Wettlauf um die Sicherheit im Internet
Saarbrücken · Kriminelle übernehmen immer öfter Internet-Geräte, um damit Schaden anzurichten. Saarbrücker Forscher versuchen, ihnen auf die Spur zu kommen. Doch es ist nicht leicht, mit den neuesten Methoden Schritt zu halten.
Hacker und Sicherheitsexperten liefern sich im Internet einen ständigen Wettkampf um die neuesten Methoden, den jeweils anderen zu überlisten. Eines der Spielfelder sind Massenangriffe aus dem Internet, sogenannte Distributed Denial of Service (DDoS)-Attacken. Dabei werden Server so massiv mit Anfragen bombardiert, dass sie diese nicht mehr bearbeiten können und zusammenbrechen.
Im vergangenen Oktober gab es einen solchen Angriff auf die Server des Internetdienstleisters Dyn. Da dort die Internetadressen vieler bekannter Webseiten wie Amazon, Twitter, Paypal oder Netflix verwaltet werden, waren diese über Stunden nur schwer oder gar nicht zu erreichen.
Eine in den vergangenen Jahren beliebte Form der DDoS-Attacken sind sogenannte Verstärkungsangriffe (Amplification Attacks). Dabei werden ursprünglich simple Anfragen auf einzelne Server multipliziert, sodass die entstehenden Datenströme den Rechner in die Knie zwingen.
Mitarbeiter des Saarbrücker Kompetenzzentrums für IT-Sicherheit Cispa um Professor Christian Rossow haben sich diese Art der Attacke vorgenommen. Mit digitalen Ködern, sogenannten Honeypots, konnten sie über 1,5 Millionen Angriffe dokumentiert, teilte die Saar-Uni mit. Ihre Methode verschaffe einen wichtigen Zeitvorteil zur Abwehr der Attacken. "Mit den Honeypots konnten wir Attacken 40 Sekunden vor den herkömmliche Methoden erkennen", sagt Johannes Krupp vom Cispa. Im Ernstfall könnte dann der Anfrageansturm eventuell umgeleitet werden, teilt das Cispa mit. Das Team habe die Angriffscodes aus dem Internet auch mit geheimen digitalen Markierungen versehen und dadurch die Quelle der Angriffe aufdecken können.
Doch die Hacker sind gewarnt. Wie das Software-Unternehmens Kaspersky, das regelmäßig die Bedrohungslage im Internet bilanziert, feststellte, hat die Verwendung der Amplification Attacks in den vergangenen Monaten deutlich abgenommen. Ursache sei die Entwicklung von Methoden zur Abwehr derartiger Attacken.
Verstärkt setzen Hacker in jüngster Zeit auf sogenannte Botnetze. Dabei werden die Attacken auf eine Vielzahl von Geräten verteilt, die ohne Wissen der Besitzer zu einem Netzwerk zusammengeschlossen werden. "Vor Verstärkungsangriffen kann man sich relativ gut schützen", erläutert Johannes Krupp vom Cispa. "Man kann die Attacken filtern, weil sie sich von den normalen Datenströmen deutlich unterscheiden. Botnetz-Attacken lassen sich hingegen leichter kaschieren."
Das stellt die Sicherheitsexperten vor neue Herausforderungen. Sie müssen Verfahren entwickeln, um die Angriffe der Bots als solche zu erkennen.
Eine Antwort der Forscher: Sie geben sich als Teil eines Botnetzes aus, um die anderen daran beteiligten Geräte zu belauschen, erläutert Johannes Krupp. So ließen sich Angriffe leichter antizipieren. Ob damit die Verantwortlichen hinter den Attacken ausfindig gemacht werden können, hänge wiederum von der Art des Botnetzes ab. "Bei zentralisierten Botnetzen gibt es einen Knoten, der der Urheber ist", sagt Krupp. Diese lassen sich prinzipiell auch ausschalten. Schwieriger seien sogenannte Peer-to-Peer-Botnetze, die dezentral organisiert sind. Ihre Zahl nimmt zu. Auf die Sicherheitsexperten wartet also schon die nächste Herausforderung.
