ergo wäre ich hier mit Schnellschüssen vorsichtig.»

Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mittlerweile auf die Angriffswelle am Wochenende reagiert. «Der Fall zeigt anschaulich, dass die Digitalisierung ohne Cyber-Sicherheit nicht erfolgreich sein wird», erklärt BSI-Präsident Arne Schönbohm in einer Pressemitteilung.

Statt die Sicherheit von IoT-Geräten ausschliesslich dem Nutzer zu übertragen, müssten Hersteller einfache Wege bieten, um den Schutz zu erhöhen. Sieben Massnahmen nennt das Amt, eine davon: Passwörter für Geräte müssen bei der Installation des Gerätes neu eingegeben werden. Eine simple Massnahme wie diese hätte das automatisierte Suchen von Mirai unterbinden können. (Süddeutsche Zeitung)

Erstellt: 01.11.2016, 08:56 Uhr

Die Redaktion auf Twitter

Stets informiert und aktuell. Folgen Sie uns auf dem Kurznachrichtendienst.

Service

Für Selbstständige und KMU

Tragen Sie Ihre Firma im neuen Marktplatz des Tages-Anzeigers ein.

Blogs

Nachspielzeit Warum Petkovic lieber Snapchat benutzt hätte

Never Mind the Markets Sind reiche Menschen egoistisch?

Die Welt in Bildern

Formvollendeter Schattenwurf: Eine Ballettänzerin posiert in der neu eröffneten Ballettschule Paris Gardens in London für die Fotografen. (21. März 2017)
(Bild: Facundo Arrizabalaga (EPA, Keystone)) Mehr...